国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 應(yīng)用安全 >

如何避免Heartbleed或類似的SSL相關(guān)漏洞?

時(shí)間:2014-05-12 17:36來(lái)源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
最近曝光的Heartbleed漏洞,是一個(gè)OpenSSL加密的錯(cuò)誤,也是我們一直面對(duì)的安全威脅的另一個(gè)提醒。Heartbleed錯(cuò)誤能讓任何人在互聯(lián)網(wǎng)上讀取到系統(tǒng)內(nèi)存,這些系統(tǒng)是由容易受攻擊部分的OpenSSL軟件
Tags漏洞(188)應(yīng)用安全(1006)SSL(42)Heartbleed(5)  

  最近曝光的Heartbleed漏洞,是一個(gè)OpenSSL加密的錯(cuò)誤,也是我們一直面對(duì)的安全威脅的另一個(gè)提醒。Heartbleed錯(cuò)誤能讓任何人在互聯(lián)網(wǎng)上讀取到系統(tǒng)內(nèi)存,這些系統(tǒng)是由容易受攻擊部分的OpenSSL軟件所保護(hù)。這損害了用于識(shí)別服務(wù)供應(yīng)商和對(duì)數(shù)據(jù)流、用戶名、用戶和實(shí)際內(nèi)容的密碼加密的秘密密鑰。這樣使攻擊者可以竊聽(tīng)通信信息,直接從服務(wù)和用戶竊取數(shù)據(jù)并進(jìn)行冒充服務(wù)和用戶個(gè)人。

  這個(gè)錯(cuò)誤在生產(chǎn)軟件中已經(jīng)存在超過(guò)兩年,并被領(lǐng)先的安全專家形容為“災(zāi)難性的”。立即的解決辦法是找出受影響的系統(tǒng),應(yīng)用此修補(bǔ)程序和更新的SSL證書,用戶也需要被通知進(jìn)行密碼更改和跟蹤暴露信息的誤用。

  即使今天這錯(cuò)誤打了補(bǔ)丁,也不能保證相似類型的錯(cuò)誤不會(huì)再出現(xiàn)或隱藏在軟件中未被發(fā)現(xiàn)。這種有類似影響的漏洞,將來(lái)可能從另一個(gè)SSL庫(kù)或應(yīng)用程序產(chǎn)品再出現(xiàn)。

  這也引出了一些問(wèn)題,是否SSL能充分保護(hù)數(shù)據(jù)保密性和在線交易的完整性?企業(yè)如何可以管理通過(guò)網(wǎng)絡(luò)服務(wù)泄露的將來(lái)數(shù)據(jù)的風(fēng)險(xiǎn),并讓他們的客戶相信他們的數(shù)據(jù)是安全的,避開(kāi)了竊聽(tīng)者?是否已經(jīng)可以做了一些事以減輕此類事件的風(fēng)險(xiǎn)?

  為了防止敏感數(shù)據(jù)的暴露,即使SSL加密被破壞,企業(yè)需要一個(gè)強(qiáng)大的數(shù)據(jù)保護(hù)解決方案來(lái)保護(hù)密碼和敏感交易數(shù)據(jù),如端到端加密功能(E2EE)。E2EE功能確保敏感數(shù)據(jù)一直被加密,甚至在易受攻擊的網(wǎng)上或應(yīng)用服務(wù)器上的內(nèi)存內(nèi)。它也能提供HeartBleed 類型錯(cuò)誤的保護(hù),也能防止內(nèi)部人士,如軟件開(kāi)發(fā)者或數(shù)據(jù)管理人員(DBA)無(wú)意或故意泄露敏感數(shù)據(jù)。實(shí)際上,新加坡金融管理局(MAS)和香港金融管理局(HKMA)已授權(quán)金融機(jī)構(gòu)采用E2EE來(lái)保護(hù)密碼和電子銀行網(wǎng)站上關(guān)鍵的交易數(shù)據(jù)。

  像許多金融機(jī)構(gòu)一樣,機(jī)構(gòu)應(yīng)該采用同樣的最佳實(shí)踐來(lái)對(duì)密碼和敏感數(shù)據(jù)進(jìn)行加密,并且除了SSL保護(hù)外加密數(shù)據(jù)通過(guò)通信信道發(fā)送。通過(guò)使用一個(gè)加密庫(kù)和密鑰數(shù)據(jù),在數(shù)據(jù)提交到服務(wù)器端之前,在入口點(diǎn)(用戶桌面/智能手機(jī))進(jìn)行數(shù)據(jù)加密。這個(gè)數(shù)據(jù)在網(wǎng)絡(luò)服務(wù)器甚至到應(yīng)用服務(wù)器上一直處于加密狀態(tài)。該數(shù)據(jù)可以在應(yīng)用服務(wù)器被解密,但在密碼的情況下,它們依然被加密并在HSM內(nèi)部進(jìn)行驗(yàn)證。硬件安全模塊(HSM)是使用滿足FIPS標(biāo)準(zhǔn)的防篡改硬件的加密設(shè)備。因此,密碼加密是從入口點(diǎn)到對(duì)比點(diǎn)的。除了減輕Heartbleed類型漏洞的影響,這將確保在運(yùn)輸和存儲(chǔ)過(guò)程中內(nèi)部網(wǎng)沒(méi)有人有權(quán)訪問(wèn)密碼,并可以防止內(nèi)部欺詐。

  總而言之,有效的數(shù)據(jù)保護(hù)需要分層的安全解決方案和正確處理過(guò)程的結(jié)合。企業(yè)不應(yīng)該等到下一個(gè)網(wǎng)絡(luò)服務(wù)器漏洞出現(xiàn),應(yīng)該在應(yīng)用層調(diào)查實(shí)施端到端加密(E2EE)解決方案來(lái)保護(hù)它們機(jī)密信息,而不是依靠SSL保護(hù)。

------分隔線----------------------------

推薦內(nèi)容