下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

对于数据信息泄露分析详解

作者:课课家教育     来源: http://www.kokojia.com点击数:1399发布时间: 2017-05-30 13:00:01

标签: 数据库数据泄露虚拟化

  国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。

对于数据信息泄露分析详解_数据库_数据泄露_虚拟化_课课家教育

  得益于技术的不断发展与广泛部署,如今对数据与通信内容加以保护在实现难度上已经远低于大家的固有印象。

  加密机制正处于攻击威胁之下。无论大家是否自认为将重要资产隐藏了起来,这方面的安全隐患仍然值得我们高度关注。

  加密机制是我们确保敏感个人信息与通信内容免受恶意人士窥探的主要技术手段,而世界各国政府也在想尽一切办法对民众的在线活动进行调查或者监控——这意味着我们必须要凭借加密机制的力量提高执法部门获取个人隐私的难度。那么政府想出了怎样的解决办法?保留“后门”,通过这种方式各政府机构将能够对受保护数据进行解锁。

  阻止政府窥探的最佳方式就是直接迎击其用于弱化加密机制的手段——也就是后门——即让加密技术成为一种无所不在的主流举措。如果每个人都使用加密方案,从加密聊天到加密电子邮件再到加密网络浏览及期间所涉及的一切,那么政府方面就很难再用“只有心怀不可造人秘密的家伙才会积极使用加密”这种理由侵犯我们的个人生活。

  那么工作该从何处入手?到目前为止,将加密机制作为大多数人数字化生活的必要组成部分的核心挑战在于,其仍然存在一定程度的实现难度。从传统角度讲,加密技术通常要求用户经过多次跳转方能使其真正起效,而且这种状况很难得到快速扭转。不过在今天的文章中,我们将介绍多项加密技术,大家可以轻松对其加以使用以保护自己的数据不至受到窥探、同时保障在线通信活动的安全性与私密性。总而言之,使用这类方案的用户越多,我们的隐私权与安全权就越能得到支持。

  安全聊天与通信应用

  移动设备已经成为用户与企业愈发关注的安全对象,这主要是考虑到其中往往承载着大量涉及范围极广的敏感数据。值得庆幸的是,面向移动设备的加密选项已经迎来了快速发展,而且其实现方式绝非单纯只有应用产品。苹果公司在iOS设备上默认提供全盘加密选项,这意味着保存在iPhone与iPad当中的全部数据都都将自动受到保护。与此同时,谷歌方面也在自己的最新Android版本当中提供全盘加密机制——尽管目前其尚不属于默认启动选项,这意味着全盘加密已经成为移动设备平台上的一种客观标准。一旦成为标准,那么政府将很难引导人们重新回归以往的未加密状态。

  苹果公司还为我们的iMessage应用提供端到端加密保护,这意味着大家的iMessage消息能够避开企业的监控。执法部门一直在敦促苹果方面降低此类门槛,从而保证其更轻松地获取iOS设备中的数据,不过苹果表现出了强硬的态度。对于很多需要考虑监管要求的用户来说,选择iOS设备能够帮助他们以最便捷的方式获得与使用加密工具相对等的安全效果。

  目前已经有一部分应用开始为Android以及iOS提供安全通信功能,其中包括Wickr、Signal以及Telegram。不过这类加密聊天与通信工具的一大弊端在于,其要求发送方与接收方必须使用同一款应用来完成交流。举例来说,Wickr用户能够向其他Wickr用户发送加密文本信息,但却无法使用某种标准化文本消息应用向非Wickr用户发送未加密内容。

  Wickr之所以极具人气,是因为其同时提供其它多种安全层:聊天与图片内容会在对话完成后的一定时间段内自动删除。这项功能也适用于音频、视频以及来自云存储的文件。通过Wickr发送的一切内容都通过加密通道进行传输,且会在到期之后被自动移除。这意味着当执法部门试图介入时,“阅后即焚”机制将使他们一无所获。

  Telegram目前的声誉不是太好,这是因为有报道指出多个恐怖活动集团及犯罪组织在利用该应用进行沟通。其允许用户最多建立起200人的聊天群组,并在内部以加密形式共享媒体与文本信息。这部分秘密对话会完全绕过Telegram的服务器,并只以特定周期加以保存,或者以安全方式存储以备日后归档。

  加密语音通话

  没人希望在打电话的时候,自己的语音信息被他人或者执法部门所追踪,而目前的多款新型应用已经能够对语音通话进行加密。

  由安全研究员Moxie Marlinspike打造的Signal就允许用户轻松实现语音通话加密,并在Android与iOS平台上实现加密信息发送。(目前Signal Desktop Chrome应用尚处于beta测试阶段,旨在将signal的安全通信机制拓展到桌面环境当中。)另外值得一提的是,Signal允许用户与移动设备通讯录中的任何联系人进行加密交流。如果通话对象并非Signal用户,该应用会提醒称我们的通话无法受到加密保护,但呼叫仍将继续——也就是说,我们无需切换出当前程序并额外通过手机上的通话应用重新拨号,这无疑极大提升了该应用的使用体验。

  作为Signal的出品方,Open Whisper Systems最近与WhatsApp建立了合作伙伴关系,旨在将端到端加密机制引入该高人气通信应用——不过目前尚不清楚双方的具体合作细节。即使如此,WhatsApp与Snapchat等高人气应用也已经开始用实际行动证明,其正在高度关注安全保护方面的需求。

  长久以来,希望在桌面系统上进行语音通话的用户只有Skype这一种方案可以选择。不过Skype近来始终饱受指责,因为美国政府强制要求微软公司在其中设立后门以供其调查之用。由The Guardian项目支持的OStel是一项安全语音与视频通信服务,且同时面向桌面与移动设备用户。用户需要创建一个OStel账户(但无需提交任何个人信息)并下载对应软件。举例来说,CSipSimple与Linphone都能够在Android与iOS设备上与OStel进行协作。

长久以来,希望在桌面系统上进行语音通话的用户只有Skype这一种方案可以选择。不过Skype近来始终饱受指责,因为美国政府强制要求微软公司在其中设立后门以供其调查之用。由The Guardian项目支持的OStel是一项安全语音与视频通信服务,且同时面向桌面与移动设备用户。用户需要创建一个OStel账户(但无需提交任何个人信息)并下载对应软件。举例来说,CSipSimple与Linphone都能够在Android与iOS设备上与OStel进行协作。

  不过要实现安全保护,通话两侧——即呼出方与接听方——都需要使用OStel。另外,OStel无法与固话或者仍在使用SIM卡的蜂窝网络用户进行对接。作为一大优势,OStel能够运行在黑莓、iPhone、诺基亚以及Android这四大主流移动设备之上,同时面向Mac OS X、Windows以及Linux三大桌面系统端。除此之外,它还采用ZRTP,即Signal所使用的加密协议。

  加密互联网连接

  目前正有越来越多的网站利用HTTPS对用户计算机与服务器间的往来数据进行保护。被输入Web表单的信用卡信息会通过加密通道进行传输并发送至零售商服务器,这样任何攻击者在监控对应流量时都无法确切了解其承载的真实信息。不过这一切仅仅只是开始。

  当下公共Wi-Fi连接可谓无处不在——机场、咖啡厅、公园甚至是纽约地铁都已经实现了网络覆盖,但很多朋友可以没有意识到,随意使用网络接入资源将会带来巨大威胁。攻击者们能够轻松拦截大家的往来数据——无论其究竟指向何种在线服务。有鉴于此,通过虚拟专用网络对互联网连接进行加密能够保证攻击者除了无效数据外什么也窥探不到——此类选项包括F-Secure的Freedome服务、NordVPN以及CyberGhostVPN等等。

  信息安全或数据安全[1] 有对立的两方面的含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象,某些敏感或保密的数据可能不具备资格的人员或操作员阅读,而造成数据泄密等后果。而数据存储的安全是指数据库在系统运行之外的可读性。一旦数据库被盗,即使没有原来的系统程序,照样可以另外编写程序对盗取的数据库进行查看或修改。从这个角度说,不加密的数据库是不安全的,容易造成商业泄密,所以便衍生出数据防泄密这一概念[2] ,这就涉及了计算机网络通信的保密、安全及软件保护等问题。

  大多数朋友所熟知的VPN软件可能都是安装在自己的工作用计算机之上,旨在允许我们接入到企业应用当中。但在另一方面,也有一部分VPN服务负责帮助用户通过第三方服务器建立加密通道,并以该通道为基础转接至互联网。当身处加利福尼亚州的用户利用法国的VPN服务接入Facebook时,从Facebook的角度来看用户所处位置将位于法国、而非加利福尼亚。这是一种非常强大的处理方式,我们可以利用VPN服务进行连接加密,从而在机场更为安全地办理网上银行业务、且不必担心自己的操作被恶意人士所掌握。

  接下来要说的是Tor,其能够让用户在互联网上以匿名方式存在。Tor采用多层安全机制,能够利用通信内容在多个节点间反复跳转的机制隐藏其起源。Tor不仅能够防止网络操作受到监控,同时也能够防止网站对用户行为进行追踪。大家甚至可以通过Tor访问Facebook。Tor的新用户可以利用Tor浏览器作为起点,另外The Guardian项目还面向Android提供一款名为Orbot的Tor代理工具。、

  密码学(在西欧语文中之源于希腊语kryptós,“隐藏的”,和gráphein,“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。密码学者Ron Rivest解释道:"密码学是关于如何在敌人存在的环境中通讯",自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。

  加密电子邮件

  在各类现代通信形式当中,电子邮件的敏感性可能是最高的。大家的收件箱中可能保存有银行报表、来自各类服务与零售商的账单、税务相关文件乃至个人信息等等。一旦电子邮件泄露,我们的对话对象以及对话议题都将被恶意人士所掌握——甚至会被重新定向至错误的接收对象处。执法部门也能够对保存在邮件服务器中的邮件副本进行调查,因此对文本内容进行加密以保护相关信息就成了一项当务之急。

  以Hushmail与GhostMail为代表的安全邮件服务承诺内置加密功能。当大家向其他同类安全服务用户发送邮件时,该服务会在实际进行内容传输前进行加密操作。如果大家希望向某位非Hushmail用户发送邮件,则可以利用预设了答案的个人问题来限定访问权限——这意味着接收方必须知晓该问题的答案才能完成消息解密。值得强调的是,这些服务完全在后台进行处理,用户在使用过程中仍能享受到无缝化体验。

以Hushmail与GhostMail为代表的安全邮件服务承诺内置加密功能。当大家向其他同类安全服务用户发送邮件时,该服务会在实际进行内容传输前进行加密操作。如果大家希望向某位非Hushmail用户发送邮件,则可以利用预设了答案的个人问题来限定访问权限——这意味着接收方必须知晓该问题的答案才能完成消息解密。值得强调的是,这些服务完全在后台进行处理,用户在使用过程中仍能享受到无缝化体验。

  Outlook也会利用由该软件生成的数字化证书实现内置加密功能——具体来讲,用户需要在发送加密消息之后对内容进行数字签名并交换证书。完成这些操作之后,打开新消息并选择“选项”菜单之下的“加密消息内容与附件”条目即可。

  如果大家拥有多年的Gmail、雅虎、Hotmail或者其它邮件服务的使用经验,那么恐怕不太可能单纯出于安全考量而选择新的邮件服务供应商。考虑到这一点,比较可行的办法是利用Husmail或者GhostMail处理敏感通信,并继续使用现有服务发送及接收普通消息。不过这种作法对于推动加密普及来讲并不理想。

  管理私有/公共密钥

  在电子邮件服务供应商决定建立起通用型的电子邮件加密系统之前,安全责任仍然需要由发送方与接收方自行承担。发件人必须生成一套公共/私有密钥对,而后公开公共密钥。而接收方必须了解如何使用该公共密钥来进行消息解密。对于大部分使用公共/私有密钥机制的工具来说,公共/私有密钥的管理过程都是完全透明的。不过电子邮件场景并不符合这种惯例。

  以Keybase.io为代表的服务以及K-9与OpenKeychain等Android应用都致力于简化密钥的管理流程。在Keybase.io的帮助下,大家可以使用Twitter、GitHub、Reddit或者其它自己喜爱的工具对公共密钥进行发布。另外,大家也可以将私有密钥保存在Keybase或者其它合适的位置,例如通过OpenKeyvhain将其存储在手机当中。如果大家需要利用密钥对通信消息进行签名或者加密文本内容,则可以利用Keybase的内置工具,而后将由其生成的文本块粘贴到邮件信息当中。因为Keybase采用PGP(即Pretty Good Privacy)机制,对应副本可利用任意能够处理PGP密钥的密钥管理器进行解密或者修改签名。Mailvelope是一款Chrome应用,其能够利用大家的php密钥对目前各主流邮件服务中的信息进行加密与解密。

  虽然要真正实现普及,个人邮件加密工具还需要进一步提升自身易用性水平,不过其目前已然迈出了重要的一步。

  加密磁盘驱动器

  微软公司已经利用BitLocker将文件与磁盘加密机制内置到了部分Windows版本当中,而苹果方面亦利用FileVault2在Mac OS X中实现了相同的功能。遗憾的是,对于Windows用户来讲,BitLocker并不存在于当前人气最高的版本当中——例如Windows 7家庭版或者Windows 8与8.1各核心版本。

  对于这部分无法享受到BitLocker的Windows用户,大家可以选择TrueCrypt及其它后续同类工具。TrueCrypt诞生于2014年,尽管其活跃在历史舞台上的时间还非常有限,不过这款文件加密程序的最新稳定版本已经能够提供极为出色的安全保护效果与执行效率。VeraCrypt属于TrueCrypt的fork外加继任者,其目前尚处于积极的发展当中,且能够支持多种加密算法——包括AES、TwoFish以及Serpent。

  同时值得指出的是,大家的数据并不只存在于自己的移动设备或者台式机当中。我们平时经常使用的 U盘也包含有大量文件,而其中也许就存在着一些不可被公开的隐私及有价值信息。另外,外接磁盘驱动器在文件存储扩展与备份方面也扮演着重要角色。这些驱动器同样必须得到严格加密。

  目前市面上存在着多种加密U盘产品,相关厂商包括Imation、海盗船以及金士顿等等。只需要将U盘接入我们的USB接口,而后将文件拖拽至其中,文件保护工作就轻松完成了。一部分U盘甚至支持生物识别功能,其设计目的在于如果大家不慎丢失了自己的U盘,那么其中的数据仍将受到保护——除非拾到者能够猜出密码内容或者突破生物识别机制。另外,希捷与西部数据等厂商也在销售安全自加密磁盘驱动器,大家可以利用它们来实现数据的安全备份。

目前市面上存在着多种加密U盘产品,相关厂商包括Imation、海盗船以及金士顿等等。只需要将U盘接入我们的USB接口,而后将文件拖拽至其中,文件保护工作就轻松完成了。一部分U盘甚至支持生物识别功能,其设计目的在于如果大家不慎丢失了自己的U盘,那么其中的数据仍将受到保护——除非拾到者能够猜出密码内容或者突破生物识别机制。另外,希捷与西部数据等厂商也在销售安全自加密磁盘驱动器,大家可以利用它们来实现数据的安全备份。

  保护我们的文件

  尽管全盘加密能够对保存在本地的一切文件进行自动加密,但这并不足以彻底解决问题——仍有相当一部分文件被保存在其它位置或者在与其他人进行共享。

  以Google Drive与Dropbox为代表的各类云存储服务都能对保存在其服务器当中的文件进行自动加密。不过如果一旦恶意人士成功获得了此类文件的访问权,那么其内容将不再具备任何形式的保护。Dropbox、Box以及Syncplicity都提供相关企业工具,允许IT部门为文件分配特定管理政策,不过这些控制手段通常只作用于文件存在于其服务当中的这一周期。而要想对文件进行由始至终的连续保护而无论其当前所处位置,那么最理想的办法当然是使用基于文件的加密机制。

  名为MiniLock的一款Chrome应用能够帮助用户轻松解决这个问题,它的作用是对文件进行加密与解密。要使用这款应用,访问者只需通过Chrome Web Store安装MiniLock——不涉及任何登录操作。这款应用采用电子邮件地址与密码(请大家务必选择一条高强度密码)以生成一条长度为44字节的MiniLock ID,其将作为公共加密密钥存在。大家可以将任意类型的文件,包括视频、图片以及文档,拖拽至MiniLock窗口以完成加密,而只有掌握特定MiniLock ID的用户才能将该文件打开。在此之后,该文件可以被保存在云存储服务当中或者通过邮件进行发送,永远只有掌握有效MiniLock ID才能对文件加以解密。

  一家名为Vera的初创企业也拿出了自己的文件保护解决方案——其能够在文件离开企业网络或者安全文件存储环境后继续拥有安全保障。用户能够在文档当中设置管理政策,例如不允许对该文档进行复制与粘贴或者打印、在被转发给他人的情况下不可打开、在一定时间后删除该文件或者对内容进行加密以确定只有指定接收者能够查看其内容。

  也有不少软件套件能够为大家提供加密工具。微软公司就在Office 2010之后的版本当中,为文件菜单下的信息标签提供了内置加密工具。Adobe Acrobat Pro X在其“工具”标签下的“保护”选项内提供对应条目。而在这两款套件当中,文件皆可通过密码实现加密与解密,所以大家在使用时一定要使用高复杂度密码内容并保证其与文件本身不具有相关性。

  如果大家经常发送zip文件,但又不打算专门使用由MiniLock生成的公共密钥或者安装特定软件,那么7-Zip文件归档工具可能最符合大家的需求。尽管其主要设计目标在于压缩及解压大型文件与文件夹,但其也会利用256位AES加密机制对各独立文件进行批量加密。而在创建归档文件时,大家可以为其指定一条密码,这款工具会自行完成其余的加密工作。这可以说是最为简单的一种文件加密途径了,大家完全不需要接触公共密钥或者登录其它额外的服务。

如果大家经常发送zip文件,但又不打算专门使用由MiniLock生成的公共密钥或者安装特定软件,那么7-Zip文件归档工具可能最符合大家的需求。尽管其主要设计目标在于压缩及解压大型文件与文件夹,但其也会利用256位AES加密机制对各独立文件进行批量加密。而在创建归档文件时,大家可以为其指定一条密码,这款工具会自行完成其余的加密工作。这可以说是最为简单的一种文件加密途径了,大家完全不需要接触公共密钥或者登录其它额外的服务。

  用户接受度才是关键

  加密机制能够帮助我们包含有银行私密信息的通信内容免受犯罪分子的触及,让我们的医疗记录在服务器之间往来传输时免遭泄露,更能够预防其他人在网上购物过程中窥探我们的信用卡号码。尽管各政府机构正想尽办法通过安装后门等方式突破加密手段,从而调查隐藏在其背后的犯罪活动与相关通信内容,但这并不妨碍我们出于自我保护的立场而使用加密通道。

  政府与各执法部门忽略了加密技术给每个人带来的助益,很明显并非每位隐私受保护者都是恐怖分子或者犯罪集团成员。毕竟各政府机关也都会利用加密保护自身权益,道理是完全相同的。

  尽管加密技术已经取得了长足的进步,更加易于实现,而加密也开始以默认标准的形式渗透到各个角落,但要使其真正迈上新的台阶、我们应当从现在开始将加密工具引入自己的日常数字化生活。总结来讲,加密技术的普及将成为我们实现隐私权与安全权的重要武器。

  由于网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方的真实身份;身份认证指的是用户身份的确认技术,它是网络安全的第一道防线,也是最重要的一道防线。在公共网络上的认证,从安全角度分有两类:一类是请求认证者的秘密信息(例如:口令)在网上传送的口令认证方式,另一类是使用不对称加密算法,而不需要在网上传送秘密信息的认证方式,这类认证方式中包括数字签名认证方式。

  还有更多关于数据安全的知识,尽在课课家教育,我们期待您的咨询!

赞(14)
踩(0)
分享到:
华为认证网络工程师 HCIE直播课视频教程