第一部分 基礎篇

第1章
企業應用安全

當計算機將我們包圍、當網絡無處不在時，安全問題成為了我們日益關心的問題。我們依賴于網絡，同時又受限于網絡，而網絡本身卻是不安全的！如今越來越多的企業應用都架設在網絡平臺之上，雖然這樣能為用戶提供更快捷和便利的服務支持，但這些服務支持也越來越龐大。與此同時，為了滿足用戶日益增長的服務需求，企業應用不斷在如何提供更好的服務支持和更大信息量的傳輸方面加大技術投入。而與此失衡的是，企業應用的安全性卻未能受到足夠的重視。單憑用戶名和口令鑒別用戶身份，繼而授權用戶使用的方式難以確保數據的安全性。

1.1 我們身邊的安全問題

安全，似乎是個問題。但是，我們覺得這個話題似乎不是那么關鍵！通常情況下，我們通過為用戶提供用戶名和口令驗證的方式就可以避免這個問題，但這不是最佳答案，因為這樣做是遠遠不夠的。安全隱患無處不在，還是先來看看我們所處環境的安全狀況吧！

? 存儲問題：閃存芯片的快速的、革命性的發展使得移動存儲行業發生了質的變化，各種數據存儲在各種不同的移動存儲設備上。當塞滿了公司的年度報表、下一年企劃策略等各種商業機密的優盤突然不翼而飛時，我們才會猛然驚醒—優盤中的數據沒有任何安全措施，甚至連口令都沒有！

? 通信問題：我們習慣于通過IM工具與好友聊天、交換心情、透漏隱私，甚至通過IM工具與合作公司交換公司私密數據！當你的隱私成為公共話題時，或當你的公司的商業數據被曝光時，你突然發現原來IM工具是不安全的！沒錯，不管是哪一種IM工具，都在不遺余力地告誡用戶聊天信息可能被盜取，“安全提示：不要將銀行卡號暴露在您的聊天信息中！”相信大家都不會對這條提示信息感到陌生。

? B2C、B2B交易問題：到郵局排隊匯款的日子已經一去不復返了，取而代之的是網上銀行，輕松地點擊一下按鈕就能順利完成轉賬的操作。網上銀行的確為我們的生活帶來了便利，但是，如果我們有被釣魚網站騙取銀行卡號和密碼的不幸遭遇，那么現在想起來是不是仍然心有余悸？難道沒有一種辦法能確保我們輸入的信息被發送到安全的地方嗎？

? 服務交互問題：隨著大型應用對交互性的需求越來越高，這些應用之間的數據交互也越來越頻繁，甚至是大批量、高負荷的數據交互。當你公司的應用通過Web Service接口與合作伙伴交互數據的時候，你該如何確定對方就是你所信賴的合作伙伴呢？你的We b Service接口安全嗎？

? 移動應用服務問題：3G時代已經來臨，在不遠的某一天，你將完全可以通過手機完成現在只能通過PC完成的事情，如視頻聊天、B2C購物、銀行轉賬等等。3G時代預示著智能手機將無所不能！其實手機也是計算機，只不過它與你熟悉的PC在體積上有較大的差別而已。3G手機一樣要通過網絡完成你要執行的操作，將平臺由PC轉換為手機，并不能保證手機平臺就能比PC平臺有著更高的安全性！用手機在WAP網站上下載一款軟件，是再平常不過的事情了。但是，如何避免用戶因不夠信任該軟件而取消下載呢？下載后，手機如何鑒別這個軟件是安全的呢？如何避免發布的軟件在被客戶成功下載之前被篡改呢？

? 內部人為問題：前面列舉的問題都來源于外部，我們往往忽略了內部人為問題?，F在的企業應用都能為用戶提供用戶名和口令來確保用戶的數據安全，但很多時候用戶名和口令在數據庫中卻一目了然，甚至有的是以明文方式存儲的！企業內部任何能訪問數據庫的員工都能輕而易舉地盜取用戶的用戶名和口令，然后冒充用戶的身份完成各種合乎用戶行為的操作，侵害用戶的利益。企業因此被用戶投訴之后，卻又找不到任何蛛絲馬跡。

當我們的利益受到侵犯時我們才會想起安全問題，安全原來如此重要！一不小心，你的企業應用就會因為數據泄露而喪失良機、引發投訴，甚至是付出巨額賠款！安全問題關系著企業的生死存亡！