[职业人生]一位信息安全从业者的工作总结

经过了凤凰网以及完美世界开发工作的锻炼,对于安全开发工作有了一些很好的认识,下面总结一下过去的经验和教训。

对于安全开发一定要有一套成熟度模型,例如公司刚开始做的时候定义的级别可以低一些,可做的事情要少一些。但是随着熟练程度的增加以及大家对于安全开发的理解的加深,逐步加深高级别的安全成熟度模型。

下面就简单介绍一下我心中的成熟度模型的相关控制,未分级大家可以依靠公司自己的特性来进行补充。

 

1. 管理安全控制

1.1 建立安全职责,目标就是组织中都明确自己的职责和责任
工作内容:

a) 组织安全机构组织架构图例如信息安全委员会等等,这里一定要注意安全机构一定级别足够的高,例如属于董[......]

阅读全文>>

[科普]Waf实现扫描器识别 彻底抵挡黑客扫描

目前安全测试的软件越来越多,也越来越强大,越来越多的人成为[黑客],今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。

因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还是扫描器的请求,就可以在这方面节省很大的资源。

下面的分析介绍只针对web安全扫描器。

目前全能型的扫描器主要是wvs(Acunetix Web Vulnerability Scanner)、AppScan、WebInspect,国内的像aisec、bug[……]

阅读全文>>