激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        億恩科技有限公司旗下門戶資訊平臺(tái)!
        服務(wù)器租用 4元建網(wǎng)站

        如何避免云服務(wù)安全漏洞?

        安全漏洞已經(jīng)導(dǎo)致賬戶信息失竊和敏感信息泄露,不要寄希望于得到全面的戒條清單,現(xiàn)在的這張清單只能幫助你把漏洞縮小到最小的范圍內(nèi)。想要服務(wù)要求高于HIPAA或PCI規(guī)范等標(biāo)準(zhǔn)安全措施,就應(yīng)該把那些不能遵守這些簡(jiǎn)單規(guī)則的廠家驅(qū)逐出外或提出異議。那么究竟該如何避免在云服務(wù)中出現(xiàn)安全漏洞呢?

        安全漏洞已經(jīng)導(dǎo)致賬戶信息失竊和敏感信息泄露,不要寄希望于得到全面的戒條清單,現(xiàn)在的這張清單只能幫助你把漏洞縮小到最小的范圍內(nèi)。想要服務(wù)要求高于HIPAAPCI規(guī)范等標(biāo)準(zhǔn)安全措施,就應(yīng)該把那些不能遵守這些簡(jiǎn)單規(guī)則的廠家驅(qū)逐出外或提出異議。那么究竟該如何避免在云服務(wù)中出現(xiàn)安全漏洞呢?

        一、不要使用MD5散列算法給密碼加密

        芯片制造商恩威迪亞(NVIDIA)承認(rèn),7月初其論壇上有400,000用戶的密碼被竊取,這些密碼都沒有加鹽,用MD5散列算法給密碼加密。早在7年前,著名計(jì)算機(jī)安全專家BruceSchneier就宣布了MD5失效,目前人們普遍認(rèn)為MD5“成事不足,敗事有余”。最好的做法是要求使用更為復(fù)雜的bcrypt之類的跨平臺(tái)文件加密工具進(jìn)行加密。

        二、不要忘給密碼加鹽

        加密鹽是在用單項(xiàng)函數(shù)加密前,將一根字符串加到密碼上。這是一個(gè)非常重要的元素,可以保護(hù)密碼。今年6月,LinkedIn非常吃驚地發(fā)現(xiàn),有650萬用戶的密碼公布在一個(gè)俄羅斯用戶論壇上。這些密碼都沒有加鹽,使用簡(jiǎn)單的詞典式攻擊或類似技術(shù)就能馬上侵入60%的密碼。在實(shí)施和操作方面,給密碼加鹽是件小事,人們常常忽略給現(xiàn)代系統(tǒng)的密碼加鹽。

        三、不要使用通用密鑰給多用戶數(shù)據(jù)加密

        如果辦公樓中的每個(gè)房間都使用同一把鎖,每個(gè)租戶領(lǐng)的鑰匙也一樣,這樣的辦公室沒有人會(huì)租用。同理,在給云計(jì)算中的敏感數(shù)據(jù)加密時(shí),應(yīng)該堅(jiān)持用其自己特定的密鑰進(jìn)行加密。因多用戶的數(shù)據(jù)而使用通用加密密鑰使所有這些用戶遭受額外的泄露風(fēng)險(xiǎn)。如果有一個(gè)用通用密鑰加密的對(duì)象成功遭到襲擊的話,那么每一個(gè)使用同一個(gè)通用密鑰加密的其它對(duì)象都會(huì)成為潛在的受害者。

        在多租戶平臺(tái)上,這一點(diǎn)尤為重要,因?yàn)楹苡锌赡芤幻蚨嗝脩艋蜃鈶艄室庑孤锻ㄓ妹荑€,并由此獲取其它租戶的數(shù)據(jù)。

        亞馬遜(Amazon)的服務(wù)器端加密支持(ServerSideEncryptionSupport),為每個(gè)對(duì)象存儲(chǔ)信息時(shí)都使用通用密鑰,就是一個(gè)合理設(shè)計(jì)的范例。但是,并不是每一個(gè)為加密敏感信息買單的廠家都堅(jiān)持這個(gè)立場(chǎng)。

        四、不良設(shè)計(jì)方案也會(huì)暴露敏感數(shù)據(jù)

        新式用戶界面架構(gòu)松散,可能會(huì)變成無意識(shí)的信息泄露平臺(tái)。隨著AJAX技術(shù)使用量的增加,網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序常常能把大量數(shù)據(jù)“推到”終端用戶設(shè)備上,用來支持多個(gè)視圖和操作,而無需發(fā)出新的請(qǐng)求。如此一來,就能帶來更佳的用戶體驗(yàn)和更快的應(yīng)用程序響應(yīng)速度。

        然而,這些技術(shù)的不當(dāng)使用可能導(dǎo)致敏感信息的泄露,讓看起來有效保護(hù)的系統(tǒng)更加脆弱。

        五、不要無限期地使用重置令牌

        每一項(xiàng)與個(gè)人用戶和密碼有關(guān)的服務(wù)都需要某種形式的密碼重置。密碼重置一般采用“重置鏈接”或向提出重設(shè)密碼申請(qǐng)的用戶的電子郵箱發(fā)送“臨時(shí)密碼”等方法。最佳做法是在一段時(shí)間后使臨時(shí)憑證國企,但大多數(shù)服務(wù)不能堅(jiān)持遵循這種原則。

        本月雅虎的泄露事件表明,電子郵件賬戶是病毒和惡意軟件傳播、身份信息盜竊的主要目標(biāo)。設(shè)計(jì)科學(xué)的云服務(wù)應(yīng)該避免將有效密碼保存在電子郵件中的時(shí)間超過必要的密碼重設(shè)時(shí)間。15分鐘后密碼失效是一個(gè)很好的方法。

        六、不要存留身份認(rèn)證令牌

        最后一條戒律解決了用戶密碼保存問題,確保密碼不會(huì)因?yàn)閻阂庥脩粼L問同一個(gè)工作站而被竊取。這條戒律與最后一條類似,但是提醒我們?cè)诒Wo(hù)密碼的同時(shí)通過其它持續(xù)方法允許驗(yàn)證,這兩種方法都可能“貽誤時(shí)機(jī)”。

        Dropbox網(wǎng)站也由于無法堅(jiān)持這個(gè)做法,而遭到媒體負(fù)面的報(bào)道。Dropbox網(wǎng)站用戶發(fā)現(xiàn),僅僅復(fù)制受害人電腦的一個(gè)文件就可以秘密獲得任何人賬戶中的所有文件。

        七、一定支持與最新流程的整合

        有一句安全方面的老格言這樣說道:“你讓某事變得更安全,它就會(huì)變得更不安全?!痹蚝卧冢恳?yàn)槿绻踩K事的話,善意的用戶也會(huì)想出變通的方法破壞安全。因此,粘在監(jiān)視器前面的密碼和回收站會(huì)造成一發(fā)不可收拾的結(jié)局。

        八、不要將用戶密碼保存在移動(dòng)設(shè)備或共享工作站

        在安全與可用性孰輕孰重問題上,安全的問題常常讓步于終端用戶對(duì)可用性的要求。當(dāng)云計(jì)算服務(wù)安裝在共享工作臺(tái)或移動(dòng)設(shè)備的應(yīng)用程序上,用戶常常希望只需一次就能登錄到云服務(wù)上。然而,如果應(yīng)用程序能讓用戶無限期地獲得驗(yàn)證,就必須用一種不安全的方法存留用戶密碼,使得服務(wù)的安全性依賴于設(shè)備的安全性。

        如果在重啟或退出登錄后,應(yīng)用程序可以保存和讀出密碼,那么訪問設(shè)備的攻擊者也能這么做。諸多證據(jù)證明不應(yīng)該將設(shè)備的實(shí)際占有等同于授權(quán)服務(wù)。

        我們把這些經(jīng)驗(yàn)教訓(xùn)運(yùn)用到云計(jì)算服務(wù)領(lǐng)域,意味著必須用新型工具和工作流集成來支持用戶的需求。如果不想讓用戶從云計(jì)算服務(wù)中加載敏感文件、把敏感文件發(fā)送給同事的話,那么云服務(wù)就必須提供分配和協(xié)作的便利方法。如果不想讓用戶共享一套共同的憑證,那么就要讓認(rèn)證和授權(quán)過程盡量簡(jiǎn)化。

        河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
        服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
        虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-55621053
        網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:0371-60135995
        服務(wù)熱線:0371-60135900

        0
        0
        分享到:責(zé)任編輯:阿柳

        相關(guān)推介

        共有:0條評(píng)論網(wǎng)友評(píng)論:

        驗(yàn)證碼 看不清換一張 換一張

        親,還沒評(píng)論呢!速度搶沙發(fā)吧!