移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 移动安全 >

移动终端面对安然测验 数据加密成尺度谜底

时间:2013-11-20 13:02来源:TuZhiJiaMi企业信息安全专家 点击:
或许习惯了利用电脑作为信息措置终真小我很难想象智能机和移动互联网对现代信息措置和传播的影响,一样已利用了几十年只有通话或收发动静功能的手机用户也很难想象,手里这个小小的
Tags移动安全(560)数据加密(118)移动终端(4)  

  或许习惯了利用电脑作为信息措置终真小我很难想象智能机和移动互联网对现代信息措置和传播的影响,一样已利用了几十年只有通话或收发动静功能的手机用户也很难想象,手里这个小小的东西,此刻因为信息手艺和互联网能做到之前底子想都不敢想的工作。

  可以说手机和数据措置终端的调集体——智能机,将成为信息期间下一个里程碑的开端。可是手艺的成长和期间的进步其实不划一于顺利和安然,相反在社会进步和鼎新的过程中,危险和阻力是常常相伴摆布的。而在移动终端成长的过程,就面对着一场测验——一场来自数据、信息安然防护方面的测验。

  移动安然标题问题“从零开端” 延续存眷激发延续标题问题

  当然操纵手机和移动互联网措置和传播现代信息化的数据其实不是一个新手艺,可是智能机的突然崛起和普及加快了这个过程。作为一个新的数据措置终端,它的数据安然标题问题也像它的大年夜前辈——传统PC机一样,安然标题问题跟着存眷度的不竭进步而不竭被揭穿。此中被揭穿的一些标题问题,乃至与你终端、系统是甚么没有直接的联系,是更本源或说更“简单”的标题问题。

  两个移动设备安然专家比来发现了一个简单的编码缝隙,它遍及存在于苹果iOS平台上的利用法度中。假定被肆意地操纵,报复打击者可以借由这个缝隙将用户利用法度永久重定向到歹意办事器上,而不是由利用法度开辟者供给的合法办事器。

  这个缝隙被称为HTTP要求劫持,起首需要一个中间人报复打击场景,在这个场景中,黑客在公共设置中成立一个Wi-Fi收集,然后捕获信息,报复打击不知情的受害者。当一个移动利用法度诡计从一个办事器要求信息时,报复打击者反对通信,可以简单的发送一个301“永久移除”HTTP响应状况代码给利用法度,如许报复打击者 便可以改换掉落供给商的办事器,用本身的办事器作为利用法度的通信关头。

  信息安然方面的专家暗示这类编码弊端在移动利用法度上尤其严重,因为它们永久缓存301响应,不管受害者是不是仍然连接在不异的Wi-Fi收集上。Web浏览器在地址栏显示被拜候的URL,而移动利用法度却凡是不显示它们检索信息的办事器,如许受害者就没有线索知道他们是不是正在不雅看合法内容。虽然用户可以卸载一个利用法度,不外报复打击者可以经由过程这个简单的缝隙无期限地节制一个利用法度。

  至于报复打击者为甚么会选择这类报复打击路子,某信息安然专家举出了叙利亚电子戎行黑客报复打击美联社的Twitter账号并发出Twitter,导致美国股市临时暴跌的例子。当报复打击被发现的时辰,市场明显就开端改正过来。可是发现很快的启事之一是因为这个特别报复打击的账号是美联社的账号,该公司几近是顿时意想到这个标题问题。 这位专家指出,新发现的缝隙可以针对华尔街特定的生意商,例如,因为商业商的利用法度一被报复打击便可能会看到子虚的内容,很难被发现。

  同时业内的专家觉得,“我们很是依托我们的iPhone,我们依托手机里的利用法度并且觉得它们是靠得住的。这篇文章使我们想到:早上读新闻时,你是浏览到了真实的新闻仍是只是报复打击者发给你的子虚信息呢?”

  还有,当然以色列的研究人员证实这个标题问题只是呈此刻iOS平台上的利用法度中,可是某安然研究眼指出在某些特定的Android利用法度中一样存在类似的标题问题。 这位研究员说,不管若何,仍是人们对移动利用法度太有决定信念。苹果和谷歌已摆设了各自的利用法度商铺,他觉得从安然角度来讲这个别例是有效的,只是良多用户不正视会产生在肆意利用法度中的编码标题问题。

  最后这位研究员暗示:“十年前,大年夜家都觉得Web利用法度缝隙其实不紧要,可是今天,我们都知道呵护Web利用法度很是首要,操纵Web利用法度的缝隙又很简单。我预感移动设备的利用法度代码会产生标题问题,并且趋势已愈来愈较着。我觉得苹果和谷歌已做得很棒,可是一样这也是必定的。编码标题问题老是在产生,并且他们都有安然隐患。

  旧标题问题新威胁 面对本源标题问题需要本源防护

  明显以上发现的标题问题其实不是数据、信息方面威胁的新标题问题,只是平台产生了改变,加上平台新生的启事,使得这个标题问题可能被急速的恶化。所以面对近似威胁移动终端的旧平台上的新标题问题,采取更直接更本源的防护之法是最好的选择,而数据加密就是此中之一。在体味当今何种加密手艺能更好的解决以上标题问题之前,让我们先来体味一下数据加密防护的几个要素吧。

  1、机能:在我们决定加密数据时,需要考虑的一个最大年夜标题问题是,其机能影响若何?而对这个标题问题标答复只能是“视方案而定”。在我们的经验中,透明加密履行起来很好,它对数据库的机能影响一般从5%到8%不等。本地数据库对象加密对机能的影响可达到15%到20%。所以,企业必需按照本身的建设状况和机能要求考虑好此标题问题。

  2、把持:假定你要加密介质,最好可以或许包管在需要时可以或许及时从此介质恢复。这就要求你常常测试磁带。一样事理,假定你利用密钥轮换来知足监管要求,就该当试这个过程的把持过程和编制,并测试你的厂商若何措置出产环境中的新密钥和老密钥。你最好遵循打算来进行,而不要在思疑某个加密密钥蒙受粉碎后才往测试。

  3、复杂程度:加密系统都很复杂。你必需考虑加密引擎在哪里,它若何加密数据及加密哪些数据,哪些数据不加密,如何供给密钥等等。作为一名数据库治理员,你需要熟谙到这类复杂程度并包管本身完全理解加密系统若何工作,出格是在你要证实加密可以或许准确地知足合规要求时,这特别首要。

  加密的复杂性不但表此刻摆设方面,还表此刻实施阶段。有人觉得加密只不外是一个简单的数学公式标题问题,乃至还有人说,“咱能本身弄定!”。此言差矣。良多很有才的安然专家都在扶植本身的加密系统时栽了跟头。不要往成立本身的安然加密系统。不然,轻则造成不服安,重则会丢掉所稀有据。所以,你该当采取一种颠末查抄的可托的加密产品。

  4、密钥治理:你需要一个密钥治理系统来呵护密钥。治理员不克不及将密钥存储到数据库中,也不克不及将密钥存放到磁盘上。企业该当将密钥治理打算到预算和把持打算中。

  事实上,加密所带来的安然性与加密密钥所供给的安然性是一样的。当然有良多报导传播鼓吹黑客可以绕过加密,但一个设计和实施杰出的加密算法实际上是不成能被破解的。恰是因为这个启事,大都报复打击者其实不测验测验破解加密算法。相反,他们想获得的是密钥。

  以上的4个要素决定了小我、企业乃至当局机关加密防护的成败,同时面对当今多样的安然环境和不竭改变的安然终端,采取具有矫捷性且包含以上要素的加密手艺无疑是最好的选择。而当今合适这类要求的加密手艺就是山丽网安防水墙所采取的多模加密手艺。

  信息手艺和互联网作为鞭策信息期间成长的两大年夜原动力,在将来,必将连络更多的传统事物产生鼎新。在这过程中,来自傲息本源的安然防护压力将愈来愈大年夜,标题问题和威胁的种类也将愈来愈复杂和多样。面对这类环境,对数据本源采取矫捷且具有针对性的数据加密防护无疑是最好的选择!

------分隔线----------------------------

推荐内容