下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

怎样用数据来提升安全性能?

作者:课课家教育     来源: http://www.kokojia.com点击数:926发布时间: 2017-05-29 15:00:54

标签: 数据库数据安全虚拟化

  国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。

  有许多方法可以提高物联网设备的安全性,而这一切始于物联网厂商。

  这是在线信任联盟(OTA)在家庭和可穿戴技术方面开展的研究得出的调查结果之一。

  OTA发现,如果厂商遵循该组织新颁布的物联网信任框架里面概述的安全和隐私准则,就算无法避免物联网设备所有报告上来的安全漏洞,至少可以避免其中的许多漏洞。

  OTA的执行董事兼总裁克雷格·斯皮泽勒(Craig Spiezle)表示,由于急于向市场推出产品,物联网厂商常常忽视安全和隐私。物联网信任框架概述了31条原则,设备制造商、开发人员和决策者可以遵循这些原则,提高物联网设备的安全性。

  斯皮泽勒说:“我们还认为,首席信息安全官应该留意这套框架,尤其是由于更多的人将物联网设备从家里带到工作场所。”他补充道,与设备制造商和应用程序开发人员一样,各大零售商、美国房地产经纪人协会和风险投资基金都表示有兴趣采用物联网框架原则。

怎样用数据来提升安全性能?_数据库_数据安全_虚拟化_课课家教育

  根据对斯皮泽勒所作的采访,下面这八点有助于读者了解物联网信任框架。

  1. 限制和保护登录信息访问。

  厂商发布的产品其登录信息管理往往不安全,包括采用了敞开、容易发现的管理控制机制。如果限制特权用户和一般用户的访问,他们就能更有效地保护和锁定管理控制机制。

  2. 明确公布消费者数据收集和共享方面的政策及做法。

  公司需要清楚地表明什么数据可以与第三方或其他业务合作伙伴共享。许多物联网公司是初创公司,非常忙碌,也没有注重隐私的观念。要明确公布什么数据在共享,这可以减少误解。

  大型企业管理软件的应用越来越广泛,企业数据平台涉及局域网、广域网、Internet等,在各类系统中保存的企业关键数据量也越来越大,许多数据需要保存数十年以上,甚至是永久性保存,关键业务数据是企业生存的命脉和宝贵的资源,数据安全性问题越来越突出。如何增强企业软件系统的安全性、保密性、真实性、完整性,成为每一位软件开发人员关注的焦点。从保护数据的角度讲,对数据安全这个广义概念,可以细分为三部分:数据加密、数据传输安全和身份认证管理。数据加密就是按照确定的密码算法把敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法把同一明文加密成不同的密文。当需要时,可使用密钥把密文数据还原成明文数据,称为解密。这样就可以实现数据的保密性。数据加密被公认为是保护数据传输安全惟一实用的方法和保护存储数据安全的有效方法,它是数据保护在技术上最重要的防线。数据传输安全是指数据在传输过程中必须要确保数据的安全性,完整性和不可篡改性。身份认证的目的是确定系统和网络的访问者是否是合法用户。主要采用登录密码、代表用户身份的物品(如智能卡、IC卡等)或反映用户生理特征的标识鉴别访问者的身份。

在整个开发过程中加入严格的安全测试。这可能包括渗透测试和威胁建模。斯皮泽勒表示,如今这些服务和工具唾手可得。他谈论的不是复杂的逆向工程,而是可以检测安全漏洞的基准线测试。

  3. 运行渗透测试。

  在整个开发过程中加入严格的安全测试。这可能包括渗透测试和威胁建模。斯皮泽勒表示,如今这些服务和工具唾手可得。他谈论的不是复杂的逆向工程,而是可以检测安全漏洞的基准线测试。

  信息安全或数据安全[1] 有对立的两方面的含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象,某些敏感或保密的数据可能不具备资格的人员或操作员阅读,而造成数据泄密等后果。而数据存储的安全是指数据库在系统运行之外的可读性。一旦数据库被盗,即使没有原来的系统程序,照样可以另外编写程序对盗取的数据库进行查看或修改。从这个角度说,不加密的数据库是不安全的,容易造成商业泄密,所以便衍生出数据防泄密这一概念[2] ,这就涉及了计算机网络通信的保密、安全及软件保护等问题。

  4. 确定一种易于使用的沟通途径。

  有些情况下,第三方、学者或顾问发现了产品中的安全漏洞,但物联网公司没有一种简单的方法来获得这些信息。无论是在网站上制作一份表单,还是开设简单的电子邮件地址,要欢迎这类第三方告知安全漏洞信息。

  5. 制定更安全的配对控制措施。

  低端物联网设备常常会连接到它能找到的信号最强的那个网络。开发人员需要融入配对控制措施,确保设备连接到用户指定的那个网络。这种问题在多个无线网络漫游的公寓楼或排屋里面会成为问题。

  6. 测试查找常见的代码注入漏洞。

  从许多方面来看,这一点可以作为本文第3点的附加部分,但是物联网公司需要测试、查找已知的安全漏洞和弱点。一旦产品投入使用,这么做可以减少潜在的安全问题。

  7. 牢牢锁定数据传输和存储。

  许多物联网产品存在的另一个问题是,产品缺乏传输安全和加密存储。比如说,依赖蓝牙的物联网设备使用的用户名和密码在传输过程中是公开暴露的。物联网厂商就需要确保数据已经过了加密处理,那样当设备连接到其他设备,或者用户将传输的数据存储在iPhone或iPad其他设备上时,数据不会暴露。

许多物联网产品存在的另一个问题是,产品缺乏传输安全和加密存储。比如说,依赖蓝牙的物联网设备使用的用户名和密码在传输过程中是公开暴露的。物联网厂商就需要确保数据已经过了加密处理,那样当设备连接到其他设备,或者用户将传输的数据存储在iPhone或iPad其他设备上时,数据不会暴露。

  8. 制定生命周期支持计划。

  由于急不可待地发布产品,许多物联网公司忘了为产品的生命周期制定支持计划。这包括补丁更新,产品主人易手后提供支持计划,或者在产品生命周期结束后禁用产品。

  由于网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方的真实身份;身份认证指的是用户身份的确认技术,它是网络安全的第一道防线,也是最重要的一道防线。在公共网络上的认证,从安全角度分有两类:一类是请求认证者的秘密信息(例如:口令)在网上传送的口令认证方式,另一类是使用不对称加密算法,而不需要在网上传送秘密信息的认证方式,这类认证方式中包括数字签名认证方式。

  还有更多详细内容,尽在课课家教育,我们期待您的咨询!

赞(19)
踩(0)
分享到:
华为认证网络工程师 HCIE直播课视频教程