OA | 项目 | 合同 | 知识 | 档案 | CRM | KM | ERP |  设备 |  专题       
伟创首页 易企管 定制软件 解决方案 经典案例 行业资讯
关于我们  |  联系我们  | 400-0906-395

伟创软件:办公软件专家

+ 企业信息化咨询顾问      + 办公软件集成方案      + 企业信息化解决方案     
+ 数据集成及安全方案      + 数据挖掘解决方案      + 移动办公及云办公     
当前位置: 伟创软件 -> 软件服务/产品 -> 云端加密存在的困境、隐患和问题

企业常用OA协同办公系统

开放政府数据,建设透明政府的必要性

伟创软件 -> OA协同办公系统
用程序、140个移动应用。欧盟European data portal欧洲数据门户网站,涵盖34个欧洲国家,包括医疗、教育、交通、能源、食品、环境、科技、人口、司法等13大类,超过24万个数据集,欧盟各国公民通过这个门户网站可无缝获取公共数据。 发达国家作为全球开放数据的主要参与者,在政府数据开放的范围和程度、安全和形式、开放许可证和质量管理、开放..

面向服务架构与应用软件的不同之处

伟创软件 -> OA协同办公系统
是紧偶合、封闭式、自成体系,属于一次性投入一次性完结的产品。这样的产品很难适应或快速响应市场或客户灵活多变的需求,以及后续的扩展。在这样的市场、及客户需求下,从而催生了软件产品一种新的设计或架构的理念:面向服务架构(SOA架构),那么面向服务架构与应用软件的不同之处在哪呢?   面向服务架构其原理是,通过分析服务之间的相互调用,SOA使得公司管理..

推荐专题OA系统数据安全性   办公自动化系统发展趋势   oa协同系统行业应用   oa协同办公系统发展趋势   办公自动化系统发展趋势   办公自动化系统选型注意事项   办公自动化系统行业应用   办公自动化系统概述   大型企业常用OA系统功能   企业oa办公系统重要性   
 

云端加密存在的困境、隐患和问题

作者:佚名  来源:网络

    与从云服务供应商处得到的安全相比,同样的安全控制在企业内部实现可能会更昂贵。不管云供应商提供了什么样的安全水平,理解这个问题很重要:安全并不是“一锤子买卖”,而是一个过程,因而企业需要在云服务的两端实施安全,即:为保障数据的安全性,终端用户(进一步称为云服务用户)仍需要采取同样的行动。

    数据总在无休无止地创建过程,我们还必须考虑如何保护数据的机密性、完整性、可访问性。在创建数据时,我们需要假设一些可能发生的最糟糕的情况,其中包括但不限于数据泄露、未授权访问、完全丧失对数据的访问,等等。未授权的访问意味着丧失了对数据的控制。数据处理的一个副作用就是生成了额外的副本,例如在硬盘上的交换内存、临时文件,或者是我们用以处理数据过程的内存。在基于云的方案中,关于数据处理的另一个必须考虑到的副作用就是元数据的创建。即使简单的处理也能产生大量的元数据。如今,收集元数据成为一项艰巨的任务,这意味着元数据也要求某种形式的保护,特别是由于元数据包含敏感信息,所以对其保护显得尤为重要。其次,从安全的观点看,加密和解密的位置与时间极为重要。如果加密发生在云端,企业就必须提供安全措施,将未加密的数据发送到其中。

    在谈到数据泄露或未授权的访问时,我们首先想到的是加密。由于加密是从军事领域进入企业的,所以加密往往被误解,并被描述为一种很有魔力的可以解决所有安全问题的方案。但这种方法从开始就是有瑕疵的。下面展开讨论其中的诸多因素。

    1.不安全的过程

    用复杂的方案解决复杂问题并不是简单任务,在我们试图通过加密解决安全问题时尤其如此。安全始于信息处理过程。如果设计过程不合理,加密会安全吗?例如,如果你要求用户使用过长的复杂口令,用户就会找到一种不安全的方法绕过去。此处的原则是终端用户的体验对安全来说至关重要:控制应当允许用户快速完成任务而不带来太多障碍。企业的业务人员也喜欢这种方法,因为它可以长久地使利润最大化。

    口令策略与加密有什么关系呢?虽然从安全的观点看,口令已成“过去式”,但是口令仍在使用中,而且还很强健。用户如何登录到移动设备?难道不是用PIN?用户如何登录到社交账户或云中的电子邮件账户?问题的寓意在于:如果你使用口令来保护对数据的访问,就需要保障口令的安全,并且经常更换。云方案并不会使口令完全消失。

    2.用户教育和安全意识

    不管你是如何巧妙地设计过程和实施过程,都不能忽视人的因素。正如爱因斯坦所言,有两件事情是永恒的,就是宇宙和人类的愚蠢,对于前者我并不太了解。如果用户能够在恶意软件弹出的窗口中多次输入口令,就不要期望加密会阻止其这样做。如果再强调加密的作用就是在自欺欺人。用户们必须认识到威胁,并且理解如何处理控制才能保证安全。钓鱼攻击正被一些类似恶意软件的攻击所利用。在恶意软件防护问题上这尤其重要。除非云服务供应商在其云服务和客户系统上提供恶意软件的防护,否则,对于终端用户的恶意软件防护来说,可做的很少。当然,客户必须安装最新的安全方案。扫描上传到云服务的文件或数据并不能阻止终端系统受到恶意软件的感染。因而,恶意软件不但可以感染系统,还能够从云服务的客户端窃取未加密的数据,并且可以窃取需要云服务访问的信息,还能破坏云服务。

    3.不安全的架构

    再次谈到云服务供应商。整个系统的架构(其中包括密码系统)对于最终的安全水平都至关重要。在多数情况下,要保障数据一直处于加密状态并不可行,因而,解密过程在应对未授权的访问和数据泄露风险时就显得尤为重要。企业应遵循如下的最佳实践:

    (1)部署多层防御,仅有加密这一层还远远不够。

    (2)尽可能在一个地方加密和解密数据,例如,这样做会限制有些信息没有被正确加密的风险,而且还要以使安全审计更容易。

    (3)要保护好加密密钥和IV(初始向量)。

    (4)确保实施强健的随机数字生成器。

    (5)如果可行的话,不要使公众使用全部功能,从而限制攻击面。

    很明显,上述清单并没有包含所有的最佳实践。有些最佳实践与服务类型或云服务的经营模式有紧密联系。

    4.脆弱协议和算法

    从安全的观点看,如果实施和部署不当,即使最佳的架构仍有可能成为隐患。例如,一些不安全协议和算法的使用,如SSH的老版本等。幸运的是,有些厂商开始禁止对不安全协议的支持。

    另一个问题是,由于密钥太短小或生成方式不强大,就有可能造成企业的协议很强健而其密钥很脆弱。总之,不要使用太短小的密钥,因为其容易被破解。如果攻击者自身缺乏计算能力,他完全可以购买云服务,从而可以使其快速地破解短密钥。

    5.随机数的随机性不强

    如果不使用基于硬件的方案,对计算机来说随机数的生成并不是容易的任务。多数编程语言都提供随机函数,但这类函数并不安全,因而不应用于密码系统中。简言之,脆弱的随机数生成器可以使整个密码系统不安全,并易于被破解,因为这可以使攻击者正确地猜测到生成器的结果和种子的初始向量,从而使密码分析攻击更容易,并且使攻击者可以破坏整个加密过程。

 

..


 
关键词: OA  ERP  CRM  KM  HR  合同  ERP  流程  档案  设备  考勤  项目  协同  知识  移动  OA概念  工会  施工  车辆  行政  资产  供应商  物业  工程  工时  不动产  国有资产  自建房  宅基地  公租房  国有不动产 
 
热线电话:400-0906-395  伟创软件-办公软件专家 All Rights Reserved. 资讯专题  行业专题  伟创软件  京ICP备17005839号 
项目 | 设备 | 知识 | 合同 | 档案 | 物业 | 工程 | OA |