建立可信的開發(fā)環(huán)境,這" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 行業(yè)動(dòng)態(tài) > 寫在最后,也寫給自己

寫在最后,也寫給自己

時(shí)間:2022-04-19 23:24:01 | 來源:行業(yè)動(dòng)態(tài)

時(shí)間:2022-04-19 23:24:01 來源:行業(yè)動(dòng)態(tài)

回顧針對(duì)供應(yīng)鏈發(fā)動(dòng)APT攻擊的真實(shí)案例再次證明了,在軟硬件開發(fā)交付環(huán)節(jié)被攻擊后會(huì)產(chǎn)生巨大危害,故軟件開發(fā)及交付環(huán)節(jié)的安全防范至關(guān)重要。為此,亞信安全建議軟硬件廠商在開發(fā)交付環(huán)節(jié)盡可能做到:

  1. 建立可信的開發(fā)環(huán)境,這包括可控可信任的軟硬件環(huán)境,諸如正規(guī)渠道購買、下載的軟硬件,可信的第三方開源/商業(yè)庫、算法等,采購安全可信的軟件外包服務(wù)。關(guān)注所用組件的安全通告,如被揭露出嚴(yán)重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時(shí)升級(jí)相關(guān)的組件。

  2. 培養(yǎng)開發(fā)人員的安全意識(shí),將SDL融入到開發(fā)流程中,把安全性的評(píng)估作為開發(fā)過程中的必要評(píng)審項(xiàng)。開發(fā)環(huán)節(jié)嚴(yán)格遵守開發(fā)規(guī)范,開發(fā)完成的軟硬件發(fā)布前,交給獨(dú)立的內(nèi)部或外部測(cè)評(píng)組織進(jìn)行安全性評(píng)估,及時(shí)解決所發(fā)現(xiàn)的問題。

  3. 在正規(guī)且統(tǒng)一的可信渠道發(fā)布軟件,軟件安裝運(yùn)行時(shí)能夠提供強(qiáng)校驗(yàn)?zāi)芰?,升?jí)更新自身時(shí)校驗(yàn)下載回來安裝包的簽名,并且將相關(guān)簽名證書作為企業(yè)核心資產(chǎn)嚴(yán)格保管,保證證書不泄露,不會(huì)運(yùn)行被劫持的升級(jí)包。

最后,還有一點(diǎn)值得關(guān)注,與SolarWinds類似的國內(nèi)外IT管理軟件,均存在著權(quán)限過大的問題,一旦被入侵,所造成的影響也將覆蓋到整個(gè)業(yè)務(wù)層面。具體來說,IT運(yùn)維管理軟件在企業(yè)網(wǎng)絡(luò)架構(gòu)中擁有絕對(duì)的超級(jí)權(quán)利,從技術(shù)角度來看,它控制了工作在底層的運(yùn)維平臺(tái),就能將整個(gè)網(wǎng)絡(luò)的信息轉(zhuǎn)發(fā)到任何一個(gè)接收點(diǎn),沒有任何障礙,且不易察覺。甚至在一些特殊行業(yè)(金融、能源、制造)的封閉網(wǎng)絡(luò),別有用心者(內(nèi)鬼)一旦觸及或接管運(yùn)維系統(tǒng)的管理權(quán),用戶也很難確保核心數(shù)據(jù)不會(huì)造成泄露。

關(guān)鍵詞:

74
73
25
news

版權(quán)所有? 億企邦 1997-2022 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點(diǎn)擊下載Chrome瀏覽器
關(guān)閉