1.4 為你的企業應用上把鎖

終于，我們準備好了應對企業應用安全問題的良策。現在，讓我們為自己的企業應用裝上這一道道的安全鎖。

? 訪問控制：通過為用戶設定用戶名和口令控制用戶訪問權限。這是我們最常用的，也是最簡單的防范措施。隨著企業應用業務的不斷細化，如何劃分用戶訪問控制權限，如何控制不同類型的用戶（如超級管理員、普通用戶、VIP用戶）訪問受限資源成為新的問題。通常依靠各種理論基礎來劃分，比較常用的劃分方式有，如以用戶組為單位劃分某組用戶可以訪問某些資源（Linux操作系統是這種劃分方式的典型代表）；以用戶角色為單位劃分具有何種角色的用戶可以訪問哪些相應的資源，如我們已經提到過的RBAC。訪問控制通常沒有固定的算法，由架構師根據系統設計需求進行相應的設計。訪問控制僅僅能起到企業應用第一層屏障的作用，最易實現也最不安全，適用于安全系數較低的企業應用。

? 數據加密：通過對數據的加密、解密可以有效地提高企業應用的安全性。數據加密可以應用在企業應用中的多個環節。例如，可對機要數據進行加密后再存儲，對用戶的口令加密后存儲可有效避免口令盜取導致的用戶利益侵犯問題；對網絡傳數據加密，對用戶聊天信息加密傳輸可以確保用戶隱私不易被破譯；對要傳輸的數據做加密摘要，各種通過網絡傳播的光盤文件（ISO文件）同時附有摘要信息作為驗證，可以驗證數據完整性。數據加密適用于多種企業應用，架構師可根據具體要求實施相應的加密防范措施。

? 證書認證：通過數字證書認證可以鑒別用戶身份、消息來源的可靠性，加上HTTPS協議的支持可達到高度的數據安全性。數字證書由權威的數字證書認證中心（Certificate Authority，CA)頒布。數字證書經認證中心簽名處理，任何第三方都無法修改證書的內容。數字證書自身帶有公鑰信息，可以對數據進行加密、解密和數字簽名驗證。同時，帶有MD5、SHA的消息摘要信息可做自身有效性驗證。數字證書鑒于自身高度的安全性通常以文件形式存儲，可通過網絡、物理存儲載體發送給用戶使用。通過讀取數字證書信息，HTTPS協議得以發揮安全信道通信的作用，確保數據交互的安全性。當然，安全總是有代價的。通過數字證書對數據做處理后，網絡交互時間會相應延遲，這主要是因為非對稱加密算法的時間效應。但為了更高的安全性，犧牲系統響應時間是有必要的。通常在電子商務中，使用數字證書是最好的選擇，也是確保安全交易的唯一選擇。大型企業應用之間的大批量機要數據的交互，通常采用數字證書認證的方式。架構師可根據企業應用所處的相應領域，及不同的業務需求選擇有效的數字證書確保企業應用的安全證書認證多適用于電子商務。