偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

企業(yè)應(yīng)用安全深入解析 拿什么來(lái)拯救你

安全 應(yīng)用安全
為了滿足用戶日益增長(zhǎng)的服務(wù)需求,企業(yè)應(yīng)用不斷在如何提供更好的服務(wù)支持和更大信息量的傳輸方面加大技術(shù)投入。而與此失衡的是,企業(yè)應(yīng)用的安全性卻未能受到足夠的重視。

當(dāng)計(jì)算機(jī)將我們包圍、當(dāng)網(wǎng)絡(luò)無(wú)處不在時(shí),安全問(wèn)題也成為我們?nèi)找骊P(guān)心的問(wèn)題。我們依賴于網(wǎng)絡(luò),同時(shí)又受限于網(wǎng)絡(luò),而網(wǎng)絡(luò)本身卻是不安全的!如今越來(lái)越多的企業(yè)應(yīng)用都架設(shè)在網(wǎng)絡(luò)平臺(tái)之上,雖然能為用戶提供更快捷和便利的服務(wù)支持,但這些服務(wù)支持也越來(lái)越龐大。與此同時(shí),為了滿足用戶日益增長(zhǎng)的服務(wù)需求,企業(yè)應(yīng)用不斷在如何提供更好的服務(wù)支持和更大信息量的傳輸方面加大技術(shù)投入。而與此失衡的是,企業(yè)應(yīng)用的安全性卻未能受到足夠的重視。單憑用戶名和口令鑒別用戶身份,繼而授權(quán)用戶使用的方式難以確保數(shù)據(jù)的安全性。

我們身邊的安全問(wèn)題

安全,似乎是個(gè)問(wèn)題。但是,我們覺(jué)得這個(gè)話題似乎不是那么關(guān)鍵!通常情況下,我們?yōu)橛脩籼峁┯脩裘涂诹铗?yàn)證的方式就可以避免這個(gè)問(wèn)題,但這不是最佳答案,因?yàn)檫@樣做是遠(yuǎn)遠(yuǎn)不夠的。安全隱患無(wú)處不在,還是先來(lái)看看我們所處環(huán)境的安全狀況吧!

存儲(chǔ)問(wèn)題

閃存芯片的快速革命使得移動(dòng)存儲(chǔ)行業(yè)發(fā)生了質(zhì)的變化,各種數(shù)據(jù)存儲(chǔ)在各種不同的移動(dòng)存儲(chǔ)設(shè)備上。當(dāng)一部?jī)?yōu)盤塞滿了公司的年度報(bào)表、下一年企劃策略等各種商業(yè)機(jī)密后,突然不翼而飛時(shí),我們才會(huì)猛然驚醒—優(yōu)盤中的數(shù)據(jù)沒(méi)有任何安全措施,甚至連口令都沒(méi)有!

通信問(wèn)題

我們習(xí)慣于通過(guò)IM工具與好友聊天、交換心情、透漏隱私,甚至通過(guò)IM工具與合作公司交換公司私密數(shù)據(jù)!當(dāng)你的隱私成為公共話題,當(dāng)你的公司的商業(yè)數(shù)據(jù)被曝光,你突然發(fā)現(xiàn)原來(lái)IM工具是不安全的!沒(méi)錯(cuò),不管是哪一種IM工具,都在不遺余力地告誡用戶聊天信息可能被盜取,“安全提示:不要將銀行卡號(hào)暴露在您的聊天信息中!”相信大家都不會(huì)對(duì)這條提示信息感到陌生。

B2C、B2B交易問(wèn)題

到郵局排隊(duì)匯款的日子已經(jīng)一去不復(fù)返了,取而代之的是網(wǎng)上銀行,輕松地點(diǎn)擊一下按鈕就能順利完成轉(zhuǎn)賬的操作。網(wǎng)上銀行的確為我們的生活帶來(lái)了便利,但是,如果我們有被釣魚(yú)網(wǎng)站騙取銀行卡號(hào)和密碼的不幸遭遇,現(xiàn)在想起來(lái)是不是仍然心有余悸難道沒(méi)有一種辦法能確保我們輸入的信息被發(fā)送到安全的地方嗎 服務(wù)交互問(wèn)題隨著大型應(yīng)用對(duì)交互性的需求越來(lái)越高,這些應(yīng)用之間的數(shù)據(jù)交互也越來(lái)越頻繁,甚至是大批量、高負(fù)荷的數(shù)據(jù)交互。當(dāng)你公司的應(yīng)用通過(guò)Web Service接口與合作伙伴交互數(shù)據(jù)的時(shí)候,你該如何確定對(duì)方就是你所信賴的合作伙伴呢你的Web Service接口安全嗎

移動(dòng)應(yīng)用服務(wù)問(wèn)題

3G時(shí)代已經(jīng)來(lái)臨,在不遠(yuǎn)的某一天,你將完全可以通過(guò)手機(jī)完成現(xiàn)在只能通過(guò)PC完成的事情。視頻聊天、B2C購(gòu)物、銀行轉(zhuǎn)賬,等等。3G時(shí)代預(yù)示著智能手機(jī)將無(wú)所不能!其實(shí)手機(jī)也是計(jì)算機(jī),只不過(guò)它與你熟悉的PC在體積上有較大的差別而已。3G手機(jī)一樣要通過(guò)網(wǎng)絡(luò)完成你要執(zhí)行的操作,將平臺(tái)由PC轉(zhuǎn)換為手機(jī),并不能保證手機(jī)平臺(tái)就能比PC平臺(tái)有著更高的安全性!

用手機(jī)在WAP網(wǎng)站上下載一款軟件,是再平常不過(guò)的事情了。但是,如何避免用戶因不夠信任該軟件而取消下載呢下載后,手機(jī)如何鑒別這個(gè)軟件是安全的呢如何避免發(fā)布的軟件在被客戶成功下載之前被篡改呢

內(nèi)部人為問(wèn)題

前面列舉的問(wèn)題都來(lái)源于外部,我們往往忽略了內(nèi)部人為問(wèn)題?,F(xiàn)在的企業(yè)應(yīng)用都能為用戶提供用戶名和口令來(lái)確保用戶的數(shù)據(jù)安全,但很多時(shí)候用戶名和口令在數(shù)據(jù)庫(kù)中卻一目了然,甚至有的是以明文方式存儲(chǔ)的!企業(yè)內(nèi)部任何能訪問(wèn)數(shù)據(jù)庫(kù)的員工都能輕而易舉地盜取用戶的用戶名口令,冒充用戶的身份完成各種合乎用戶行為的操作,侵害用戶的利益。企業(yè)因此被用戶投訴之后,卻又找不到任何蛛絲馬跡。

當(dāng)我們的利益受到侵犯時(shí)我們才會(huì)想起安全問(wèn)題,安全原來(lái)如此重要!一不小心,你的企業(yè)應(yīng)用就會(huì)因?yàn)閿?shù)據(jù)泄露而喪失良機(jī)、引發(fā)投訴,甚至是巨額賠款!安全問(wèn)題關(guān)系著企業(yè)的生死存亡!#p#

拿什么來(lái)拯救你,我的應(yīng)用

“拿什么來(lái)保護(hù)你,我的應(yīng)用”這幾乎是每一位架構(gòu)師和安全工作者所關(guān)注的問(wèn)題??戳松厦婺敲炊嘧屓瞬缓醯陌踩珕?wèn)題,免不了讓我們心里發(fā)怵。道高一尺,魔高一丈,我們先來(lái)看看有什么武器可以應(yīng)對(duì)企業(yè)應(yīng)用的安全問(wèn)題。接下來(lái)會(huì)討論安全技術(shù)目標(biāo)、OSI安全體系結(jié)構(gòu)與TCP/IP安全體系結(jié)構(gòu)這三方面的內(nèi)容。

安全技術(shù)目標(biāo)

國(guó)際標(biāo)準(zhǔn)化組織(ISO)對(duì)“計(jì)算機(jī)安全”的定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。”根據(jù)美國(guó)國(guó)家信息基礎(chǔ)設(shè)施(NII)提供的文獻(xiàn),安全技術(shù)目標(biāo)包含保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可靠性(Reliability)和抗否認(rèn)性(Non-Repudiation)。

保密性:也稱做機(jī)密性。保密性確保數(shù)據(jù)僅能被合法的用戶訪問(wèn),即數(shù)據(jù)不能被未授權(quán)的第三方使用。

完整性:主要確保數(shù)據(jù)只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改,即數(shù)據(jù)在傳輸過(guò)程中不能被未授權(quán)方修改。

可用性:主要確保所有數(shù)據(jù)僅在適當(dāng)?shù)臅r(shí)候可以由授權(quán)方訪問(wèn)。

可靠性:主要確保系統(tǒng)能在規(guī)定條件下、規(guī)定時(shí)間內(nèi)、完成規(guī)定功能時(shí)具有穩(wěn)定的概率。

抗否認(rèn)性:也稱做抗抵賴性,主要確保發(fā)送方與接收方在執(zhí)行各自操作后,對(duì)所做的操作不可否認(rèn)。

除此之外,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的其他安全技術(shù)目標(biāo)還包括:

可控性:主要是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。

可審查性:主要是通過(guò)審計(jì)、監(jiān)控、抗否認(rèn)性等安全機(jī)制,確保數(shù)據(jù)訪問(wèn)者(包括合法用戶、攻擊者、破壞者、抵賴者)的行為有證可查,當(dāng)網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí),提供調(diào)查依據(jù)和手段。

認(rèn)證(鑒別):主要確保數(shù)據(jù)訪問(wèn)者和信息服務(wù)者的身份真實(shí)有效。

訪問(wèn)控制:主要確保數(shù)據(jù)不被非授權(quán)方或以未授權(quán)方式使用。

安全技術(shù)目標(biāo)制定的主旨在于預(yù)防安全隱患的發(fā)生。安全技術(shù)目標(biāo)是構(gòu)建安全體系結(jié)構(gòu)的基礎(chǔ)。

OSI安全體系結(jié)構(gòu)

OSI參考模型是由國(guó)際標(biāo)準(zhǔn)化組織制定的開(kāi)放式通信系統(tǒng)互聯(lián)參考模型( Open SystemInterconnection Reference Model,OSI/RM)。OSI參考模型包括網(wǎng)絡(luò)通信、安全服務(wù)和安全機(jī)制。網(wǎng)絡(luò)通信共分七層,按照由下至上的次序分別由物理層(Physical Layer)、數(shù)據(jù)鏈路層(Data Link Layer)、網(wǎng)絡(luò)層(Network Layer)、傳輸層(Transport Layer)、會(huì)話層(SessionLayer)、表示層(Presentation Layer)和應(yīng)用層(Application Layer)構(gòu)成。其中,數(shù)據(jù)鏈路層通常簡(jiǎn)稱為鏈路層。國(guó)際標(biāo)準(zhǔn)化組織于1989年在原有網(wǎng)絡(luò)通信協(xié)議七層模型的基礎(chǔ)上擴(kuò)充了OSI參考模型,確立了信息安全體系結(jié)構(gòu),并于1995年再次在技術(shù)上進(jìn)行了修正。OSI安全體系結(jié)構(gòu)包括五類安全服務(wù)以及八類安全機(jī)制。

五類安全服務(wù)包括認(rèn)證(鑒別)服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認(rèn)性服務(wù)。

認(rèn)證(鑒別)服務(wù):在網(wǎng)絡(luò)交互過(guò)程中,對(duì)收發(fā)雙方的身份及數(shù)據(jù)來(lái)源進(jìn)行驗(yàn)證。

訪問(wèn)控制服務(wù):防止未授權(quán)用戶非法訪問(wèn)資源,包括用戶身份認(rèn)證和用戶權(quán)限確認(rèn)。

數(shù)據(jù)保密性服務(wù):防止數(shù)據(jù)在傳輸過(guò)程中被破解、泄露。

數(shù)據(jù)完整性服務(wù):防止數(shù)據(jù)在傳輸過(guò)程中被篡改。

抗否認(rèn)性服務(wù):也稱為抗抵賴服務(wù)或確認(rèn)服務(wù)。防止發(fā)送方與接收方雙方在執(zhí)行各自操作后,否認(rèn)各自所做的操作。

從上述對(duì)安全服務(wù)的詳細(xì)描述中我們不難看出,OSI參考模型安全服務(wù)緊扣安全技術(shù)目標(biāo)。八類安全機(jī)制包括加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制和公證機(jī)制。

加密機(jī)制:加密機(jī)制對(duì)應(yīng)數(shù)據(jù)保密性服務(wù)。加密是提高數(shù)據(jù)安全性的最簡(jiǎn)便方法。通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密,有效提高了數(shù)據(jù)的保密性,能防止數(shù)據(jù)在傳輸過(guò)程中被竊取。常用的加密算法有對(duì)稱加密算法(如DES算法)和非對(duì)稱加密算法(如RSA算法)。

數(shù)字簽名機(jī)制:數(shù)字簽名機(jī)制對(duì)應(yīng)認(rèn)證(鑒別)服務(wù)。數(shù)字簽名是有效的鑒別方法,利用數(shù)字簽名技術(shù)可以實(shí)施用戶身份認(rèn)證和消息認(rèn)證,它具有解決收發(fā)雙方糾紛的能力,是認(rèn)證(鑒別)服務(wù)最核心的技術(shù)。在數(shù)字簽名技術(shù)的基礎(chǔ)上,為了鑒別軟件的有效性,又產(chǎn)生了代碼簽名技術(shù)。常用的簽名算法有RSA算法和DSA算法等。

訪問(wèn)控制機(jī)制:訪問(wèn)控制機(jī)制對(duì)應(yīng)訪問(wèn)控制服務(wù)。通過(guò)預(yù)先設(shè)定的規(guī)則對(duì)用戶所訪問(wèn)的數(shù)據(jù)進(jìn)行限制。通常,首先是通過(guò)用戶的用戶名和口令進(jìn)行驗(yàn)證,其次是通過(guò)用戶角色、用戶組等規(guī)則進(jìn)行驗(yàn)證,最后用戶才能訪問(wèn)相應(yīng)的限制資源。一般的應(yīng)用常使用基于用戶角色的訪問(wèn)控制方式,如RBAC(Role Basic Access Control,基于用戶角色的訪問(wèn)控制)。

數(shù)據(jù)完整性機(jī)制:數(shù)據(jù)完整性機(jī)制對(duì)應(yīng)數(shù)據(jù)完整性服務(wù)。數(shù)據(jù)完整性的作用是為了避免數(shù)據(jù)在傳輸過(guò)程中受到干擾,同時(shí)防止數(shù)據(jù)在傳輸過(guò)程中被篡改,以提高數(shù)據(jù)傳輸完整性。通??梢允褂脝蜗蚣用芩惴▽?duì)數(shù)據(jù)加密,生成唯一驗(yàn)證碼,用以校驗(yàn)數(shù)據(jù)完整性。常用的加密算法有MD5算法和SHA算法等。

認(rèn)證機(jī)制:認(rèn)證機(jī)制對(duì)應(yīng)認(rèn)證(鑒別)服務(wù)。認(rèn)證的目的在于驗(yàn)證接收方所接收到的數(shù)據(jù)是否來(lái)源于所期望的發(fā)送方,通??墒褂脭?shù)字簽名來(lái)進(jìn)行認(rèn)證。常用算法有RSA算法和DSA算法等。

業(yè)務(wù)流填充機(jī)制:也稱為傳輸流填充機(jī)制。業(yè)務(wù)流填充機(jī)制對(duì)應(yīng)數(shù)據(jù)保密性服務(wù)。業(yè)務(wù)流填充機(jī)制通過(guò)在數(shù)據(jù)傳輸過(guò)程中傳送隨機(jī)數(shù)的方式,混淆真實(shí)的數(shù)據(jù),加大數(shù)據(jù)破解的難度,提高數(shù)據(jù)的保密性。

路由控制機(jī)制:路由控制機(jī)制對(duì)應(yīng)訪問(wèn)控制服務(wù)。路由控制機(jī)制為數(shù)據(jù)發(fā)送方選擇安全網(wǎng)絡(luò)通信路徑,避免發(fā)送方使用不安全路徑發(fā)送數(shù)據(jù),提高數(shù)據(jù)的安全性。

公證機(jī)制:公正機(jī)制對(duì)應(yīng)抗否認(rèn)性服務(wù)。公證機(jī)制的作用在于解決收發(fā)雙方的糾紛問(wèn)題,確保兩方利益不受損害。類似于現(xiàn)實(shí)生活中,合同雙方簽署合同的同時(shí),需要將合同的第三份交由第三方公證機(jī)構(gòu)進(jìn)行公證。

安全機(jī)制對(duì)安全服務(wù)做了詳盡的補(bǔ)充,針對(duì)各種服務(wù)選擇相應(yīng)的安全機(jī)制可以有效地提高應(yīng)用安全性。隨著技術(shù)的不斷發(fā)展,各項(xiàng)安全機(jī)制相關(guān)的技術(shù)不斷提高,尤其是結(jié)合加密理論之后,應(yīng)用安全性得到了顯著提高。本書(shū)的后續(xù)章節(jié)將以加密理論及其相應(yīng)實(shí)現(xiàn)為基礎(chǔ),逐步闡述如何通過(guò)加密技術(shù)確保企業(yè)應(yīng)用的安全。

TCP/IP安全體系結(jié)構(gòu)

OSI參考模型為解決網(wǎng)絡(luò)問(wèn)題提供了行之有效的方法,但是衛(wèi)星和無(wú)線網(wǎng)絡(luò)的出現(xiàn),使得現(xiàn)有的協(xié)議在與衛(wèi)星和無(wú)線網(wǎng)絡(luò)互聯(lián)時(shí)出現(xiàn)了問(wèn)題,由此產(chǎn)生了TCP/IP參考模型。TCP/IP從字面上看是兩個(gè)Internet上的網(wǎng)絡(luò)協(xié)議(TCP是傳輸控制協(xié)議,IP是網(wǎng)際協(xié)議),但實(shí)際上TCP/IP是一組網(wǎng)絡(luò)協(xié)議,通常包括TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP、TFTP等協(xié)議。TCP/IP參考模型由下至上分為網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。#p#

捍衛(wèi)企業(yè)應(yīng)用安全的銀彈

通過(guò)對(duì)1.2節(jié)的學(xué)習(xí),我們已經(jīng)找到了處理安全問(wèn)題的武器。但是,我們還缺少一枚解決安全問(wèn)題的銀彈—密碼學(xué)。的確,密碼學(xué)是企業(yè)應(yīng)用安全問(wèn)題領(lǐng)域的一枚銀彈,是解決安全問(wèn)題的核心所在。

密碼學(xué)在安全領(lǐng)域中的身影

安全領(lǐng)域離不開(kāi)密碼學(xué)的支持。例如,在OSI安全體系結(jié)構(gòu)中通過(guò)數(shù)據(jù)加密確保數(shù)據(jù)的保密性,在TCP/IP安全體系結(jié)構(gòu)中以加密算法為基礎(chǔ)構(gòu)建SSL/TLS協(xié)議,這些都說(shuō)明密碼學(xué)與安全問(wèn)題密不可分。

密碼學(xué)在加密算法上大體可分為單向加密算法、對(duì)稱加密算法、非對(duì)稱加密算法三大類。MD5、SHA算法是單向加密算法的代表,單向加密算法是數(shù)據(jù)完整性驗(yàn)證的常用算法。DES算法是典型的對(duì)稱加密算法的代表,對(duì)稱加密算法是數(shù)據(jù)存儲(chǔ)加密的常用算法。RSA算法是典型的非對(duì)稱加密算法的代表,非對(duì)稱加密算法是數(shù)據(jù)傳輸加密的常用算法。對(duì)稱加密算法也可以用做數(shù)據(jù)傳輸加密,但非對(duì)稱加密算法在密鑰管理方面更有優(yōu)勢(shì)。相對(duì)對(duì)稱加密算法而言,非對(duì)稱加密算法在安全級(jí)別上等級(jí)更高,但非對(duì)稱加密算法在時(shí)間效率上遠(yuǎn)不如對(duì)稱加密算法。以密碼學(xué)為基礎(chǔ)的各種安全實(shí)現(xiàn)相繼出現(xiàn),如HTTPS協(xié)議和一系列的“數(shù)字技術(shù)”(數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字證書(shū)等),這些構(gòu)成了認(rèn)證技術(shù)的基礎(chǔ)。

密碼學(xué)為安全領(lǐng)域筑起了一道銅墻鐵壁。

密碼學(xué)與Java EE

Java EE對(duì)密碼學(xué)的支持是相當(dāng)廣泛的,主要表現(xiàn)在如下幾個(gè)方面:

Java API支持:Java API支持多種加密算法。如MessageDigest類,可以構(gòu)建MD5、SHA兩種加密算法;Mac類可以構(gòu)建HMAC加密算法;Cipher類可以構(gòu)建多種加密算法,如DES、AES、Blowfish對(duì)稱加密算法,以及RSA、DSA、DH等多種非對(duì)稱加密算法;Signature類可以用于數(shù)字簽名和簽名驗(yàn)證;Certificate類可用于操作證書(shū);等等。

JSP容器支持:常用的應(yīng)用服務(wù)器(如Tomcat)可以通過(guò)簡(jiǎn)單的配置支持SSL/TLS協(xié)議,獲取證書(shū)配置,有效地構(gòu)建HTTPS應(yīng)用。

Java工具支持:通過(guò)KeyTool可以很好地完成密鑰管理、證書(shū)管理等;通過(guò)JarSigner可以完成代碼簽名。

為你的企業(yè)應(yīng)用上把鎖

終于,我們準(zhǔn)備好了應(yīng)對(duì)企業(yè)應(yīng)用安全問(wèn)題的良策?,F(xiàn)在,讓我們?yōu)樽约旱钠髽I(yè)應(yīng)用裝上這一道道的安全鎖。

訪問(wèn)控制:通過(guò)為用戶設(shè)定用戶名和口令控制用戶訪問(wèn)權(quán)限。這是我們最常用的,也是最簡(jiǎn)單的防范措施。隨著企業(yè)應(yīng)用業(yè)務(wù)的不斷細(xì)化,如何劃分用戶訪問(wèn)控制權(quán)限,如何控制不同類型的用戶(如超級(jí)管理員、普通用戶、VIP用戶)訪問(wèn)受限資源成為新的問(wèn)題。通常依靠各種理論基礎(chǔ)來(lái)劃分,常用的劃分方式有:以用戶組為單位劃分某組用戶可以訪問(wèn)某些資源(Linux操作系統(tǒng)是這種劃分方式的典型代表);以用戶角色為單位劃分具有何種角色的用戶可以訪問(wèn)哪些相應(yīng)的資源,如我們已經(jīng)提到過(guò)的RBAC。訪問(wèn)控制通常沒(méi)有固定的算法,由架構(gòu)師根據(jù)系統(tǒng)設(shè)計(jì)需求進(jìn)行相應(yīng)的設(shè)計(jì)。訪問(wèn)控制僅僅能起到企業(yè)應(yīng)用第一層屏障的作用,最易實(shí)現(xiàn)也最不安全,適用于安全系數(shù)較低的企業(yè)應(yīng)用。

數(shù)據(jù)加密:通過(guò)對(duì)數(shù)據(jù)的加密、解密可以有效地提高企業(yè)應(yīng)用的安全性。數(shù)據(jù)加密可以應(yīng)用在企業(yè)應(yīng)用中的多個(gè)環(huán)節(jié)。例如,可對(duì)機(jī)要數(shù)據(jù)進(jìn)行加密后再存儲(chǔ),對(duì)用戶的口令加密后存儲(chǔ)可有效避免口令盜取導(dǎo)致的用戶利益侵犯問(wèn)題;對(duì)網(wǎng)絡(luò)傳數(shù)據(jù)加密,對(duì)用戶聊天信息加密傳輸可以確保用戶隱私不易被破譯;對(duì)要傳輸?shù)臄?shù)據(jù)做加密摘要,各種通過(guò)網(wǎng)絡(luò)傳播的光盤文件(ISO文件)同時(shí)附有摘要信息作為驗(yàn)證,可以驗(yàn)證數(shù)據(jù)完整性。數(shù)據(jù)加密適用于多種企業(yè)應(yīng)用,架構(gòu)師可根據(jù)具體要求實(shí)施相應(yīng)的加密防范措施。

證書(shū)認(rèn)證:通過(guò)數(shù)字證書(shū)認(rèn)證可以鑒別用戶身份、消息來(lái)源的可靠性,加上HTTPS協(xié)議的支持可達(dá)到高度的數(shù)據(jù)安全性。數(shù)字證書(shū)由權(quán)威的數(shù)字證書(shū)認(rèn)證中心(CertificateAuthority,CA)頒布。數(shù)字證書(shū)經(jīng)認(rèn)證中心簽名處理,任何第三方都無(wú)法修改證書(shū)的內(nèi)容。數(shù)字證書(shū)自身帶有公鑰信息,可以對(duì)數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名驗(yàn)證。同時(shí),帶有MD5、SHA的消息摘要信息可做自身有效性驗(yàn)證。數(shù)字證書(shū)鑒于自身高度的安全性通常以文件形式存儲(chǔ),可通過(guò)網(wǎng)絡(luò)、物理存儲(chǔ)載體發(fā)送給用戶使用。通過(guò)讀取數(shù)字證書(shū)信息,HTTPS協(xié)議得以發(fā)揮安全信道通信的作用,確保數(shù)據(jù)交互的安全性。當(dāng)然,安全總是有代價(jià)的。通過(guò)數(shù)字證書(shū)對(duì)數(shù)據(jù)做處理后,網(wǎng)絡(luò)交互時(shí)間會(huì)相應(yīng)延遲,主要是因?yàn)榉菍?duì)稱加密算法的時(shí)間效應(yīng)。但為了更高的安全性,犧牲系統(tǒng)響應(yīng)時(shí)間是有必要的。通常在電子商務(wù)中,使用數(shù)字證書(shū)是最好的選擇,也是確保安全交易的唯一選擇。而大型企業(yè)應(yīng)用之間的大批量機(jī)要數(shù)據(jù)的交互,通常采用數(shù)字證書(shū)認(rèn)證的方式。架構(gòu)師可根據(jù)企業(yè)應(yīng)用的相應(yīng)領(lǐng)域,不同的業(yè)務(wù)需求選擇有效的數(shù)字證書(shū)確保企業(yè)應(yīng)用安全。#p#

編輯總結(jié)

大家都知道安全問(wèn)題很重要,卻不能很好地處理它。每當(dāng)安全事故發(fā)生時(shí),我們才想起要亡羊補(bǔ)牢,但往往為時(shí)已晚。在對(duì)安全現(xiàn)狀做了一些簡(jiǎn)要總結(jié)后,我們發(fā)現(xiàn)身邊的安全隱患無(wú)處不在,PDA里存的年度報(bào)表、好友的聊天信息、網(wǎng)上交易的銀行卡號(hào)以及輕易以明文存儲(chǔ)的口令信息等,都可能被盜取、泄露和篡改。

通過(guò)安全技術(shù)目標(biāo)的定義,我們知道安全技術(shù)目標(biāo)包含保密性、完整性、可用性、可靠性和抗否認(rèn)性。這五項(xiàng)技術(shù)目標(biāo)基本上概括了我們所遇到的安全隱患問(wèn)題,那么我們是否有一整套可行的對(duì)策呢安全體系結(jié)構(gòu)對(duì)這個(gè)問(wèn)題給予了相當(dāng)權(quán)威的理論支撐。

OSI參考模型在原有網(wǎng)絡(luò)通信七層結(jié)構(gòu)的基礎(chǔ)上構(gòu)建了OSI安全體系結(jié)構(gòu),它由五類安全服務(wù)和八類安全機(jī)制構(gòu)成。其中,五類安全服務(wù)以安全技術(shù)目標(biāo)為主旨,包括認(rèn)證(鑒別)服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認(rèn)性服務(wù);八類安全機(jī)制針對(duì)五類安全服務(wù)做了詳盡的補(bǔ)充,包括加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制和公證機(jī)制。

隨著衛(wèi)星和無(wú)線網(wǎng)絡(luò)的出現(xiàn),原有OSI參考模式已不能應(yīng)對(duì)這些網(wǎng)絡(luò)的安全問(wèn)題,TCP/IP得以出現(xiàn),安全問(wèn)題也隨即突出。為了解決這些安全問(wèn)題,TCP/IP安全體系結(jié)構(gòu)誕生了,包括網(wǎng)絡(luò)接口層安全、網(wǎng)絡(luò)層安全、傳輸層安全和應(yīng)用層安全四項(xiàng)內(nèi)容。其中,網(wǎng)絡(luò)接口層安全和網(wǎng)絡(luò)層安全依靠物理硬件來(lái)完成,傳輸層安全和應(yīng)用層安全通過(guò)SSL/TLS+HTTP協(xié)議(也就是HTTPS協(xié)議)來(lái)完成。

通過(guò)密碼學(xué),我們找到了應(yīng)對(duì)企業(yè)應(yīng)用安全問(wèn)題的銀彈,在Java EE企業(yè)應(yīng)用中也找到了相應(yīng)的支持。

雖然通過(guò)用戶名和口令的方式來(lái)控制用戶訪問(wèn)是最簡(jiǎn)單,甚至是最簡(jiǎn)陋的方法,但它仍是企業(yè)安全應(yīng)用的第一道屏障。我們可以合理使用相應(yīng)的訪問(wèn)控制理論來(lái)提高對(duì)用戶訪問(wèn)控制的安全性。例如基于用戶組與用戶角色的訪問(wèn)控制方式。在密碼學(xué)的支持下,我們可以對(duì)數(shù)據(jù)進(jìn)行加密和解密,確保數(shù)據(jù)的保密性,也可以通過(guò)信息摘要的方式對(duì)數(shù)據(jù)完整性進(jìn)行驗(yàn)證。單向加密算法可以對(duì)數(shù)據(jù)完整性進(jìn)行驗(yàn)證,常用算法如MD5、SHA。對(duì)稱加密算法可以用于數(shù)據(jù)加密存儲(chǔ),常用算法如DES。非對(duì)稱加密算法可用于數(shù)據(jù)加密傳輸,常用算法如RSA。我們制定出了相應(yīng)的算法,同時(shí)也需要相應(yīng)的載體。數(shù)字證書(shū)作為一種憑證,一種載體,可以用于數(shù)字加密解密、數(shù)字簽名驗(yàn)證、自身有效性驗(yàn)證,尤其是當(dāng)數(shù)字證書(shū)結(jié)合HTTPS協(xié)議應(yīng)用于電子商務(wù)后,極大地提高了網(wǎng)絡(luò)通信安全性。

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,新的存儲(chǔ)方式、新的網(wǎng)絡(luò)結(jié)構(gòu)將層出不窮,相應(yīng)的商務(wù)應(yīng)用環(huán)節(jié)也會(huì)發(fā)生翻天覆地的變化,緊隨其后的安全問(wèn)題也會(huì)“窮追不舍”。雖然我們可以通過(guò)各種技術(shù)相應(yīng)提高企業(yè)應(yīng)用的安全性,但這些技術(shù)統(tǒng)統(tǒng)基于密碼學(xué)理論。同樣,密碼學(xué)并不是固若金湯般的堅(jiān)不可摧,密碼學(xué)的破解每一天都有發(fā)生。我們應(yīng)當(dāng)合理使用各種安全技術(shù),使其有機(jī)結(jié)合、優(yōu)勢(shì)互補(bǔ),確保企業(yè)應(yīng)用具有更高的安全性。

責(zé)任編輯:藍(lán)雨淚 來(lái)源: 中關(guān)村在線
相關(guān)推薦

2011-06-01 14:24:22

設(shè)計(jì)移動(dòng)Web

2016-04-27 15:21:01

2018-10-17 10:19:34

網(wǎng)絡(luò)安全網(wǎng)絡(luò)病毒信息泄露

2012-05-13 13:01:56

安卓

2015-10-28 17:35:35

自動(dòng)化運(yùn)維Ansible配置管理

2012-08-27 15:10:02

技術(shù)人員

2011-03-24 15:00:48

2017-08-31 16:17:23

2014-11-28 11:02:22

云智慧

2017-07-14 10:51:20

DIY硬件市場(chǎng)

2011-03-31 14:21:42

保存數(shù)據(jù)

2012-06-11 13:29:54

2015-10-09 11:26:17

2018-06-03 15:57:05

2016-09-16 22:58:10

2014-05-14 15:09:06

2017-01-10 15:02:37

2015-07-20 11:19:43

互聯(lián)網(wǎng)失敗案例

2012-07-24 09:16:19

郵箱技巧

2017-11-16 10:25:25

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)