企业核心数据安全解决方案
2014-11-09 13:48:48   来源：我爱运维网   评论：0 点击：

还记得2011年疯狂地修改各网站的登录密码，原由是CSDN 600万用户数据泄密，依稀地记得很多朋友没有意识到这里的风险，我敢说现在还有很多人各大网站都是一个账号+密码登录，重要数据没有进行自我安全保护。

 

然而此次安全事件后，泄露就像病毒式蔓延：2012年3月，当当网用户账户曾遭盗刷；2013年11月，7000多万个QQ群信息遭泄露；2014年3月，携程网安全支付日志可被下载，大量用户银行卡信息被泄露；人人网 800万被拖库泄露(用户名,密码,真实信息)；多玩网 640万；新浪微博(近百万数据)；178游戏站 2000万；7K7K游戏站 1000万 …… 参考WIKI

 

触目惊心，如果这些数字还没有引起你的注意的话，我只能说：我对你很失望！

一、说说数据

 

数据＝钱

用户的数据可以间接地变现，很多人觉得不可思议，但这就是事实。现在还有很多公司的工作人员，私底下倒卖员工的资料给第三方，因此你经常会接到陌生的电话或短信骚扰。然后这些大多数都是骗子公司、假冒产品公司、同行竞争等。

 

如果是银行卡信息泄露，那非法份子就可以复制你的卡，从而进行盗刷；还有最近比较流行的快捷支付；密保找回等等。那么，你的数据是如何被获取的？

1. 数据随处可下：不花钱或花点小钱

2. 简单破解已不是难事：自己写程序或购买小软件

 

数据如何被窃取？

1. SQL注入拖库

2. 数据库备份下载

3. 密码破解（John the Ripper、PasswordPro、EGB、HashCat、彩虹表）

 

也就是说：现在谁都可以轻松获取到已经泄密了的数据，然而复杂的密码对于大多数人而言就大大提高了破解门槛。下面就总结了常见的密码破解技术及破解时长。

 

密码破解技术：

1. 暴力破解
   1-12位数字
   1-9位小写加数字
   1-8位大小写加数字
   1-7位大小写加数字加字符

2. 字典破解
   rockyou-eng
   facebook-username
   uname-cn
   p2，p3

3. Mask破解技术
   1位字母加数字
   ？l？d ？d ？d ？d ？d ？d
   2位字母加数字
   ？l？l ？d ？d ？d ？d
   etc…

4. Hybrid破解技术
   字典+数字
   字典+字母数字
   字典+符号
   字典+字典

5. Rules 破解技术
   AABBCC
   。。。

6. 常用破解设备
   单机CPU
   分布式系统 多CPU
   单机GPU
   分布式GPU

 

破解速度高达：100亿/s

 

如果你的密码是如下组合，破解仅仅是时间而已：

• 12位数字 一万亿 1.6分钟

• 8位数字+小写字母 2.8万亿 4.7分钟

• 7位数字+小写字母 3.5万亿 6分钟

• 9位数字+小写字母 100万亿 2.7小时

• 8位数字+大写字母+小写字母 218万亿 6小时

 

如果这些还不够的话，我只能说：我已经救不了你了！

 

你在图自己方便之时，就给黑客打开了一扇方便之门。其实对于用户而言常见的简单判断就是网站注册时有没有提醒你使用复杂密码，如果没有话，你就需要慎重考虑了。

 

二、说说企业防御

 

对于明文存密码的网站，一侓拉黑！

 

现在还有很多公司采用明文密码存储数据库，对于这些网站，离得越远越好。如果你不知道那些站点是用的明文，最简单的方法就是注册时自动生成密码，而密码采用lastpass（浏览器插件）来管理。即实现密码安全管理又可以自动登陆。

 

如果你是站点管理员或开发者，就需要阅读以下网站对于用户信息的保护方法：

1. 密码保存
   a. 用户名/地址等明文存放+密码MD5加密存放 (不安全，评分20分)
   b. 用户名/地址等明文存放+密码添加salt,然后使用2次MD5加密存放: md5(md5($pass).$salt) （相对安全，评分30分）
   c. 自己设计的密码算法加密数据 (安全，评分50分)
   目前极少数公司做到了C，即50分。

2. 更安全的做法
   a. 加密+算法保密+授权机制
   b. 加密+算法保密+授权机制+日志审计
   c. 加密+算法保密+授权机制+日志审计+智能行为分析
   d. 加密+算法保密+授权机制+日志审计+智能行为分析+调用方识别

有多少公司愿意投入大成本来保护用户的信息呢？

 

三、密码学与系统防御

RSA，MD5，SHA1，Hash做为运维肯定不会陌生，这些在系统管理中都会用得到。

1. 对称密码体制:DES，3DES，AES 对明文按字符逐位加密：流密码(stream cipher) 明文分组后再逐组加密：组密码(block cipher)

2. 非对称密码体制 / 公钥体制:RSA 采用双密钥体制的每个用户都有一对选定的密钥，其中一个是秘密的，而另一个则可以公开。

3. 单向函数定制 单向散列函数 / Hash Function，是将任意长度的消息M映射成一个固定长度散列值h(设长度为m)的函数H，h = H(M) 单向性，抗碰撞性md5，sha1，mysql5

4. 授权机制定制
   纯软件
   软硬件结合
   操作系统
   这里涉及代码及系统级授权，权限管制得越严，越安全，但便利性会大大降低。

5. 安全部署方式定制
   角色明晰
   权限最小化
   内外网分离
   不同的业务在部署时走单独的用户，如果需要提权时sudo，这点大多数公司或人都能做到。然后构建内外网分离，难度系数就大大增强了，关键在于成本。

6. 操作系统定制
   裁剪
   增加权限
   个性化
   内核
   很容易被大家忽视的部分。

7. 系统应用定制
   webserver
   php
   MySQL
   DB的物理隔离，你做了吗？

8. 蜜罐陷阱定制
   蜜罐系统/报警系统
   地雷，假库，假表，
   用户不可见元素，
   人机区分，黑客/正常用户区分

9. 信息隐藏技巧
   目录隐藏
   增加key验证
   返回不可区分
   迷惑性功能页面

10. 应用签名方法定制
    Cookie
    Sessionid
    Token
    链接参数
    认证应用

11. 应用监控定制
    进程监控
    异常ip监控
    动态阻断

12. 操作行为定制
    异常的操作频率
    异常的流量

13. 权限分级定制
    数据库权限
    敏感信息权限
    最小权限
    限制IP
    VPN

14. WAF组件开发
    Web应用中敏感方法名
    正常应用和黑客行为区分
    输入过滤/认证
    开发规则培训

15. 文件变更检验
    标准化的发布流程
    文件签名审核、跟踪、报警
    文件还原

16. 攻防演练/人员培训/自审
    .svn
    web.tar.gz
    1.php
    /admin
    防止工具泄密 keepass

 

相信通过以上16条信息保护，你的系统及用户数据安全系数大大增强，我们做到的不仅仅是对自己负责，更是对用户负责。

 

四、策略保护

1. 流程与逻辑

2. 多次校验

 

策略，更多的就是战略方向啦，采用一定的手段来保证安全。常见的就是流程与检验，流程的强行验证，交易类数据时多次校验，防刷异地登录提醒等等这些都是手段。

 

五、也谈谈个人防护

 

• 个人密码采用工具存放。类似：keepass,1password,lastpass

• 定制修改重要网站密码。

• 服务器信息采用加密传输。例如: PGP

• 关键在于自我安全保护意识。

 

总结了这么多，感觉自己在安全这条道路上还有很长一段路要走。