什么是“军用级”或“银行级”的安全?
对于 .NET 应用程序,我想不出比使用基本数据加密和 SSL 更“安全”的方法,并确保它不容易被黑客入侵......?
我自己正在构建一个 webapp,我只是好奇它什么时候被认为是“军事”等级,尽管它可能主要是一个营销术语。
问问题
528 次
3 回答
1
没有什么。事实上,“军用级加密”这个词被安全/密码学行业的相当多的人视为蛇油,充其量它告诉你营销人员一无所知为产品编写副本,最坏的情况是它暗示营销什么都不知道的人写了这个产品。
“军用级加密”没有具体的标准。如果有,他们会说他们符合该特定标准并提供文档。通常我看到这意味着这些软件使用 AES-256。当然,这并不能告诉你什么。这是使用 AES-256 加密的企鹅图像
不是很安全,但仍然是“军用级”。诀窍是,它是使用 ECB 模式完成的,这对几乎所有应用程序都不安全。
事实上,实际存在的标准也好不到哪里去。有 FIPS 140,它是最初用于加密硬件的 NIST 标准。它对软件的适用性是非常值得怀疑的。事实上,ECB 是 FIPS 批准的举措,所以上面所说的企鹅加密是有效的。
还有 NSA Suite B 列出了一组用于保护机密信息的算法。同样,它没有指定如何使用它们,并且再次允许 ECB 模式。
于 2013-09-02T23:58:30.727 回答
0
公司可以获得符合一组安全标准的认证,常见的是 ISO27001 信息安全标准 ( http://en.wikipedia.org/wiki/ISO/IEC_27001:2005 ),尽管这些往往是更多关于公司的内部政策和程序,而不是他们的软件本身。
许多大型公司或安全敏感行业(军事、银行等)的公司会坚持要求他们的供应商通过这些标准的认证。这通常意味着您在防火墙、密码和数据访问控制、审计、资产控制等方面有严格的政策。
作为软件开发人员,值得阅读应用程序及其托管环境易受攻击的基本方式,以便您知道要避免什么,例如 SQL 注入攻击、弱密码、蹩脚的密码学 ( ahem MD5) ,吐出太多信息的异常...
一本好书是http://www.amazon.co.uk/Deadly-Sins-Software-Security-Programming/dp/0071626751它写得很好,内容丰富。我已经完全阅读了其中的一些。
于 2013-09-02T15:19:38.183 回答
0
任何此类 IT 安全声明,不参考已发布的安全标准,都只是炒作。
有关安全级别的声明必须基于已建立的安全标准组织制定的标准,例如:支付卡行业 (PCI) 安全标准委员会、 互联网安全中心
于 2016-08-08T14:59:29.853 回答