1、安全威胁来源
在对信息系统的安全性进行考虑的时候,首先应该清楚信息系统会受到什么样的安全威胁。俗话说“知己知彼,百战不殆”,只有清楚了软件系统的受威胁方式,才能更好地保障系统的安全性。 下面对软件系统可能受到的安全威胁进行简单描述。
1.1、口令攻击
最常见的攻击手段,通过尝试口令或者暴力口令突破软件系统的身份认证闸门。攻击者一般为了获取系统的相关数据,信息等,不对系统服务进行毁灭性的破坏。
1.2、网络嗅探
也可以称之为网络偷窥,攻击者窃听网络上流经的数据包,实现对数据的偷窥。
1.3、IP欺骗
通过伪造IP,伪造成信任主机,进而进行系统攻击。
1.4、DDOS攻击
拒绝服务攻击,通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。随着现在带宽及内存空间的提高,单纯的一对一DDOS攻击难度加大,分布式DDOS出现,攻击者利用网络上更多的“肉机”作为客户端,从而成倍地提高拒绝服务攻击的威力。
1.5、社会工程学攻击
所谓的社会工程学攻击,说的通俗一点,就是骗子骗人的把戏。攻击最终都是由人发起,而人作为高智商动物,通过各种手段,威逼利诱等,实现对相关软件系统的攻击就轻而易举了,想想都心惊肉跳。
2、软件系统安全性相关策略
2.1、安全性范围
软件系统安全性可以分为:硬件安全、软件安全、数据安全。
2.1.1硬件安全
硬件安全,硬件的容灾、备份、错误告警、设备授权维护等。Google的搜索早期在索引存储出现问题时,最后发现是硬件问题,硬件芯片受到自然界的因素影响,芯片中存储的0、1二进制数据居然发生了互换。 最后这个问题是2位GOOGLE至今为止两位11级的工程师发现的,杰夫·迪恩(Jeff Dean)和桑杰·格玛沃特(Sanjay Ghemawat),oh,他们是“好基友”,结对编程。良好的硬件管理与维护是硬件安全、软件安全的基石。
2.1.2软件安全
软件安全泛指所有软件系统能够免受来自恶意的访问、控制、破坏。比如操作系统,需要设置密码登录、指纹登录,一个软件系统、手机app等都需要进行相应的身份认证后才能进行访问。
2.1.3数据安全
数据安全保障数据不被非法的窃取、访问或破坏。
2.2、安全性主要的策略
2.2.1身份认证
怎么证明你就是你的问题。
- 用户名口令登录。
- PKI/PMI证书登录。
- 第三方实名认证平台授权登录。
- 生物学特征登录。指纹登录、人脸识别、血液验证登录、声音识别登录、”脑电波”识别登录等。 前两天一同事跟我聊电影里面的情景,登录一个安全系统,需要先经过指纹识别,识别通过后机器自动刺破手指放血进行DNA鉴别你就是你,最后认证通过。 那自然到科技发达时,通过人脑的意识就可以控制相关系统的认证过程,简称”意念”控制,相信不远的将来一定会有的!
2.2.2访问控制
证明了你就是你后,你也不能肆意妄为!软件系统会严格对你应有的权限进行控制,包括系统操作的方方面面。你能看到什么,操作什么,都是一定的。
2.2.3安全审计
你可能通过正常的途径,访问了敏感的信息,但是是踩着红线干的。那你就要注意了。系统安全性考虑的另外一方面是对访问者的行为进行留痕,在系统中干了什么将清清楚楚地及记录下来。 想查询xxx的隐私信息,oh,你要小心点了。
2.2.4通讯链路安全
你在跟我通话聊你的秘密时,你大概是不想有个第三者在电话旁边听的津津有味的。通讯链路不安全,信息就可能被窃取,一般掌握技术的这些人也不会无聊到用高精尖的技术设备去听你闲聊扯淡。在战争年代,电报、电台作为通讯手段,人家内容都是加密的,没有专门的解密码,无法进行解密。 在现在软件系统一般是B\S和C\S架构,只要涉及到通讯,就会涉及到链路安全。SSL通讯链路加密,报文加密等都是常用的安全策略。