西西河

主题:【原创】网络安全的故事(一) -- 代码ABC

共:💬219 🌺1998 🌵1
全看分页树展 · 主题 跟帖
家园 继续

1.我把SQL注入也归入系统缺陷,只是在应用层面。这是典型的菜鸟程序员造成的问题。老鸟一般都把外部输入参数化。新的web程序一般也不再直接生成SQL,而是透过framework来和数据库交互,framework里也都是参数化的。OS一层的漏洞发现和厂商发布补丁之间的时间差一般小于两三个星期。IT部门如果每月打补丁,则有不到两个月的风险期。流程自动化程度高的话overhead可以忽略。

2.后面的措施就是为了防止木马被加载。

3.不光是流量,还有连接,比如服务器A不应该访问服务器B,现在switch上报告多个A到B的访问企图,可以判断A有问题,下一步控制switch作出反应。

4.网络存储指SAN,支持continuous data protection的SAN,和虚拟层一样,在OS的下层运行。

5.还有一点,前台服务器本身做成state less的虚拟机,如果存疑即将虚拟机状态回滚。或者干脆有个server farm,成员们轮班定期回滚。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河