山丽网安-移动终端面临安全考试数据加密成标准解析.doc

山丽网安：移动终端面临安全考试 数据加密成标准答案 或许习惯了使用电脑作为信息处理终端的人很难想象智能机和移动互联网对于现代信息处理和传播的影响，同样已经使用了几十年只有通话或者收发消息功能的手机用户也很难想象，手里这个小小的东西，现在由于信息技术和互联网能做到以前根本想都不敢想的事情。 可以说手机和数据处理终端的集合体——智能机，将成为信息时代下一个里程碑的开始。但是技术的发展和时代的进步并不等同于顺利和安全，相反在社会进步和改革的过程中，危险和阻力是经常相伴左右的。而在移动终端发展的过程，就面临着一场考试——一场来自数据、信息安全防护方面的考试。这究竟是一场怎么样的考试，它的“答案”又在哪里，下面就让在信息安全领域有多年防护经验的山丽网安带您一同去了解下吧。 移动安全问题“从零开始” 持续关注引发持续问题 虽然利用手机和移动互联网处理和传播现代信息化的数据并不是一个新技术，但是智能机的突然崛起和普及加速了这个过程。作为一个新的数据处理终端，它的数据安全问题也像它的大前辈——传统PC机一样，安全问题随着关注度的不断提高而不断被揭露。其中被揭露的一些问题，甚至与你终端、系统是什么没有直接的联系，是更本源或者说更“简单”的问题。 两个移动设备安全专家最近发现了一个简单的编码漏洞，它普遍存在于苹果iOS平台上的应用程序中。如果被肆意地利用，攻击者可以借由这个漏洞将用户应用程序永久重定向到恶意服务器上，而不是由应用程序开发者提供的合法服务器。 这个漏洞被称为HTTP请求劫持，首先需要一个中间人攻击场景，在这个场景中，黑客在公共设置中建立一个Wi-Fi网络，然后捕捉信息，攻击不知情的受害者。当一个移动应用程序企图从一个服务器请求信息时，攻击者拦截通信，可以简单的发送一个301“永久移除”HTTP响应状态代码给应用程序，这样攻击者 就可以更换掉供应商的服务器，用自己的服务器作为应用程序的通信枢纽。 信息安全方面的专家表示这种编码错误在移动应用程序上尤为严重，因为它们永久缓存301响应，不管受害者是否依然连接在相同的Wi-Fi网络上。Web浏览器在地址栏显示被访问的URL，而移动应用程序却通常不显示它们检索信息的服务器，这样受害者就没有线索知道他们是否正在观看合法内容。尽管用户可以卸载一个应用程序，不过攻击者可以通过这个简单的漏洞无限期地控制一个应用程序。 至于攻击者为什么会选择这种攻击途径，某信息安全专家举出了叙利亚电子军队黑客攻击美联社的Twitter账号并发出Twitter，导致美国股市暂时暴跌的例子。当攻击被发现的时候，市场显然就开始纠正过来。但是发现很快的原因之一是因为这个特殊攻击的账号是美联社的账号，该公司几乎是马上意识到这个问题。 这位专家指出，新发现的漏洞可以针对华尔街特定的交易商，例如，由于贸易商的应用程序一被攻击就可能会看到虚假的内容，很难被发现。 同时业内的专家认为，“我们非常依赖我们的iPhone，我们依赖手机里的应用程序并且认为它们是可靠的。这篇文章使我们想到：早上读新闻时，你是阅读到了真正的新闻还是只是攻击者发给你的虚假信息呢？” 还有，虽然以色列的研究人员证实这个问题只是出现在iOS平台上的应用程序中，但是某安全研究眼指出在某些特定的Android应用程序中同样存在相似的问题。 这位研究员说，无论如何，还是人们对于移动应用程序太有信心。苹果和谷歌已经部署了各自的应用程序商店，他认为从安全角度来说这个方法是有效的，只是许多用户不重视会发生在任意应用程序中的编码问题。 最后这位研究员表示：“十年前，大家都认为Web应用程序漏洞并不紧要，但是今天，我们都知道保护Web应用程序非常重要，利用Web应用程序的漏洞又很简单。我预见移动设备的应用程序代码会发生问题，而且趋势已经越来越明显。我认为苹果和谷歌已经做得很棒，但是同样这也是必然的。编码问题总是在发生，而且他们都有安全隐患。 旧问题新威胁 面对本源问题需要本源防护 显然以上发现的问题并不是数据、信息方面威胁的新问题，只是平台发生了变化，加之平台新生的原因，使得这个问题可能被急速的恶化。所以面对类似威胁移动终端的旧平台上的新问题，采用更直接更本源的防护之法是最佳的选择，而数据加密就是其中之一。在了解当今何种加密技术能更好的解决以上问题之前，让我们先来了解一下数据加密防护的几个要素吧。 1、性能：在我们决定加密数据时，需要考虑的一个最大问题是，其性能影响如何？而对这个问题的回答只能是“视方案而定”。在我们的经验中，透明加密执行起来很好，它对数据库的性能影响一般从5%到8%不等。本地数据库对象加密对性能的影响可达到15%到20%。所以，企业必须根据自己的配置状况和性能要求考虑好此问题。 2、操作：如果你要加密介质，最好能够保证在需要时能够及时从此介质恢复。这就要求你经常测