很可惜 T 。T 您现在还不是作者身份,不能自主发稿哦~
如有投稿需求,请把文章发送到邮箱tougao@appcpx.com,一经录用会有专人和您联系
咨询如何成为春羽作者请联系:鸟哥笔记小羽毛(ngbjxym)
在做产品工作的时候,因为软件开发的要求,研发和运维同学会面临搭建搭建服务器去完成分割产品的正式环境(生产环境)、欲发布(防线上环境)、测试环境,尤其是在用户量较高后,我们总是会有数据安全的要求,尤其是会涉及到第三方和政府机构检查。
在功能上的安全是产品经理接触较多的,比如我们做的审核功能、内容过滤功能,相信很少有产品经理了解这部分内容,欢迎收藏。
今天这篇文章适合那些产品的活跃用户量突破破百万以上、国企等特殊行业的产品经理/或互联网创业者创造阅读,我们怎么做到高用户量的数据安全、政策合规。
随着用户量越来越高,互联网公司的产品已经不只是一款商业化产品了,还要承担相关社会责任。比如曾经网络安全问题导致的探探下架,引起了竞品的快速增长,流失了不少用户。
我们在公司里至少会有开发环境、测试环境和生产环境,其他环境根据用户量区别、公司要求来做区分。比如对于探探这类产品至少有上面5个环境。下面对每个环节做了讲解
顾名思义,开发同学开发时使用的环境,每位开发同学在自己的dev分支上干活,提测前或者开发到一定程度,各位同学会合并代码,进行联调。
也就是我们测试同学干活的环境啦,一般会由测试同学自己来部署,然后在此环境进行测试。bug修复后,需要发版更新测试环境来回归bug。
回归bug的环境,其实就是我们的测试环境,在测试环境上测试、回归验证bug。
测试环境到生产环境的过渡。测试环境可能会受到一些限制,一些流程或者数据没有测试到,就可以在预发布环境进行验证,从而保证产品上线质量。
即线上环境,用户使用的环境。由特定人员来维护,一般人没有权限去修改。
无论产品的测试环境、还是线上环境,只要涉及到系统和公网有接触,就代表产品可能遭到外网攻击、和相关网络部门扫描发现系统安全隐患或漏斗,被进行通报甚至是介入下架。
▲ 系统安全扫描
扫描一般是提供对应准备部署的代码包进行扫描,还要提供对应的服务器IP地址扫描,就会出具安全报告。
安全等级会根据安全评估公司不同,等级划分有区别。但评估的方法是通过主机风险评估模型计算主机风险值,对于阅读本篇文章的产品经理,建议至少在比较安全以上。
如果不考虑,则几乎是处于比较危险或者非常危险。
非常危险 | 8.0 <= 网络风险值 <= 10.0 |
比较危险 | 5.0 <= 网络风险值 < 8.0 |
比较安全 | 1.0 <= 网络风险值 < 5.0 |
非常安全 | 0.0 <= 网络风险值 < 1.0 |
漏洞是指的是系统漏洞
危险程度 | 危险值区域 | 危险程度说明 |
高 | 7 <= 漏洞风险值 <= 10 | 攻击者可以远程执行任意命令或者代码,或对系统进行远程拒绝服务攻击。 |
中 | 4 <= 漏洞风险值 < 7 | 攻击者可以远程创建、修改、删除文件或数据,或对普通服务进行拒绝服务攻击。 |
低 | 0 <= 漏洞风险值 < 4 | 攻击者可以获取某些系统、服务的信息,或读取系统文件和数据。 |
漏洞的等级是根据CVSS规则,CVSS是用于评估漏洞的严重性,而不是对风险的评估。风险评分是需要每个企业根据企业特性的风险要素,进行识别后再进行风险判别。
CVSS通用漏洞评分系统,英文对应Common Vulnerability Scoring System。CVSS旨在评估安全漏洞的严重性,是全球各组织使用的公开标准。该标准由FIRST制定,并由其组织团队SIG(The CVSS Special Interest Group)改进和推广。
为了方便各位产品经理了解漏洞评级的概念可以我用下面举例
比如PMTalk产品经理社区的网站有自己的管理员账户、和子管理员账户,这些账户对应了一套权限范围,运营、数据分析、产品经理等。
在网站社区里也有自己的前端web服务和数据库管理系统,其系统也有独立的账户授权,比如数据库权限、服务管理权限。
现在有3个场景,可以用来解释
场景1:当攻击者利用漏洞攻击社区网站,并没有破坏数据库和网站功能,至少有服务器受到影响,比如管理员账户、子管理员账户泄漏,漏洞组件和受有影响组件一致均为:web服务
场景2:当攻击者利用漏洞攻击社区网站,破坏了数据库和产品,比如删除了文章、删除了用户数据,漏洞的组件是:web服务器,受影响组件:整个网站。
场景3:当攻击者利用漏洞攻击社区网站,用户输入的账户密码无法验证,同时还能给用户上传恶意代码,甚至是病毒,对访问用户的浏览行为进行执行,增加了影响防伪。
上面三种,都是影响漏洞分值的评估标准。
这一点在内网服务器非常常用!尤其是在测试服务器、生产环境还没有对外网打开的时候,为了保证访问的绝对安全,通过开通V PN账户,对VPN增加可以访问的IP地址权限,是在没有做到安全扫描的最简单、安全办法。
VPN开通需要创建账户,获得权限后再下载证书,对证书进行配置
互联网产品测试环境往往也是和公网链接的,还有很多项目管理软件我们会采取免费的来在部署到自己服务器使用,可是我们通过开通VPN又过于麻烦,因为要开通账户、和权限等,如果开发人员较多,就需要花非常多时间来管理这类账户、账户申请、权限开通等,所以可以对公司的办公网络进行限固定IP来访问,因为开发人员一般都是坐在一起或在同一个网络办公,增加了开发效率。
但这类管理方式,如果在服务器的开源软件是存在后门、或漏洞,那么仍然会造成系统安全。
最后要说明,很多公司因为商业化主导,所以安全都几乎没有投入资源,除了最基本的账户和密码有相关人员知晓。
比如我们偶尔会方便记忆,用非常滑稽的弱口令,比如最近乌克兰国防部系统账号密码曝光,竟然是admin和123456
据市场研究公司 Gartner 研究报告称"实施漏洞管理的企业会避免近 90% 的攻击"。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。
本文为作者独立观点,不代表鸟哥笔记立场,未经允许不得转载。
《鸟哥笔记版权及免责申明》 如对文章、图片、字体等版权有疑问,请点击 反馈举报
Powered by QINGMOB PTE. LTD. © 2010-2022 上海青墨信息科技有限公司 沪ICP备2021034055号-6
我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。
一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
1)反对宪法所确定的基本原则;
2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
5)煽动民族仇恨、民族歧视,破坏民族团结;
6)破坏国家宗教政策,宣扬邪教和封建迷信;
7)散布谣言,扰乱社会秩序,破坏社会稳定;
8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
12)危害未成年人身心健康的;
13)含有法律、行政法规禁止的其他内容;
2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
1)轻蔑:贬低、轻视他人及其劳动成果;
2)诽谤:捏造、散布虚假事实,损害他人名誉;
3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
6)谩骂:以不文明的语言对他人进行负面评价;
7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
8)威胁:许诺以不良的后果来迫使他人服从自己的意志;
3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
2)单个帐号多次发布包含垃圾广告的内容;
3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。
4. 色情低俗信息,主要表现为:
1)包含自己或他人性经验的细节描述或露骨的感受描述;
2)涉及色情段子、两性笑话的低俗内容;
3)配图、头图中包含庸俗或挑逗性图片的内容;
4)带有性暗示、性挑逗等易使人产生性联想;
5)展现血腥、惊悚、残忍等致人身心不适;
6)炒作绯闻、丑闻、劣迹等;
7)宣扬低俗、庸俗、媚俗内容。
5. 不实信息,主要表现为:
1)可能存在事实性错误或者造谣等内容;
2)存在事实夸大、伪造虚假经历等误导他人的内容;
3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。
6. 传播封建迷信,主要表现为:
1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
2)求推荐算命看相大师;
3)针对具体风水等问题进行求助或咨询;
4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;
7. 文章标题党,主要表现为:
1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
2)内容与标题之间存在严重不实或者原意扭曲;
3)使用夸张标题,内容与标题严重不符的。
8.「饭圈」乱象行为,主要表现为:
1)诱导未成年人应援集资、高额消费、投票打榜
2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序
9. 其他危害行为或内容,主要表现为:
1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
2)不当评述自然灾害、重大事故等灾难的;
3)美化、粉饰侵略战争行为的;
4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。
二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。
三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)