工控网首页
>

新闻中心

>

None

>

会编程≠数据安全 细数程序员遭遇的风险

微博
微信

会编程≠数据安全 细数程序员遭遇的风险

2013/1/4 9:58:36

    在进入IT时代的初期,或者说是在过渡到IT时代之前,人们刚开始接触到所谓的PC机,系统等IT名词,计算机和网络才刚起步的时候。对于大部分的程序员来说,他们所掌握的电脑知识,在那个时代就是数据安全的保障。因为那时所有的技术都还处于初级水平,连攻击技术都是,掌握电脑知识的程序员自然对这种简单的攻击驾轻就熟(有的甚至本身就是编写攻击程序的高手)。在那个时代甚至有这样一种说法,裸机的都是电脑高手。

    但是随着时代的进步,IT技术的迅猛发展,互联网平台的高效利用,关于电脑知识的普及率越来越高,各种IT技术也被不同学历的人士所掌握,其中黑客技术也是。在这个大背景下,电脑的程序员已经不是安全的代名词了,甚至连程序员本身都有可能进入数据安全的误区。

    技术的发展,开发平台的使用将变得越来越简单,对于开发者的技术要求也越来越低,同时开发周期也将大幅度缩短。有人预测到2014年,企业办公软件中约四分之一属于这种由最终用户自行设计开发的程序。

    虽然这种办公软件会让员工的工作效率有所提升,但是同时也会将企业的敏感数据带入到企业无法控制的环境中,为企业信息安全带来了风险。

    程序员遇到的风险之一:开发环境不再是安全的。

    随着云技术应用的普及,程序员的开发环境也逐渐利用起了云技术,这大大提高了程序员之间沟通的效率。但也是因为云技术,使得开发环境变得不那么安全了,基于云的应用程序开发和部署平台,尤其是高效率的PaaS环境,使得企业可以在自身防火墙保护范围之外更快速的搭建应用程序,虽然很多PaaS平台能够提供优秀的安全性能,终端用户却并不一定会有效的利用这些安全性能。

    程序员遇到的风险之二:开发出的半成品程序,容易被黑客利用。

    据一份报告表示,非专业的开发人员“开发出来的不安全的应用程序越来越多的被黑客利用,成为攻击行为的中介。”,这份报告印证了此类应用程序存在安全隐患的观点。一旦这些程序被黑客所利用,轻则是毁坏程序员工作的成果,重则会波及整个开发环境,最严重的是这些未知的程序被进一步利用祸害整个互联网的安全。很多PaaS平台会将软件的开发限制在通过一系列模块组合成企业所需软件的范围,即尽量少让企业用户自行编写代码,从而降低黑客利用代码漏洞或执行恶意代码的机会,但是根据专业的信息安全公司的安全专员表示此类程序仍然面临安全风险,即从后台泄露企业信息。

    程序员遇到的风险之三:程序员的实际权限过大 权责问题引发安全隐患。

    很多程序员所拥有的权限远大于他们实际需要的权限,而其中存在的安全漏洞与其在何处开发或如何开发无关。这种权责的问题常常使得不具备进入资格的程序员进入权限混乱的地带,从而引发安全隐患——数据泄密问题。信息安全专家表示,企业必须确保在自行开发程序的每一步都要经过安全评估和测试。但同时更多力求发展的人士表示,企业寻求保护数据安全,不应该通过阻止终端开发者建立企业自己的应用程序来实现,因为这会阻碍一条很有前途的革新方式。

    其实从这三个风险不难看出,程序员遇到如此多的安全隐患的主要原因是现在开发相较以前变得容易了,利用的资源也多了。“随着终端用户开发的程序不断增多,企业数据出现危险的可能性也在增加。实际上,网络的危险早已存在,现在已经到了我们不得不认真面对的时候了。”安全专家是这样来阐述前面说到的问题的。那么在这种安全形势下,程序员,或者说开发者该如何规避这些风险呢?

    首先,对于环境安全的问题,提高现有环境的安全性是重中之重,摆脱传统的依赖开发平台自带的安全模式的防护手段,对云环境下的开发平台本身进行安全防护,对重点的传输端口进行加密,保证数据传输的安全。同时对整个云环境的网络交换入口进行监控,对可能的攻击进行及时预警。

    再者,应对程序被黑客利用的风险,使用多模透明加密技术,使开发出的程序被自动透明的加密,并且利用多模加密技术对不同环境下的程序进行高质量的加密。多模加密技术是采用国际成熟的对称密钥和非对称密钥相结合的技术。同时多模加密本身是一种能提供满足多种使用场景,采用多种加密策略的数据透明加密技术。在多模加密模式中,用户创建秘文的方式支持主动和被动两种方式,至少包含如下模式:特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式(但需要可以修改和查看别人的密文即高级别模式)、特定用户不加密模式(可以查看别人但不能修改别人密文即阅读者模式)、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等;这些加密模式可以赋予不同的用户或者用户组。

    最后是权责问题。明确权限分配,最好权限的划分,使得程序员在调用程序权责分配明确。并引入审计机制,对调用资源的程序员的调用行为进行审计,并记录其调用过程,使得日后发生泄密行为时,可以有证据追查。同时这种审计行为还能约束程序的不良举动和行为。

    IT世界本身就是由数据和程序串联的,会编程使得本身更能读懂这个世界的原理,但是在这个全民信息化的时代,光读懂这个世界的原理已经不是安全的保障了,运用专业的安全技术,加密软件保护数据安全才是正确的做法!

      关键词:数据安全  信息安全  加密软件



投诉建议

提交

查看更多评论
上海山丽信息安全有限公司

关注

留言

其他资讯

查看更多

供应链中的信息安全 浅谈ERP系统的防护要领

供应链中的信息安全 浅谈ERP系统的防护要领

针对NSA对云计算安全影响 数据加密是硬道理

“影子IT”信息安全隐患大 云计算发展受阻

看不见的危机 细数云计算的数据安全隐患

信息化与网络安全 这个时代无法逃避的话题