日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
危險!安全人員和開發(fā)運維人員之間的誤解

安全團隊和開發(fā)運維人員團隊之間的誤解可將企業(yè)置于業(yè)務(wù)風險之中

超過10多年行業(yè)經(jīng)驗,技術(shù)領(lǐng)先,服務(wù)至上的經(jīng)營模式,全靠網(wǎng)絡(luò)和口碑獲得客戶,為自己降低成本,也就是為客戶降低成本。到目前業(yè)務(wù)范圍包括了:成都網(wǎng)站制作、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè),成都網(wǎng)站推廣,成都網(wǎng)站優(yōu)化,整體網(wǎng)絡(luò)托管,小程序制作,微信開發(fā),成都App制作,同時也可以讓客戶的網(wǎng)站和網(wǎng)絡(luò)營銷和我們一樣獲得訂單和生意!

從物理、金融風險,再到戰(zhàn)略和運營風險,今日企業(yè)被種種風險所包圍。企業(yè)和員工必須就這些風險進行溝通,這反而會促進企業(yè)團結(jié)一心。這種溝通需要IT人員、安全人員和開發(fā)運維人員(DevOps)的通力合作。這些團隊應(yīng)當清晰地認識到應(yīng)用的安全性和業(yè)務(wù)風險波動之間的關(guān)聯(lián),這會讓他們進一步明了自身在解決安全風險時的職責。相對的,失敗的溝通也會讓整個企業(yè)處于危險之中。

傾向于聘請開發(fā)運維人員的企業(yè)通常會追求高投入產(chǎn)出比、內(nèi)部的持續(xù)創(chuàng)新,以及高敏感度的客戶響應(yīng)能力。大多數(shù)領(lǐng)導團隊最恐懼的就是對手的創(chuàng)新和進步,以及疏遠了本應(yīng)抓住的客戶而導致銷售額損失。因此,安全團隊的話語權(quán)遠遠不如開發(fā)運維團隊,更不要說阻止后者了。即使在最理想的情況下,安全團隊也只能對他們產(chǎn)生一些影響。

安全團隊要想和商戶以及開發(fā)運維人員進行有效溝通,就需要了解應(yīng)用安全和企業(yè)面臨的風險波動之間的關(guān)聯(lián)。如果能實現(xiàn)這一目標,安全團隊將會在信息風險事宜上更有話語權(quán)。然而,如果對這些風險置若罔聞,企業(yè)將會遭受各種安全問題的困擾,團隊地位也會一落千丈。

避免溝通失敗的***步,就是了解開發(fā)團隊不需要的安全措施。某些***實踐指南就不尊重技術(shù)現(xiàn)實,比如“加密數(shù)據(jù)庫中所有數(shù)據(jù)”,這樣的指南顯然不具備實際意義。標準應(yīng)該適合應(yīng)用,并且對于開發(fā)團隊具有可行性。那些缺乏開發(fā)經(jīng)驗的安全團隊常常誤入這個陷阱。

除此以外,執(zhí)行安全測試時漏洞信息管理的欠缺是害處多多的。檢測工具會誤報,雖然確定了這些漏洞,但是這些“漏洞”不能反映系統(tǒng)或軟件的真正弱點。工具還會錯報所檢測到漏洞的嚴重程度,而導致的不合理優(yōu)先級。在與開發(fā)運維團隊溝通時,漏洞誤報既浪費時間,也降低了安全團隊的可信度。

***的結(jié)果是:對缺乏兼容性的漏洞加以溝通,或形成未修復漏洞的日志。最壞的結(jié)果是:開發(fā)團隊把時間浪費在了沒用的補丁上。應(yīng)用的安全性常常難以捉摸,所以許多開發(fā)團隊僅憑自身是難以理解漏洞的。如果他們無法認識到這些內(nèi)容,他們就無法正確評估漏洞的風險,也不會知道該如何解決它們。而兼容和支持恰恰是開發(fā)團隊取得成功的關(guān)鍵。

開發(fā)運維團隊需要和安全團隊溝通哪些內(nèi)容?

當安全團隊與開發(fā)者溝通漏洞時,漏洞必須確實存在且被精確測評,安全團隊對漏洞影響的說明會讓開發(fā)運維團隊更加心中有數(shù)。針對性的補救建議至關(guān)重要,它需要盡可能和開發(fā)團隊所使用的語言和框架相符。這使它能更容易解決問題,漏洞可以更快也更有效地被修復,修復漏洞的時間產(chǎn)出比也會得以改善。目標明確的漏洞修復也更容易一次性成功。

安全團隊還可以為漏洞的處理以及合規(guī)提供有價值的指導。一旦因為漏洞而導致處罰或關(guān)停服務(wù),開發(fā)團隊需要及時獲得這些漏洞信息并***時間進行修正。

除了漏洞,安全團隊還可以就系統(tǒng)架構(gòu)建議進行進一步溝通,來更好的設(shè)計應(yīng)用以減少系統(tǒng)因為合規(guī)要求而受到的種種束縛。舉例而言,將信用卡相關(guān)事宜交給可信的第三方可以避免系統(tǒng)需要受不符合PCI-DSS的評估。另一個例子,不進行非必要的個人身份信息存儲(PII)以避免人工管理數(shù)據(jù)的風險。營銷人員經(jīng)常想要存儲所有可訪問的數(shù)據(jù),但是系統(tǒng)設(shè)計師需要理解儲存過多的數(shù)據(jù)對隱私和安全的影響以及相伴的風險。

安全團隊和開發(fā)運維團隊之間的誤解會讓企業(yè)面臨風險。在與業(yè)務(wù)風險相關(guān)的應(yīng)用安全已經(jīng)對業(yè)務(wù)造成了影響時,安全團隊應(yīng)當出面進行溝通。如果安全團隊可以從品牌、金融、戰(zhàn)略等方面進行風險評估,那么他們就會成為開發(fā)運維團隊最可靠的諫言者,并幫助開發(fā)運維團隊建立和維護安全的系統(tǒng)。

【本文是專欄作者李少鵬的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】


名稱欄目:危險!安全人員和開發(fā)運維人員之間的誤解
路徑分享:http://www.5511xx.com/article/ccchish.html