在做互聯網產品時，不僅要對整個產品涉及到的配套設施和程序都要做安全評估，當然，僅是一般的小產品，臨時用下就不用這么復雜，南昌網站制作公司百恒網絡安全工程師在此是針對一些大項目或真正投入運營的項目進行相關介紹。安全評估的產出物，就是安全解決方案。解決方案一定要有針對性，這種針對性是由資產 等級劃分、威脅分析、風險分析等階段的結果給出的。

設計解決方案不難，難的是如何設計一個好的解決方案。設計一個好的解決方案，是真正 考驗安全工程師水平的時候。

很多人認為，安全和業務是沖突的，因為往往為了安全，要犧牲業務的一些易用性或者性 能，筆者不太贊同這種觀點。從產品的角度來說，安全也應該是產品的一種屬性。一個從未考 慮過安全的產品，至少是不完整的。

比如，我們要評價一個杯子是否好用，除了它能裝水，能裝多少水外，還要思考這個杯子內壁的材料是否會溶解在水里，是否會有毒，在高溫時會不會熔化，在低溫時是否易碎，這些 問題都直接影響用戶使用杯子的安全性。

對于互聯網來說，安全是要為產品的發展與成長保駕護航的。我們不能使用“粗暴”的安 全方案去阻礙產品的正常發展，所以應該形成這樣一種觀點：沒有不安全的業務，只有不安全 的實現方式。產品需求，尤其是商業需求，是用戶真正想要的東西，是業務的意義所在，在設 計安全方案時應該盡可能地不要改變商業需求的初衷。

作為安全工程師，要想的就是如何通過簡單而有效的方案，解決遇到的安全問題。安全方 案必須能夠有效抵抗威脅，但同時不能過多干涉正常的業務流程，在性能上也不能拖后腿。

好的安全方案對用戶應該是透明的，盡可能地不要改變用戶的使用習慣。

微軟在推出 Windows Vista 時，有一個新增的功能叫 UAC，每當系統里的軟件有什么敏感 動作時，UAC 就會彈出來詢問用戶是否允許該行為。這個功能在 Vista 眾多失敗的原因中是被 人詬病最多的一個。如果用戶能夠分辨什么樣的行為是安全的，那么還要安全軟件做什么?同 樣的問題出現在很多主動防御的桌面安全保護軟件中，它們動輒彈出個對話框詢問用戶是否允 許目標的行為，這是非?；闹嚨挠脩趔w驗。

好的安全產品或模塊除了要兼顧用戶體驗外，還要易于持續改進。一個好的安全模塊，同 時也應該是一個優秀的程序，從設計上也需要做到高聚合、低耦合、易于擴展。比如 Nmap 的 用戶就可以自己根據需要寫插件，實現一些更為復雜的功能，滿足個性化需求。

最終，一個優秀的安全方案應該具備以下特點：

● 能夠有效解決問題;

● 用戶體驗好;

● 高性能;

● 低耦合;

● 易于擴展與升級。

關于產品安全性的問題，在未來的文章中我們也會繼續介紹。

本文僅限內部技術人員學習交流,不得作于其他商業用途.希望此文對廣技人員有所幫助。原創文章出自:南昌網站設計公司-百恒網絡 http: //www.527701.com 如轉載請注明出處!