【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统

kns1024wh

yanyangtian4502 发表于 2012-01-04 09:18
为了鼓励朋友们发言，我这里先挑起一个讨论点：hash（SHA）等于数据加密吗？

印象中mysql sqlserver 的字段都是支持多种类似的加密选择的，任何一种加密算法至少都是有一定的安全等级的，对于目前出现的所谓的刷库问题，简直是对国内从事互联网行业的一个耻辱。
耻辱一、开发不注重安全性，这个是很多的开发团队都存在的问题，架构师不开率安全技术，那么整套开发就是一个为了完成项目而做的编码游戏，很荒谬是不是，那CSDN来说，出现这个问题简直是不可理喻的。做csdn的也就是那样了
问题二、运维架构或运维工程师不具备安全素质，拿到CSDN的运维不会将数据库放到内网么？没有银子么？最简单的就是多上个上档次的交换机？木呀，为什么不做呢？？再说被刷库的问题，如果用微软的不及时更新补丁，N年前的系统还放在互联网上而不在内网。
问题三、没有银子做IDS IPS么？？这些都是有助于实现安全的基本措施


1，如何设计一个安全的系统，构建一个安全的架构
安全的系统和架构，这个是一个很大的话题架构、代码、部署、运维、网络等多方面的，从核心上来说安全就是从架构的设计者就要考虑安全的实现策略，安全算法规则，编码的安全级别不要编码就有漏洞，不要使用有漏洞的开发环境进行开发；开发阶段的安全测试，不要单纯从代码的功能实现上做测试用例，要考虑安全方面的case；运行环境的操作系统的安全级别选择linux  bsd就不要用win了、linux上除了ssh其他的没有必要的服务是没有需要启动的就不启动；网络系统的防护安全，关闭没有必要的端口了，如有必要设置IDS IPS联动了等等；日常的运维安全，不要root就是root，要多做点蜜罐……
2，常见的安全问题剖析以及安全知识分享
网站挂马的发现和解决，操作日志的及时审核，文件的指纹设置，日常的安全检查规则、密码规则等。

kns1024wh

yifangyou 发表于 2012-01-12 22:22
1，如何设计一个安全的系统，构建一个安全的架构
答： 1) 目前采用的OAuth系统统一认证，这样利于多站点 ...

很多人有一种爱好就是拿着工具做SQL注入,XSS的攻击游戏。还有就是网上的很多免费的模板之类的东东也是有很多注入代码存在的，当放到了网站上就会出现问题，使用模板也要尽量使用自己能读懂代码的模板为好。