编程级别和运维级别的网络安全,在数智风看来只是视角不同,所以关注点会有所不同。这个不同的关注点就是它们的区别。
1、编程级别关注的安全在编程这个级别,程序员每天面对的是程序代码。主要工作是:框架设计、代码编写、部署测试、发布上线。而这些工作也涉及管理过程。所以,编程这里讲安全也可以从这个几个方向去说。
①、框架设计安全
在框架设计阶段,一般都必须定义出应用系统的各个层面,组件。以及他们之间的通讯方式。比如:某个程序设计分为:数据采集、网络传输、数据存储、数据交换,数据展现。那么我们就应该在各个层面都考虑一下安全。一般情况下会包括:
通讯协议:尽量采用加密传输;
数据格式:尽量采用二进制传输,或者加密文本;
数据存储:对核心机密数据需要加密存储,需要完善的权限管理;
②、代码编写安全
代码编写主要是根据功能需求进行编写代码。代码主要考虑尽量少产生bug和漏洞。因为bug和漏洞会给网络安全带来致命的弱点。一般有以下注意内容:
防止代码注入:源代码中所以涉及关键操作的代码关键字建议转码。避免在人机交互输入、参数传递中,被黑客恶意注入代码,导致执行效果发生变化。
代码bug:变量使用要恰当,不能混乱使用全局变量、局部变量,还有变量的上下边界。不要出现越界bug。导致代码奔溃或者出现漏洞;
内存控制:对内存的控制的代码,需要注意不要出现内存溢出的风险;
统一的权限管理:程序模块的权限应该可以被独立控制,账户权限也应该做到合理,不要一律采用最高权限。
必须输出日志:对于程序运行过程,必须输出日志,这样才可以追踪安全事件。
③、部署测试安全
部署测试,是代码已经编写好,进行部署测试。这里涉及的安全,主要有:
确保部署的测试环境涵盖尽量多的可能环境。
测试样例足够多,确保测试了各种可能性。
以上都是为了找出程序代码的缺陷,把缺陷补上,后面安全问题就少。
④、发布上线安全
这里比较简单,主要是程序即将进行正式环境检验。我们要保持安全追踪,对运行过程发生可疑行为,要及时分析找出原因纠正。
⑤、安全管理制度
整个开发过程,除了前面的技术安全,还需要有一套安全管理制度来确保少发生人为安全因素。安全管理制度要确实可行,有监督检查机制。
2、运维级别关注的网络安全在运维级别,大家关注的安全就比较多了。关注系统运行的物理安全、主机安全、存储安全、网络通讯安全、数据安全、应用安全。
①、物理安全
主要包括机房是否有完整的隔断,有门禁控制有权限的人员进出。视频监控确保可以追溯。机房的风火水电是否满足系统运行需要。
②、主机安全:
主要包括:物理主机需要有冗余,操作系统经常要打补丁,防病毒、防火墙必须要更新病毒库和特征库。日志需要保存至少90天。
③、存储安全:
主要包括:物理存储有冗余,磁盘应该有RAID、Hotspare保护。电源、控制器都必须有冗余。
④、网络通讯安全
主要包括:网络传输需要加密(比如SSL加密),需对网络按照安全等级划分不同的安全域和安全边界。在每个域的边界需要部署域防火墙,在网络出口边界需要部署出口防火墙。整个网络建议部署IPS入侵防御。高安全的信息系统需要部署在专网,专用网络和互联网采用物理隔离,数据交换通过网闸摆渡。网络日志也必须保存90天以上。
⑤、数据安全
主要包括:数据库加密、数据传输加密,以及防篡改。如果有敏感数据需要传输,必须进行脱敏处理。
⑥、应用安全:
主要包括:应用程序补丁要及时更新,应用程序代码要可审计,应用程序生成的日志也必须保存90天以上。
⑦、安全管理制度
运维同样需要一整套安全管理机制来保障运维过程不会出现人为故障,同时一般还会借助堡垒机和运维管理软件对运维人员进行权限控制和操作追踪。
总结综上所述,编程级别的网络安全和运维级别的网络安全,大家都是从技术和管理两个大方向去控制。但大家关注的点有所不同,所以他们的区别在于关注的不同。
编程级别:更关注代码的设计、产生、测试以及管理方面的安全。
运维级别:更关注系统运行的环境、主机、网络、存储、数据、管理等多方面的安全。
我是数智风,用经验问题,欢迎关注评论。
您好,这是两个层面的的问题,运维安全主要依靠管理制度和一些网络安全来支撑,做到如下几点:
1.熟悉安全管理制度
2.熟悉现有网络环境中的安全隐患
3.熟悉现有的网络安全产品
4.如何使现有的安全产品发挥更大的作用
编程级别的网络安全有如下几点:
1.身份鉴别技术
2.数据保密技术
3.传输保密技术
编程方面您需要熟悉密码学相关知识并应用到编程中。
希望对您有帮助
要知道网络安全,首先要了解网络模型:
物理层:
该层包括物理连网媒介,如网卡。物理层的协议产生并检测电压以便发送和接收携带数据的信号。管物理层不提供纠错服务,但它能够设定数据传输速率并监测数据出错率。网络物理问题,如电线断开,将影响物理层。
数据链路层:
在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。定义了如何让格式化数据以进行传输,以及如何让控制对物理介质的访问,这一层通常还提供错误检测和纠正,以确保数据的可靠传输。
网络层:
在位于不同地理位置的网络中的两个主机系统之间提供连接和路径选择。将网络地址翻理地址,决定了如何将数据从起始地发送到目的地。通过 发送优先权、网络拥塞程度、服务质量、可选路由花费,决定从节点A到节点B的最佳路径。
传输层
定义了一些传输数据的协议和端口号(WWW端口80等),如:TCP(传输控制协议,传输效率低,可靠性强,用于传输可靠性要求高,数据量大的数据),UDP(用户数据报协议,与TCP特性恰恰相反,用于传输可靠性要求不高,数据量小的数据,如QQ聊天数据就是通过这种方式传输的), 主要是将从下层接收的数据进行分段和传输,到达目的地址后再进行重组,常常把这一层数据叫做段。
会话层
负责在网络中的两节点之间建立、维持和终止通信。 会话层的功能包括:建立通信链接,保持会话过程通信链接的畅通,同步两个节点之间的对话,决定通信是否被中断以及通信中断时决定从何处重新发送。通过传输层(端口号:传输端口与接收端口)建立数据传输的通路,主要在你的系统之间发起会话或者接受会话请求(设备之间需要互相认识可以是IP也可以是MAC或者是主机名)。
表示层
应用程序和网络之间的翻译官,在表示层,数据将按照网络能理解的方案进行格式化;这种格式化也因所使用网络的类型不同而不同。 表示层管理数据的解密与加密,如系统口令的处理。可确保一个系统的应用层所发送的信息可以被另一个系统的应用层读取。例如,PC程序与另一台计算机进行通信,其中一台计算机使用扩展二一十进制交换码(EBCDIC),而另一台则使用美国信息交换标准码(ASCII)来表示相同的字符。如有必要,表示层会通过使用一种通格式来实现多种数据格式之间的转换。
应用层
发送方现在已经知道自己发的是什么东西,转化成字节有多长。但是接收方不知道,所以应用层的网络协议诞生了。规定发送方和接收方必须使用固定长度的消息头。消息头必须使用某种固定的组成。而且消息头里必须记录消息体的长度等一系列信息。方便接收方能够解析发送方发送的数据。
总结:
开发人员(编程级别网络安全)关注的是应用层的安全,如消息传输的加密,防止SQL注入,防止跨站点攻击等。
网络管理员(运维级别网络安全)关注的是应用层以下的安全,如ARP欺诈,DDOS攻击等。
版权说明:
5月22日 
3333 浏览
5月21日 2399 浏览
5月18日 33331 浏览
12月10日 198 浏览
12月10日 187 浏览
5月17日 364 浏览
1月30日 331 浏览
1月30日 322 浏览
当前位置:
