《Web漏洞防护》读书笔记——第5章,数据安全
涉及到数据安全的位置:
交互的地方;存储的地方;共享的地方;
1.数据交互的过程是最可能产生数据泄露的,如最长使用的Web交互。
2.数据的存储,特别是敏感数据的存储,需要进行加密后存储,加密算法的不安全性增加了数据泄露的风险。
3.公司内部跨部门数据共享问题,共享不当,造成数据乱用,引发数据泄露。
数据安全的防护:
1.传输层安全防护:
a.使用虚拟专用网络(VPN),如公司间共享数据,员工远程办公。
b.使用安全套接字层/传输层安全性(SSL/TLS),针对中间人攻击的防御手段,注意需要安全的部署。
SSL/TLS概念:
SSL全程为安全套接字层,TLS全程为传输层安全性,两者概念可以互换使用。
SSL/TLS的服务器验证组件向客户端提供服务器的身份验证。
SSL/TLS的提供的两个额外好处:
a.完整性保护
b.重放防护。
TLS通信数据流中包含内置控件,防止对加密数据进行篡改,内置组件还能够防止对捕获的TLS数据流进行重放攻击。
安全服务的设计(服务端):
1.尽量在任何地方使用SSL/TLS进行安全传输(无论内网