第一部分 基礎(chǔ)篇

第1章
企業(yè)應(yīng)用安全

當(dāng)計算機(jī)將我們包圍、當(dāng)網(wǎng)絡(luò)無處不在時，安全問題成為了我們?nèi)找骊P(guān)心的問題。我們依賴于網(wǎng)絡(luò)，同時又受限于網(wǎng)絡(luò)，而網(wǎng)絡(luò)本身卻是不安全的！如今越來越多的企業(yè)應(yīng)用都架設(shè)在網(wǎng)絡(luò)平臺之上，雖然這樣能為用戶提供更快捷和便利的服務(wù)支持，但這些服務(wù)支持也越來越龐大。與此同時，為了滿足用戶日益增長的服務(wù)需求，企業(yè)應(yīng)用不斷在如何提供更好的服務(wù)支持和更大信息量的傳輸方面加大技術(shù)投入。而與此失衡的是，企業(yè)應(yīng)用的安全性卻未能受到足夠的重視。單憑用戶名和口令鑒別用戶身份，繼而授權(quán)用戶使用的方式難以確保數(shù)據(jù)的安全性。

1.1 我們身邊的安全問題

安全，似乎是個問題。但是，我們覺得這個話題似乎不是那么關(guān)鍵！通常情況下，我們通過為用戶提供用戶名和口令驗(yàn)證的方式就可以避免這個問題，但這不是最佳答案，因?yàn)檫@樣做是遠(yuǎn)遠(yuǎn)不夠的。安全隱患無處不在，還是先來看看我們所處環(huán)境的安全狀況吧！

? 存儲問題：閃存芯片的快速的、革命性的發(fā)展使得移動存儲行業(yè)發(fā)生了質(zhì)的變化，各種數(shù)據(jù)存儲在各種不同的移動存儲設(shè)備上。當(dāng)塞滿了公司的年度報表、下一年企劃策略等各種商業(yè)機(jī)密的優(yōu)盤突然不翼而飛時，我們才會猛然驚醒—優(yōu)盤中的數(shù)據(jù)沒有任何安全措施，甚至連口令都沒有！

? 通信問題：我們習(xí)慣于通過IM工具與好友聊天、交換心情、透漏隱私，甚至通過IM工具與合作公司交換公司私密數(shù)據(jù)！當(dāng)你的隱私成為公共話題時，或當(dāng)你的公司的商業(yè)數(shù)據(jù)被曝光時，你突然發(fā)現(xiàn)原來IM工具是不安全的！沒錯，不管是哪一種IM工具，都在不遺余力地告誡用戶聊天信息可能被盜取，“安全提示：不要將銀行卡號暴露在您的聊天信息中！”相信大家都不會對這條提示信息感到陌生。

? B2C、B2B交易問題：到郵局排隊(duì)匯款的日子已經(jīng)一去不復(fù)返了，取而代之的是網(wǎng)上銀行，輕松地點(diǎn)擊一下按鈕就能順利完成轉(zhuǎn)賬的操作。網(wǎng)上銀行的確為我們的生活帶來了便利，但是，如果我們有被釣魚網(wǎng)站騙取銀行卡號和密碼的不幸遭遇，那么現(xiàn)在想起來是不是仍然心有余悸？難道沒有一種辦法能確保我們輸入的信息被發(fā)送到安全的地方嗎？

? 服務(wù)交互問題：隨著大型應(yīng)用對交互性的需求越來越高，這些應(yīng)用之間的數(shù)據(jù)交互也越來越頻繁，甚至是大批量、高負(fù)荷的數(shù)據(jù)交互。當(dāng)你公司的應(yīng)用通過Web Service接口與合作伙伴交互數(shù)據(jù)的時候，你該如何確定對方就是你所信賴的合作伙伴呢？你的We b Service接口安全嗎？

? 移動應(yīng)用服務(wù)問題：3G時代已經(jīng)來臨，在不遠(yuǎn)的某一天，你將完全可以通過手機(jī)完成現(xiàn)在只能通過PC完成的事情，如視頻聊天、B2C購物、銀行轉(zhuǎn)賬等等。3G時代預(yù)示著智能手機(jī)將無所不能！其實(shí)手機(jī)也是計算機(jī)，只不過它與你熟悉的PC在體積上有較大的差別而已。3G手機(jī)一樣要通過網(wǎng)絡(luò)完成你要執(zhí)行的操作，將平臺由PC轉(zhuǎn)換為手機(jī)，并不能保證手機(jī)平臺就能比PC平臺有著更高的安全性！用手機(jī)在WAP網(wǎng)站上下載一款軟件，是再平常不過的事情了。但是，如何避免用戶因不夠信任該軟件而取消下載呢？下載后，手機(jī)如何鑒別這個軟件是安全的呢？如何避免發(fā)布的軟件在被客戶成功下載之前被篡改呢？

? 內(nèi)部人為問題：前面列舉的問題都來源于外部，我們往往忽略了內(nèi)部人為問題。現(xiàn)在的企業(yè)應(yīng)用都能為用戶提供用戶名和口令來確保用戶的數(shù)據(jù)安全，但很多時候用戶名和口令在數(shù)據(jù)庫中卻一目了然，甚至有的是以明文方式存儲的！企業(yè)內(nèi)部任何能訪問數(shù)據(jù)庫的員工都能輕而易舉地盜取用戶的用戶名和口令，然后冒充用戶的身份完成各種合乎用戶行為的操作，侵害用戶的利益。企業(yè)因此被用戶投訴之后，卻又找不到任何蛛絲馬跡。

當(dāng)我們的利益受到侵犯時我們才會想起安全問題，安全原來如此重要！一不小心，你的企業(yè)應(yīng)用就會因?yàn)閿?shù)據(jù)泄露而喪失良機(jī)、引發(fā)投訴，甚至是付出巨額賠款！安全問題關(guān)系著企業(yè)的生死存亡！