信息安全之黑客与安全
目录
一、黑客
黑客的音译词,译自Hacker。黑客的攻击手段十分多样,大体可分为非破坏性攻击和破坏性攻击。非破坏性攻击一般是为了扰乱系统的运行,使之暂时失去正常对外提供服务的能力,比如DDos攻击等。破坏性的攻击主要会造成两种后果:系统数据受损或信息被窃取,比如CSRF攻击等。黑客使用的攻击手段有病毒式、洪水式、系统漏洞等。黑客是计算机世界里永恒的存在,攻与守如同太极阴阳平衡的道家之道,不可能有一天黑客会彻底消失。
现代黑客攻击的特点是分布式、高流量、深度匿名。由于国外大量“肉鸡”没有登记,所以国外的服务器遭遇DDos攻击时,无法有效地防御。现今云端提供商的优势在于能提供一套完整的安全解决方案。离开云端提供商,一个小企业要从头到尾地搭建一套安全防御体系,技术成本和资源成本将是难以承受的。
二、安全(CIA原则)
所以互联网企业都要建立一套完整的信息安全体系,遵循CIA原则,即保密性(Confidenciality)、完整性(Integrity )、 可用性(Availability)
1.保密性
对需要保护的数据(比如用户的私人信息等)进行保密操作,无论是存储还是传输,都要保证用户数据及相关资源的安全。比如,在存储文件时会进行加密,在数据传输中也会通过各种编码方式对数据进行加密等。在实际编程中,通常使用加密等手段保证数据的安全。黑客不只是外部的,有可能从内部窃取数据,所以现在大多数企业的用户敏感信息都不是以明文方式存储的,避免数据管理员在某些利益的驱动下,直接拖库下载。数据泄露可能导致黑客进一步利用这些数据进行往网站攻击,造成企业的巨大损失
2.完整性
访问的数据需要时完整的,而不是缺失的或者被篡改的,不然用户访问的数据就是不正确的。比如,在商场中看到一个型号为NB的手机,但售货员在包装的时候被其他人换成了便宜的型号为LB的手机,这就是我们的资源被替换了,也就是不满足完整性的地方。在实际编写代码中,一定要保证数据的完整性,通常的做法是对数据进行签名和校验(比如MD5和数字签名)
3.可用性
服务需要是可用的。如果连服务都不可用,也就没有安全这一说了,比如去商场买东西,如果有人恶意破坏商场,故意雇佣大量水军在商场的收银台排队,既不结账也不走,导致其他人无法付款,这就是服务已经不可用的表现。这个例子和常见的服务拒绝(Dos)攻击十分相似。对于这种情况,通常使用访问控制、限流等手段解决