科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全如何避免Heartbleed或类似的SSL相关漏洞?

如何避免Heartbleed或类似的SSL相关漏洞?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了防止敏感数据的暴露,即使SSL加密被破坏,企业需要一个强大的数据保护解决方案来保护密码和敏感交易数据,如端到端加密功能 (E2EE)。

来源:IT专家网 2014年5月5日

关键字: 安全漏洞 数据加密 安全解决方案

  • 评论
  • 分享微博
  • 分享邮件

最近曝光的Heartbleed漏洞,是一个OpenSSL加密的错误,也是我们一直面对的安全威胁的另一个提醒。Heartbleed错误能让任何人在互联网上读取到系统内存,这些系统是由容易受攻击部分的OpenSSL软件所保护。这损害了用于识别服务供应商和对数据流、用户名、用户和实际内容的密码加密的秘密密钥。这样使攻击者可以窃听通信信息,直接从服务和用户窃取数据并进行冒充服务和用户个人。

这个错误在生产软件中已经存在超过两年,并被领先的安全专家形容为“灾难性的”。立即的解决办法是找出受影响的系统,应用此修补程序和更新的SSL证书,用户也需要被通知进行密码更改和跟踪暴露信息的误用。

即使今天这错误打了补丁,也不能保证相似类型的错误不会再出现或隐藏在软件中未被发现。这种有类似影响的漏洞,将来可能从另一个SSL库或应用程序产品再出现。

这也引出了一些问题,是否SSL能充分保护数据保密性和在线交易的完整性?企业如何可以管理通过网络服务泄露的将来数据的风险,并让他们的客户相信他们的数据是安全的,避开了窃听者?是否已经可以做了一些事以减轻此类事件的风险?

为了防止敏感数据的暴露,即使SSL加密被破坏,企业需要一个强大的数据保护解决方案来保护密码和敏感交易数据,如端到端加密功能 (E2EE)。E2EE功能确保敏感数据一直被加密,甚至在易受攻击的网上或应用服务器上的内存内。它也能提供HeartBleed 类型错误的保护,也能防止内部人士,如软件开发者或数据管理人员(DBA)无意或故意泄露敏感数据。实际上,新加坡金融管理局(MAS)和香港金融管理局 (HKMA)已授权金融机构采用E2EE来保护密码和电子银行网站上关键的交易数据。

像许多金融机构一样,机构应该采用同样的最佳实践来对密码和敏感数据进行加密,并且除了SSL保护外加密数据通过通信信道发送。通过使用一个加 密库和密钥数据,在数据提交到服务器端之前,在入口点(用户桌面/智能手机)进行数据加密。这个数据在网络服务器甚至到应用服务器上一直处于加密状态。该 数据可以在应用服务器被解密,但在密码的情况下,它们依然被加密并在HSM内部进行验证。硬件安全模块(HSM)是使用满足FIPS标准的防篡改硬件的加 密设备。因此,密码加密是从入口点到对比点的。除了减轻Heartbleed类型漏洞的影响,这将确保在运输和存储过程中内部网没有人有权访问密码,并可 以防止内部欺诈。

总而言之,有效的数据保护需要分层的安全解决方案和正确处理过程的结合。企业不应该等到下一个网络服务器漏洞出现,应该在应用层调查实施端到端加密(E2EE)解决方案来保护它们机密信息,而不是依靠SSL保护。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章