大数据和云计算项目研发流程的安全建设.pptxVIP

深入研发流程的安全建设 • 写在前面 讨论企业(研发)安全之前需要的思考 • • • 企业安全的核心是数据安全 深入研发流程了解数据流，剖析风险(新技术探 索) 问题推动安全建设，解决风险 内容概要 • • • 项目研发的核心五个流程 全研发流程中的安全风险 深入研发流程的安全建设 核心五个流程 项目需求安全风险 • • • • 项目需求安全风险 需求的本质是为了解决问题创造价值 需求本身是没有任何安全风险的 当前需求的核心风险点在哪？ 安全需要介入产品的需求评审阶段 需求潜在风险点分析 • • • 互联网产品的核心是数据安全 核心数据是什么？ 当前需求条件下，核心数据是否安全？ 系统设计 • 好的系统设计方案 • • 实现产品需求 规避核心数据的风险 系统设计缺陷一 系统设计缺陷一 • 移动端设计缺陷（数据交互弱加密） 系统设计缺陷二 系统设计缺陷二 • • SSRF（可跨网络边界攻击内网） 算法缺陷：MD5 碰撞问题 系统设计缺陷三 系统设计缺陷三 • • 授权问题（敏感系统可任意未授权访问） 网站架构设计（站库未分离） • • • • 更多关于系统设计缺陷 撞库问题 任意用户密码重置 第三方开源引用及服务的使用（openssl，struts2， redis） 心脏滴血、struts2命令执行、redis getshell • 系统设计阶段的风险 基础：安全规范执行 •