关于网络服务的安全原则（安全培训简要提纲）

 

安全的原则是： 多上几把锁，多加几道防火墙 （需要了解常见的手段，waf、主动安全防护层、常见的安全措施）

 

绷着一根弦（安全）：安全问题多思考，多走一步，就是巨大的商业价值。无数惨痛的血泪教训，其实都可以通过在设计开发阶段多走一小步解决。（需要了解各类常见的安全漏洞，sql注入，xss等，拒绝服务攻击等）

 

内在逻辑：有多道防护情况下，兜底原则；在出现不可预知的环境变化情况下（人为或机器因素、或各类隐含因素诱发），能保障至少有一道防火墙（措施）生生效，这样可以保障底线安全。

 

性能考量：多加几层防护，一般情况下并不会对性能产生多大的影响。

①一般情况下，多增加的防护一般是CPU计算层面，当前时代CPU资源一般是过剩的，程序的性能瓶颈遇到的一般是计算层面之外的瓶颈（IO、网络并发等）；

②不能脱离压测场景，空谈性能。（完美是成功的敌人）

 

------------------------------------------------------------------------------

 

关于安全编码几个参考观点：

 

① 安全编码是软件生命周期中的重要一环，让研发人员更好的理解和实践安全开发，一直是安全从业者努力的方向。

 

② 经统计，90%的安全问题可以通过前置安全编码和安全配置的方式进行规避。