第12章 应用安全体系建设

信息安全的防御遵从木桶原理,这个观点在安全界受到一致认可,所以整个应用安全状态不是由某一个业务点或者功能点决定,需要从根源去解决安全问题。

我认为企业安全防御包含两点:横向细化策略和纵深策略。横向细化策略的精髓在于坚持能杀掉一个是一个的原则,依靠规则量来填补空洞,规则做得越细,拦掉的攻击越多。这是在提升黑客的攻击成本,而缺点在于同样也提升了防御成本,需要更多的投入。而纵深防御策略是假设上一层防御策略失效而设计的内网防御策略。这两种安全原则不仅仅用在企业整体安全建设上,更是要细化到每个应用设计上面。

本章将介绍横向细化策略和纵深策略的具体实施方法和典型案例,如给一个后台登录口加上手机短信验证,加上验证码,再加上密码错误次数限制等,这些手段都是为了防止暴力破解行为。而当攻击者通过其他手段得到了内网访问权限,这时候登录还需要设置手机短信验证码来验证登录权限等手段。