国产 一极视频,国产精品 日韩无码 大秀视频,亚洲第一天堂m网站,精品久久久久中文字幕加勒比

加密組件管理不善也會導(dǎo)致密鑰泄露或證書管理不當(dāng)，從而違背安全集中式密鑰管理原則。比如說，維護(hù)和保護(hù)web服務(wù)器SSL數(shù)字證書以方便加密連接，防止攻擊者竊取和使用企業(yè)證書實(shí)施冒充攻擊。企業(yè)可以借助專業(yè)工具和加密技術(shù)，加強(qiáng)對應(yīng)用程序中所應(yīng)用的加密組件進(jìn)行保護(hù)。

一直以來，密碼技術(shù)都被認(rèn)為是一種有效保護(hù)數(shù)據(jù)，避免未經(jīng)授權(quán)訪問的有效技術(shù)。但隨著密碼分析技術(shù)不斷改進(jìn)以及計(jì)算能力不斷增強(qiáng)，很多曾經(jīng)有效的加密方案變得不再可靠，加密算法的有效性和可靠性因此受到多方面的挑戰(zhàn)。

實(shí)現(xiàn)強(qiáng)加密安全防護(hù)需要包括強(qiáng)加密密鑰、強(qiáng)大的數(shù)學(xué)算法和復(fù)雜的加密過程等諸多關(guān)鍵要素，其中：

?強(qiáng)加密密鑰是用于加密的密碼。密碼越長或越復(fù)雜，就越難被攻擊者破解。然而，現(xiàn)代計(jì)算機(jī)系統(tǒng)所采用的二進(jìn)制計(jì)數(shù)方式，導(dǎo)致加密密鑰很難具備充分的復(fù)雜性，因此只能在長度上進(jìn)行彌補(bǔ)。大多數(shù)強(qiáng)加密密鑰需要至少128位(128個(gè)0和1的組合)。

?強(qiáng)大的數(shù)學(xué)算法是指使用密鑰為簡單數(shù)學(xué)方法組成的算法饋入信息。當(dāng)前的加密算法普遍使用了橢圓上的點(diǎn)、大素?cái)?shù)乘法或?qū)Σ糠謹(jǐn)?shù)據(jù)實(shí)現(xiàn)異或(XOR)邏輯操作作為算法的基礎(chǔ)。

?復(fù)雜的加密過程是指通過多輪加密來對需要保護(hù)的數(shù)據(jù)集綜合使用多種復(fù)雜的加密密鑰和數(shù)學(xué)算法。比如說，Blowfish算法使用簡單的XOR函數(shù)，并在16輪加密中每一輪執(zhí)行這四個(gè)操作：

1. 對數(shù)據(jù)的左半部分與18項(xiàng)p數(shù)組執(zhí)行XOR操作。

2. 使用XOR數(shù)據(jù)作為f函數(shù)的輸入(用于轉(zhuǎn)換數(shù)據(jù))。

3. 對f函數(shù)的輸出與數(shù)據(jù)的右半部分執(zhí)行XOR操作。

4. 交換結(jié)果的左右兩半部分，作為下一輪加密的輸入。

以上所述的每個(gè)要素都能夠單獨(dú)提供部分保護(hù)能力。而將密鑰、算法和加密過程共同整合，就可以最大程度確保加密過程的完整性和強(qiáng)壯性。需要強(qiáng)調(diào)的是，強(qiáng)加密防護(hù)的最大特點(diǎn)是會對被保護(hù)數(shù)據(jù)進(jìn)行轉(zhuǎn)換以防止被竊取，而不僅是屏蔽數(shù)據(jù)，或只在數(shù)據(jù)輸出時(shí)進(jìn)行防篡改檢查。

每種加密技術(shù)在開始應(yīng)用時(shí)都被認(rèn)為是難以破解的，比如說早期的加密算法DES使用64位數(shù)據(jù)塊加密，采用16輪加密，密鑰只有56位。隨著算力增強(qiáng)，它就很容易被蠻力猜測破解。1997年，AES加密算法逐步取代了DES，將數(shù)據(jù)塊大小增加到128位，使用10到14輪加密，并將密鑰大小增加到至少128位。但美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)已經(jīng)發(fā)出提醒，量子計(jì)算可能會在未來20年讓AES岌岌可危。

與網(wǎng)絡(luò)安全其他領(lǐng)域的安全工具一樣，密碼技術(shù)部署不當(dāng)會大大削弱其應(yīng)有的能力。為了獲得可靠的加密防護(hù)效果，企業(yè)的安全團(tuán)隊(duì)?wèi)?yīng)該根據(jù)業(yè)務(wù)發(fā)展的實(shí)際需求，選用適當(dāng)?shù)募用芗夹g(shù)，并在應(yīng)用實(shí)踐中參考一下建議：

要實(shí)現(xiàn)強(qiáng)加密保護(hù)，安全團(tuán)隊(duì)首先需要全面評估和了解整個(gè)組織的加密措施應(yīng)用情況，以取代過時(shí)的保護(hù)措施，并確保其他加密最佳實(shí)踐的普遍應(yīng)用。就像資產(chǎn)發(fā)現(xiàn)或數(shù)據(jù)分析等其他任何安全實(shí)踐一樣，對不可見的資產(chǎn)是無法進(jìn)行監(jiān)控和保護(hù)。

同樣，將當(dāng)前加密數(shù)據(jù)的使用情況與整個(gè)組織的數(shù)據(jù)使用情況進(jìn)行比較。幾乎所有組織都對服務(wù)器采用全磁盤加密，以保護(hù)重要的靜態(tài)數(shù)據(jù)，但敏感數(shù)據(jù)需要持續(xù)保護(hù)，數(shù)據(jù)使用可能需要額外的文件、電子郵件或數(shù)據(jù)庫加密。

要實(shí)現(xiàn)強(qiáng)加密保護(hù)格外強(qiáng)調(diào)密碼長度的重要性，但關(guān)鍵問題是如何設(shè)定密碼長度的最大值和最小值的合理范圍。過去，密碼長度受到限制是為了適應(yīng)存儲需求。但現(xiàn)在，隨著散列值的存儲，大小限制變得非常寬松，允許使用強(qiáng)而復(fù)雜的密碼。

此外，企業(yè)還可以采用密碼管理器或集中式加密管理，以彌補(bǔ)密碼遺忘的問題，并增加算力，以抵消操作方面的限制。通常情況下，鑰匙越長，安全性越高。

然而，加長的加密密鑰也一定程度增加了密碼應(yīng)用的成本，一些組織無力為所有數(shù)據(jù)使用最強(qiáng)的加密選項(xiàng)。最好的方法通常是將要保護(hù)的數(shù)據(jù)存放在特定的系統(tǒng)，然后針對不同用途采用不同的密鑰長度。比如說，較短的密鑰保護(hù)筆記本電腦上不太敏感的數(shù)據(jù)，較長的密鑰保護(hù)存儲在服務(wù)器上的敏感數(shù)據(jù)。

使用多種類型和多層加密可以顯著提高加密技術(shù)抵御攻擊的能力。強(qiáng)加密防護(hù)同樣需要縱深防御的模式，多層加密限制了任何單一加密解決方案失效可能造成的危害，尤其是針對那些最關(guān)鍵的數(shù)據(jù)。

分層加密的每一層都能都加固密碼應(yīng)用的外部環(huán)境，并進(jìn)一步阻止未經(jīng)授權(quán)的解密活動。比如說，微軟建議使用磁盤加密對靜態(tài)數(shù)據(jù)進(jìn)行加密、使用單獨(dú)的數(shù)據(jù)庫加密，并使用加密的VPN網(wǎng)關(guān)以傳輸數(shù)據(jù)。

為了提升加密應(yīng)用的安全水平，企業(yè)應(yīng)該將密鑰管理提高到與加密技術(shù)相同的重要級別。因?yàn)榧词蛊髽I(yè)部署了良好的加密策略和加密程序，糟糕的密鑰管理仍然會成為“阿喀琉斯之踵”。對于訓(xùn)練有素的安全團(tuán)隊(duì)，應(yīng)該盡快實(shí)施集中式統(tǒng)一密鑰管理，規(guī)范地生成、輪換、更新和注銷加密密鑰。集中管理有助于提高加密方案的安全級別并改進(jìn)安全流程，比如定期訪問或?qū)徲?jì)日志審查，對長期備份數(shù)據(jù)中的密鑰進(jìn)行跟蹤，以及對加密資源進(jìn)行安全訪問管理。

OWASP 每年都會列出最嚴(yán)重、最常見的Web應(yīng)用程序安全漏洞，而由于加密組件管理不善、使用弱加密算法或加密算法部署不當(dāng)，使得加密故障類漏洞長期存在在于這份清單中。加密部署不當(dāng)往往源于編程錯(cuò)誤或?qū)θ绾螆?zhí)行復(fù)雜的加密算法過程有誤解，比如無法更改變量、不正確地生成用于創(chuàng)建密鑰的隨機(jī)數(shù)，或者使用容易受到惡意或意外的算法輸入攻擊的代碼。

由于應(yīng)用軟件的開發(fā)人員往往不具備識別弱加密的專業(yè)知識，因此安全團(tuán)隊(duì)?wèi)?yīng)向開發(fā)團(tuán)隊(duì)列出可以使用或需禁止的加密算法類型/庫，以降低弱加密的風(fēng)險(xiǎn)。當(dāng)然，借助一些先進(jìn)的應(yīng)用程序漏洞掃描器也可以幫助開發(fā)人員檢測加密使用不當(dāng)?shù)那樾巍?/span>

此外，加密組件管理不善也會導(dǎo)致密鑰泄露或證書管理不當(dāng)，從而違背安全集中式密鑰管理原則。比如說，維護(hù)和保護(hù)web服務(wù)器SSL數(shù)字證書以方便加密連接，防止攻擊者竊取和使用企業(yè)證書實(shí)施冒充攻擊。企業(yè)可以借助專業(yè)工具和加密技術(shù)，加強(qiáng)對應(yīng)用程序中所應(yīng)用的加密組件進(jìn)行保護(hù)。