OA | 项目 | 合同 | 知识 | 档案 | CRM | KM | ERP |  设备 |  专题       
伟创首页 易企管 定制软件 解决方案 经典案例 行业资讯
关于我们  |  联系我们  | 400-0906-395

伟创软件:办公软件专家

+ 企业信息化咨询顾问      + 办公软件集成方案      + 企业信息化解决方案     
+ 数据集成及安全方案      + 数据挖掘解决方案      + 移动办公及云办公     
当前位置: 伟创软件 -> 软件服务/产品 -> OA协同办公系统 -> 云端加密存在的困境、隐患和问题

中小企业OA协同办公系统

安全是网络空间的重要基石

伟创软件 -> OA协同办公系统
内外嘉宾参加论坛。历经两年积淀,如今的乌镇一边是小桥流水、桨声舟影、白墙黛瓦,另一边是智慧城市、智能生活。千年水镇的古典韵味,俨然已与互联网的现代气息融合共存。   枕水人家开门拥抱网络,是中国互联网发展的缩影,也生动体现出互联网深度联结全球的特点。网络无远弗届,中国通过它“越过长城,走向世界”。..

公租自行车快速进入市场

伟创软件 -> OA协同办公系统
上海投放,9月1日宣布正式进入北京,目前已投放3000多辆。不用停车桩、不用办卡,只需一个手机,就可以搞定从借车到还车的全过程。民间共享单车的兴起,弥补了公租自行车的短板,为市民的出行增加了一个新选择。   这种新型的共享单车,和此前的公租自行车相比,有哪些区别?   据了解,公租自行车最大的优..

五环内九成公交已覆盖免费WiFi?

伟创软件 -> OA协同办公系统
5%的公交车已经正式开通免费16WiFi。   据介绍,自7月11日300路率先完成升级改造以来,经过3个月的设备拆旧换新工作,全市已有1.2万辆公交车正式开通WiFi。   16WiFi创始人邱朝敏表示,五环内的公交车辆WiFi覆盖率达到了95%,剩下的5%是即将报废的车辆以及非公交集团的运通..

 

云端加密存在的困境、隐患和问题

作者:佚名  来源:网络
导读:OA协同办公系统 ,云端加密存在的困境、隐患和问题:能会更昂贵。不管云供应商提供了什么样的安全水平,理解这个问题很重要:安全并不是“一锤子买卖”,而是一个过程,因而企业需要在云服务的两端实施安全,即:为保障数据的安全性,终端用户(进一步称为云服务用户)仍需要采取同样的行动。     数据总在无休无止地创建过程,我们还必
关键词: 协同办公  ERP软件  档案  客户管理  知识管理  项目管理  合同管理 

   与从云服务供应商处得到的安全相比,同样的安全控制在企业内部实现可能会更昂贵。不管云供应商提供了什么样的安全水平,理解这个问题很重要:安全并不是“一锤子买卖”,而是一个过程,因而企业需要在云服务的两端实施安全,即:为保障数据的安全性,终端用户(进一步称为云服务用户)仍需要采取同样的行动。

    数据总在无休无止地创建过程,我们还必须考虑如何保护数据的机密性、完整性、可访问性。在创建数据时,我们需要假设一些可能发生的最糟糕的情况,其中包括但不限于数据泄露、未授权访问、完全丧失对数据的访问,等等。未授权的访问意味着丧失了对数据的控制。数据处理的一个副作用就是生成了额外的副本,例如在硬盘上的交换内存、临时文件,或者是我们用以处理数据过程的内存。在基于云的方案中,关于数据处理的另一个必须考虑到的副作用就是元数据的创建。即使简单的处理也能产生大量的元数据。如今,收集元数据成为一项艰巨的任务,这意味着元数据也要求某种形式的保护,特别是由于元数据包含敏感信息,所以对其保护显得尤为重要。其次,从安全的观点看,加密和解密的位置与时间极为重要。如果加密发生在云端,企业就必须提供安全措施,将未加密的数据发送到其中。

    在谈到数据泄露或未授权的访问时,我们首先想到的是加密。由于加密是从军事领域进入企业的,所以加密往往被误解,并被描述为一种很有魔力的可以解决所有安全问题的方案。但这种方法从开始就是有瑕疵的。下面展开讨论其中的诸多因素。

    1.不安全的过程

    用复杂的方案解决复杂问题并不是简单任务,在我们试图通过加密解决安全问题时尤其如此。安全始于信息处理过程。如果设计过程不合理,加密会安全吗?例如,如果你要求用户使用过长的复杂口令,用户就会找到一种不安全的方法绕过去。此处的原则是终端用户的体验对安全来说至关重要:控制应当允许用户快速完成任务而不带来太多障碍。企业的业务人员也喜欢这种方法,因为它可以长久地使利润最大化。

    口令策略与加密有什么关系呢?虽然从安全的观点看,口令已成“过去式”,但是口令仍在使用中,而且还很强健。用户如何登录到移动设备?难道不是用PIN?用户如何登录到社交账户或云中的电子邮件账户?问题的寓意在于:如果你使用口令来保护对数据的访问,就需要保障口令的安全,并且经常更换。云方案并不会使口令完全消失。

    2.用户教育和安全意识

    不管你是如何巧妙地设计过程和实施过程,都不能忽视人的因素。正如爱因斯坦所言,有两件事情是永恒的,就是宇宙和人类的愚蠢,对于前者我并不太了解。如果用户能够在恶意软件弹出的窗口中多次输入口令,就不要期望加密会阻止其这样做。如果再强调加密的作用就是在自欺欺人。用户们必须认识到威胁,并且理解如何处理控制才能保证安全。钓鱼攻击正被一些类似恶意软件的攻击所利用。在恶意软件防护问题上这尤其重要。除非云服务供应商在其云服务和客户系统上提供恶意软件的防护,否则,对于终端用户的恶意软件防护来说,可做的很少。当然,客户必须安装最新的安全方案。扫描上传到云服务的文件或数据并不能阻止终端系统受到恶意软件的感染。因而,恶意软件不但可以感染系统,还能够从云服务的客户端窃取未加密的数据,并且可以窃取需要云服务访问的信息,还能破坏云服务。

    3.不安全的架构

    再次谈到云服务供应商。整个系统的架构(其中包括密码系统)对于最终的安全水平都至关重要。在多数情况下,要保障数据一直处于加密状态并不可行,因而,解密过程在应对未授权的访问和数据泄露风险时就显得尤为重要。企业应遵循如下的最佳实践:

   (1)部署多层防御,仅有加密这一层还远远不够。

   (2)尽可能在一个地方加密和解密数据,例如,这样做会限制有些信息没有被正确加密的风险,而且还要以使安全审计更容易。

   (3)要保护好加密密钥和IV(初始向量)。

   (4)确保实施强健的随机数字生成器。

   (5)如果可行的话,不要使公众使用全部功能,从而限制攻击面。

    很明显,上述清单并没有包含所有的最佳实践。有些最佳实践与服务类型或云服务的经营模式有紧密联系。

    4.脆弱协议和算法

    从安全的观点看,如果实施和部署不当,即使最佳的架构仍有可能成为隐患。例如,一些不安全协议和算法的使用,如SSH的老版本等。幸运的是,有些厂商开始禁止对不安全协议的支持。

    另一个问题是,由于密钥太短小或生成方式不强大,就有可能造成企业的协议很强健而其密钥很脆弱。总之,不要使用太短小的密钥,因为其容易被破解。如果攻击者自身缺乏计算能力,他完全可以购买云服务,从而可以使其快速地破解短密钥。

    5.随机数的随机性不强

    如果不使用基于硬件的方案,对计算机来说随机数的生成并不是容易的任务。多数编程语言都提供随机函数,但这类函数并不安全,因而不应用于密码系统中。简言之,脆弱的随机数生成器可以使整个密码系统不安全,并易于被破解,因为这可以使攻击者正确地猜测到生成器的结果和种子的初始向量,从而使密码分析攻击更容易,并且使攻击者可以破坏整个加密过程。 

..


 
热线电话:400-0906-395  伟创软件-办公软件专家 All Rights Reserved. 京ICP备17005839号