科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道移动安全移动终端面临安全考试 数据加密成标准答案

移动终端面临安全考试 数据加密成标准答案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

或许习惯了使用电脑作为信息处理终端的人很难想象智能机和移动互联网对于现代信息处理和传播的影响,同样已经使用了几十年只有通话或者收发消息功能的手机用户也很难想象,手里这个小小的东西,现在由于信息技术和互联网能做到以前根本想都不敢想的事情。

来源:比特网 2013年11月22日

关键字: 移动终端 移动安全 数据加密

  • 评论
  • 分享微博
  • 分享邮件

或许习惯了使用电脑作为信息处理终端的人很难想象智能机和移动互联网对于现代信息处理和传播的影响,同样已经使用了几十年只有通话或者收发消息功能的手机用户也很难想象,手里这个小小的东西,现在由于信息技术和互联网能做到以前根本想都不敢想的事情。

可以说手机和数据处理终端的集合体——智能机,将成为信息时代下一个里程碑的开始。但是技术的发展和时代的进步并不等同于顺利和安全,相反在社会进步和改革的过程中,危险和阻力是经常相伴左右的。而在移动终端发展的过程,就面临着一场考试——一场来自数据、信息安全防护方面的考试。

移动安全问题“从零开始” 持续关注引发持续问题

虽然利用手机和移动互联网处理和传播现代信息化的 数据并不是一个新技术,但是智能机的突然崛起和普及加速了这个过程。作为一个新的数据处理终端,它的数据安全问题也像它的大前辈——传统PC机一样,安全 问题随着关注度的不断提高而不断被揭露。其中被揭露的一些问题,甚至与你终端、系统是什么没有直接的联系,是更本源或者说更“简单”的问题。

两个移动设备安全专家最近发现了一个简单的编码漏洞,它普遍存在于苹果iOS平台上的应用程序中。如果被肆意地利用,攻击者可以借由这个漏洞将用户应用程序永久重定向到恶意服务器上,而不是由应用程序开发者提供的合法服务器。

这个漏洞被称为HTTP请求劫持,首先需要一个中间人攻击场景,在这个场景中,黑客在公共设置中建立一个Wi-Fi网络,然后捕捉信息,攻击不知情的受害者。当一个移动应用程序企图从一个服务器请求信息时,攻击者拦截通信,可以简单的发送一个301“永久移除”HTTP响应状态代码给应用程序,这样攻击者 就可以更换掉供应商的服务器,用自己的服务器作为应用程序的通信枢纽。

信息安全方面的专家表示这种编码错误在移动应用程序上尤为严重,因为它们永久缓存301响应,不管受害者是否依然连接在相同的Wi-Fi网络上。Web浏览器在地址栏显示被访问的URL,而移动应用程序却通常不显示它们检索信息的服务器,这样受害者就没有线索知道他们是否正在观看合法内容。尽管用户可以卸载一个应用程序,不过攻击者可以通过这个简单的漏洞无限期地控制一个应用程序。

至于攻击者为什么会选择这种攻击途径,某信息安全专家举出了叙利亚电子军队黑客攻击美联社的Twitter账 号并发出Twitter,导致美国股市暂时暴跌的例子。当攻击被发现的时候,市场显然就开始纠正过来。但是发现很快的原因之一是因为这个特殊攻击的账号是 美联社的账号,该公司几乎是马上意识到这个问题。 这位专家指出,新发现的漏洞可以针对华尔街特定的交易商,例如,由于贸易商的应用程序一被攻击就可能会看到虚假的内容,很难被发现。

同时业内的专家认为,“我们非常依赖我们的iPhone,我们依赖手机里的应用程序并且认为它们是可靠的。这篇文章使我们想到:早上读新闻时,你是阅读到了真正的新闻还是只是攻击者发给你的虚假信息呢?”

还有,虽然以色列的研究人员证实这个问题只是出现在iOS平台上的应用程序中,但是某安全研究眼指出在某些特定的Android应用程序中同样存在相似的问题。 这位研究员说,无论如何,还是人们对于移动应用程序太有信心。苹果和谷歌已经部署了各自的应用程序商店,他认为从安全角度来说这个方法是有效的,只是许多用户不重视会发生在任意应用程序中的编码问题。

最后这位研究员表示:“十年前,大家都认为Web应用程序漏洞并不紧要,但是今天,我们都知道保护Web应用程序非常重要,利用Web应用程序 的漏洞又很简单。我预见移动设备的应用程序代码会发生问题,而且趋势已经越来越明显。我认为苹果和谷歌已经做得很棒,但是同样这也是必然的。编码问题总是 在发生,而且他们都有安全隐患。

旧问题新威胁 面对本源问题需要本源防护

显然以上发现的问题并不是数据、信息方面威胁的新问题,只是平台发生了变化,加之平台新生的原因,使得这个问题可能被急速的恶化。所以面对类似 威胁移动终端的旧平台上的新问题,采用更直接更本源的防护之法是最佳的选择,而数据加密就是其中之一。在了解当今何种加密技术能更好的解决以上问题之前, 让我们先来了解一下数据加密防护的几个要素吧。

1、性能:在我们决定加密数据时,需要考虑的一个最大问题是,其性能影响如何?而对这个问题的回答只能是“视方案而定”。在我们的经验中,透明加密执行起来很好,它对数据库的性能影响一般从5%到8%不等。本地数据库对象加密对性能的影响可达到15%到20%。所以,企业必须根据自己的配置状况和性能要求考虑好此问题。

2、操作:如果你要加密介质,最好能够保证在需要时能够及时从此介质恢复。这就要求你经常测试磁带。同样道理,如果你使用密钥轮换来满足监管要 求,就应当试这个过程的操作过程和方式,并测试你的厂商如何处理生产环境中的新密钥和老密钥。你最好按照计划来进行,而不要在怀疑某个加密密钥遭受破坏后 才去测试。

3、复杂程度:加密系统都很复杂。你必须考虑加密引擎在哪里,它如何加密数据及加密哪些数据,哪些数据不加密,怎样提供密钥等等。作为一位数据库管理员,你需要认识到这种复杂程度并保证自己完全理解加密系统如何工作,特别是在你要证实加密能够正确地满足合规要求时,这尤其重要。

加密的复杂性不仅体现在部署方面,还体现在实施阶段。有人认为加密只不过是一个简单的数学公式问题,甚至还有人说,“咱能自己搞定!”。此言差 矣。许多很有才的安全专家都在建设自己的加密系统时栽了跟头。不要去建立自己的安全加密系统。否则,轻则造成不安全,重则会丢失所有数据。所以,你应当采 用一种经过检查的可信的加密产品。

4、密钥管理:你需要一个密钥管理系统来保护密钥。管理员不能将密钥存储到数据库中,也不能将密钥存放到磁盘上。企业应当将密钥管理规划到预算和操作计划中。

事实上,加密所带来的安全性与加密密钥所提供的安全性是一样的。虽然有不少报道宣称黑客可以绕过加密,但一个设计和实施良好的加密算法实际上是不可能被破解的。正是由于这个原因,多数攻击者并不尝试破解加密算法。相反,他们想得到的是密钥。

以上的4个要素决定了个人、企业甚至政府机关加密防护的成败,同时面对现今多样的安全环境和不断变化的安全终端,采用具有灵活性且包含以上要素的加密技术无疑是最佳的选择。而现今符合这种要求的加密技术就是山丽网安防水墙所采用的多模加密技术。

信息技术和互联网作为推动信息时代发展的两大原动力,在未来,必将结合更多的传统事物发生改革。在这过程中,来自信息本源的安全防护压力将越来 越大,问题和威胁的种类也将越来越复杂和多样。面对这种情况,对数据本源采用灵活且具有针对性的数据加密防护无疑是最佳的选择!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章