- Java加密与解密的艺术(第2版)
- 梁栋
- 253字
- 2023-03-03 19:25:43
第一部分 基础篇
第1章
企业应用安全
当计算机将我们包围、当网络无处不在时,安全问题成为了我们日益关心的问题。我们依赖于网络,同时又受限于网络,而网络本身却是不安全的!如今越来越多的企业应用都架设在网络平台之上,虽然这样能为用户提供更快捷和便利的服务支持,但这些服务支持也越来越庞大。与此同时,为了满足用户日益增长的服务需求,企业应用不断在如何提供更好的服务支持和更大信息量的传输方面加大技术投入。而与此失衡的是,企业应用的安全性却未能受到足够的重视。单凭用户名和口令鉴别用户身份,继而授权用户使用的方式难以确保数据的安全性。
1.1 我们身边的安全问题
安全,似乎是个问题。但是,我们觉得这个话题似乎不是那么关键!通常情况下,我们通过为用户提供用户名和口令验证的方式就可以避免这个问题,但这不是最佳答案,因为这样做是远远不够的。安全隐患无处不在,还是先来看看我们所处环境的安全状况吧!
❑ 存储问题:闪存芯片的快速的、革命性的发展使得移动存储行业发生了质的变化,各种数据存储在各种不同的移动存储设备上。当塞满了公司的年度报表、下一年企划策略等各种商业机密的优盘突然不翼而飞时,我们才会猛然惊醒—优盘中的数据没有任何安全措施,甚至连口令都没有!
❑ 通信问题:我们习惯于通过IM工具与好友聊天、交换心情、透漏隐私,甚至通过IM工具与合作公司交换公司私密数据!当你的隐私成为公共话题时,或当你的公司的商业数据被曝光时,你突然发现原来IM工具是不安全的!没错,不管是哪一种IM工具,都在不遗余力地告诫用户聊天信息可能被盗取,“安全提示:不要将银行卡号暴露在您的聊天信息中!”相信大家都不会对这条提示信息感到陌生。
❑ B2C、B2B交易问题:到邮局排队汇款的日子已经一去不复返了,取而代之的是网上银行,轻松地点击一下按钮就能顺利完成转账的操作。网上银行的确为我们的生活带来了便利,但是,如果我们有被钓鱼网站骗取银行卡号和密码的不幸遭遇,那么现在想起来是不是仍然心有余悸?难道没有一种办法能确保我们输入的信息被发送到安全的地方吗?
❑ 服务交互问题:随着大型应用对交互性的需求越来越高,这些应用之间的数据交互也越来越频繁,甚至是大批量、高负荷的数据交互。当你公司的应用通过Web Service接口与合作伙伴交互数据的时候,你该如何确定对方就是你所信赖的合作伙伴呢?你的We b Service接口安全吗?
❑ 移动应用服务问题:3G时代已经来临,在不远的某一天,你将完全可以通过手机完成现在只能通过PC完成的事情,如视频聊天、B2C购物、银行转账等等。3G时代预示着智能手机将无所不能!其实手机也是计算机,只不过它与你熟悉的PC在体积上有较大的差别而已。3G手机一样要通过网络完成你要执行的操作,将平台由PC转换为手机,并不能保证手机平台就能比PC平台有着更高的安全性!用手机在WAP网站上下载一款软件,是再平常不过的事情了。但是,如何避免用户因不够信任该软件而取消下载呢?下载后,手机如何鉴别这个软件是安全的呢?如何避免发布的软件在被客户成功下载之前被篡改呢?
❑ 内部人为问题:前面列举的问题都来源于外部,我们往往忽略了内部人为问题。现在的企业应用都能为用户提供用户名和口令来确保用户的数据安全,但很多时候用户名和口令在数据库中却一目了然,甚至有的是以明文方式存储的!企业内部任何能访问数据库的员工都能轻而易举地盗取用户的用户名和口令,然后冒充用户的身份完成各种合乎用户行为的操作,侵害用户的利益。企业因此被用户投诉之后,却又找不到任何蛛丝马迹。
当我们的利益受到侵犯时我们才会想起安全问题,安全原来如此重要!一不小心,你的企业应用就会因为数据泄露而丧失良机、引发投诉,甚至是付出巨额赔款!安全问题关系着企业的生死存亡!