编程级别和运维级别的网络安全网站备案,在数智风看来只是视角不同,所以关注点会有所不同运维堡垒主机。这个不同的关注点就是它们的区别。运维堡垒主机,编程级别的网络安全和运维级别的网络安全有什么区别1、编程级别关注的安全在编程这个级别,程序员每天面对的是程序代码。主要工作是:框架设计、代码编写、部署测试、发布上线。而这些工作也涉及管理过程。所以,编程这里讲安全也可以从这个几个方向去说。①、框架设计安全在框架设计阶段,一般都必须定义出应用系统的各个层面,组件。以及他们之间的通讯方式。比如:某个程序设计分为:数据采集、网络传输、数据存储、数据交换,数据展现。那么我们就应该在各个层面都考虑一下安全。一般情况下会包括:通讯协议:尽量采用加密传输;数据格式:尽量采用二进制传输,或者加密文本;数据存储:对核心机密数据需要加密存储,需要完善的权限管理;②、代码编写安全代码编写主要是根据功能需求进行编写代码。代码主要考虑尽量少产生bug和漏洞。因为bug和漏洞会给网络安全带来致命的弱点。一般有以下注意内容:防止代码注入:源代码中所以涉及关键操作的代码关键字建议转码。避免在人机交互输入、参数传递中,被黑客恶意注入代码,导致执行效果发生变化。代码bug:变量使用要恰当,不能混乱使用全局变量、局部变量,还有变量的上下边界。不要出现越界bug。导致代码奔溃或者出现漏洞;内存控制:对内存的控制的代码,需要注意不要出现内存溢出的风险;统一的权限管理:程序模块的权限应该可以被独立控制,账户权限也应该做到合理,不要一律采用最高权限。必须输出日志:对于程序运行过程,必须输出日志,这样才可以追踪安全事件。③、部署测试安全部署测试,是代码已经编写好,进行部署测试。这里涉及的安全,主要有:确保部署的测试环境涵盖尽量多的可能环境。测试样例足够多,确保测试了各种可能性。以上都是为了找出程序代码的缺陷,把缺陷补上,后面安全问题就少。④、发布上线安全这里比较简单,主要是程序即将进行正式环境检验。我们要保持安全追踪,对运行过程发生可疑行为,要及时分析找出原因纠正。⑤、安全管理制度整个开发过程,除了前面的技术安全,还需要有一套安全管理制度来确保少发生人为安全因素。安全管理制度要确实可行,有监督检查机制。2、运维级别关注的网络安全在运维级别,大家关注的安全就比较多了。关注系统运行的物理安全、主机安全、存储安全、网络通讯安全、数据安全、应用安全。①、物理安全主要包括机房是否有完整的隔断,有门禁控制有权限的人员进出。视频监控确保可以追溯。机房的风火水电是否满足系统运行需要。②、主机安全:主要包括:物理主机需要有冗余,操作系统经常要打补丁,防病毒、防火墙必须要更新病毒库和特征库。日志需要保存至少90天。③、存储安全:主要包括:物理存储有冗余,磁盘应该有RAID、Hotspare保护。电源、控制器都必须有冗余。④、网络通讯安全主要包括:网络传输需要加密(比如SSL加密),需对网络按照安全等级划分不同的安全域和安全边界。在每个域的边界需要部署域防火墙,在网络出口边界需要部署出口防火墙。整个网络建议部署IPS入侵防御。高安全的信息系统需要部署在专网,专用网络和互联网采用物理隔离,数据交换通过网闸摆渡。网络日志也必须保存90天以上。⑤、数据安全主要包括:数据库加密、数据传输加密,以及防篡改。如果有敏感数据需要传输,必须进行脱敏处理。⑥、应用安全:主要包括:应用程序补丁要及时更新,应用程序代码要可审计,应用程序生成的日志也必须保存90天以上。⑦、安全管理制度运维同样需要一整套安全管理机制来保障运维过程不会出现人为故障,同时一般还会借助堡垒机和运维管理软件对运维人员进行权限控制和操作追踪。总结综上所述,编程级别的网络安全和运维级别的网络安全,大家都是从技术和管理两个大方向去控制。但大家关注的点有所不同,所以他们的区别在于关注的不同。编程级别:更关注代码的设计、产生、测试以及管理方面的安全。运维级别:更关注系统运行的环境、主机、网络、存储、数据、管理等多方面的安全。我是数智风,用经验回答问题,欢迎关注评论。
本文出自快速备案,转载时请注明出处及相应链接。