資料時代的來臨,推動着社會各領域轉型更新的加速,但其在加速發展過程中的資料洩露問題也日益凸顯,給企業及個人資訊的安全帶來極大威脅。2018年,據報道有6500起資料洩露事件,暴露了數十億條潛在的資料濫用記錄。在當今的數字互聯的世界裡,安全幾乎總是企業的首要任務,以確定他們的記錄是安全的。對于組織來說,實作API安全最佳實踐以使它們的內建在系統之間傳輸的資料處于嚴格的鎖定狀态是非常重要的。
許多企業和技術提供商通過采用身份和通路權限管理多種機制來確定資料和API的安全,如Mulesoft。這是確定隻有授權使用者才能通路某些資料集,系統,API等的過程。消息完整性與通路管理一樣重要。消息完整性是指消息被确認是從“已知”應用程式發送的,并且在傳輸到API的過程中沒有被破壞。這保證了消息的私有細節不會被看到。
這裡,我們簡要介紹幾種比較常見和重要的資料和API安全保護機制:
1.多因素身份驗證
通路管理的一種類型是多因素身份驗證(MFA)。多因素身份驗證是指應用程式在對使用者的憑據進行了身份驗證之後,向使用者請求一次性使用令牌。有些應用程式可以通過向使用者發送消息或讓使用者建立應用程式可以驗證的數字密鑰來實作這一點。隻有在應用程式以兩種或多種方式驗證使用者之後,使用者才能通路它。
此方法可以彌補僅用使用者名和密碼作為憑據的弱點,可以極大地增強安全性,同時提供良好的使用者體驗。
體驗多重保護:精通安全性并希望對敏感資源或事務具有最高安全性級别的使用者選擇多因素身份驗證,因為進入壁壘是最嚴格的。使用者必須先提供幾條資訊,然後才能通路其帳戶。
保障高保證交易:對于某些交易,使用強單因素身份驗證可以提供足夠的安全性。但是,對于高保證交易(例如開處方或進行高額交易),可能需要對使用者進行更強有力的驗證。
確定強大的合規性:對于受管制行業中的組織,需要滿足嚴格的合規性規定,例如HIPAA。使用滿足最高保證級别的解決方案的多因素身份驗證方法可確定授權通路。
2.基于令牌
保護應用程式和資料通路的另一種方法是通過基于令牌的憑據。使用者首次使用其使用者名/密碼憑據通路身份提供者時,會發出令牌。該令牌允許他們擷取特定資源-無需使用使用者名和密碼。從那時起,該應用程式隻需要發送令牌,而不是讓使用者通過網絡共享他們的憑據(這可能帶來安全風險)。
換句話說:添加一個間接身份驗證級别-無需為每個受保護的資源使用使用者名和密碼進行身份驗證,使用者隻需以這種方式進行一次身份驗證(在一個會話持續時間之内),然後獲得一個限時令牌,并在會話期間使用該令牌進行進一步的身份驗證。
這樣做的好處有很多,例如,使用者一旦獲得了令牌,就可以把它傳遞到其他一些自動系統上,他們願意在有限的時間和有限的資源範圍内信任這些系統,但不願意使用他們的使用者名和密碼來信任這些系統,他們可以通路任何資源,至少在他們更改密碼之前是這樣)。而且大多數令牌都有一個有效期,可以吊銷。因為令牌是唯一地釋出給每個應用程式的,是以即使某個應用程式的令牌被吊銷或過期,也可以單獨通路所有應用程式。
3.數字簽名
數字簽名是一種用于驗證數字文檔或消息真實性/完整性的數學方案。當确定真實性和避免篡改很重要時,比如在金融交易中,就會用到它們。數字簽名可以分為三個部分:密鑰生成算法,簽名算法和簽名驗證算法。密鑰生成算法從一組可能性中選擇一個随機私鑰,并将私鑰與相關的公鑰一起發送。簽名算法根據消息和私鑰生成簽名。最後,簽名驗證算法在提供消息,簽名和公鑰時接受或拒絕消息的真實性。
數字簽名通常用于實作加密的電子簽名。這些安全措施同時考慮了身份驗證和不可否認性(簽名者不能在聲稱他/她的私鑰沒有被破壞的情況下拒絕簽署文檔)。
你可以在任何東西上簽名——無論是民事的、法律的還是個人的——簽名都用來記錄交易的真實性。這個概念也已經數字化。在這種情況下,應用程式會使用算法和密碼建立簽名。高效的API使用相同的算法和新的密碼來生成自己的簽名,并将其與傳入的簽名進行比較。當接收到比對的消息時,API将驗證消息是由一個已知的應用程式發送的,并在傳輸過程中保持其完整性。這是因為隻有一個已知的應用程式才會生成相同的簽名并維護該簽名——這與第三方篡改簽名不同。
數字簽名作為最先進和安全的線上簽名類型。您可以使用它們來滿足最苛刻的法律和法規要求,因為它們為每個簽名者的身份和所簽名檔案的真實性提供了最進階别的保證。
4.公開密匙加密
另一種確定消息完整性的古老方法是加密。公鑰密碼技術或非對稱密碼技術,是一種使用兩個在數學上相關但并不相同的密鑰的加密方案-公鑰和私鑰。與依賴于一個密鑰進行加密和解密的對稱密鑰算法不同,每個密鑰執行獨特的功能。公鑰用于加密,私鑰用于解密。也就是說,如果沒有相應的密鑰,則幾乎無法解碼該消息。
基于公鑰計算私鑰在計算上是不可行的。是以,公鑰可以自由共享,這使得使用者可以輕松友善地對内容進行加密并驗證數字簽名,而私鑰可以保密,確定隻有私鑰的所有者才能解密内容并建立數字簽名。
由于公鑰需要共享,但是由于太大而不易記住,是以它們被存儲在數字證書上,以便安全傳輸和共享。由于私鑰不是共享的,是以它們隻是存儲在您使用的軟體或作業系統中,或者存儲在硬體(例如USB令牌、硬體安全子產品)中,其中包含允許它與您的軟體或作業系統一起使用的驅動程式。
我們知道,加密有兩種形式:對稱和非對稱。對稱是指用戶端和伺服器共享相同的密鑰來加密和解密消息。優點是計算量較小,加密和解密的速度比較快,适合加密比較大的資料。缺點是密鑰的傳輸容易洩露,一個使用者需要對應一個密鑰,伺服器管理密鑰比較麻煩。非對稱是指伺服器向客戶機發出一個公鑰,允許它對消息進行加密,但保留一個可以解密消息的私鑰。本質上是用一個密鑰來鎖定消息,用另一個密鑰來解鎖它。優點是加密和解密使用不同的鑰匙,可以傳輸公鑰,資料傳輸是安全的,缺點是計算量大,加密和解密的速度比較慢。
5.數字證書
公鑰加密使用SSL(安全套接層)加密客戶計算機與電子商務網站之間的所有資料。使用站點的公鑰将資訊以加密形式發送到站點。接收到資訊後,站點将使用其私鑰對資訊解密。這稱為密鑰對。可能在途中捕獲資料的入侵者會發現它是不可讀的。但問題是,任何人都可以使用不屬于自己的名稱來建立網站和密鑰對。這就是數字證書的用武之地。數位證書是受信任的電子身份證,可将網站的公共密鑰加密綁定到其身份以實作公共信任。
數字證書包含實體的名稱,位址,序列号,公鑰,有效期和數字簽名以及其他資訊,是一種促進用戶端和伺服器之間通過網絡進行安全傳輸級通信的方式,以便伺服器可以向用戶端進行身份驗證。發生這種情況是因為證書将有關伺服器的資訊與有關擁有伺服器的企業的資訊綁定在一起。
數字證書由一個獨立的,公認的和互相信任的第三方頒發,以保證網站的營運是其所聲稱的身份。這個第三方稱為證書頒發機構(CA)。沒有數字證書,公衆幾乎無法保證任何特定網站的合法性。
在大資料時代,企業面臨的網絡安全問題日益嚴峻,特别在在企業内部、以及企業之間需要內建不同的應用時,開發人員雖然能夠通過API來快速且友善地予以實作。不過如果沒有采用恰當的API,那麼就會讓整個企業面臨各種風險與威脅。是以,我們需要在開發和實施之前,就對資料和API的安全機制進行考核,進而提高企業的整體安全态勢。此外,企業自身也應該制定相應的安全防護制度。
轉載請注明出處:怡海軟體(
http://www.frensworkz.com/)
![【趨高機器視覺】機器視覺技術原了解析及解決方案[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)