使用修订版OWASP Top Ten保证Web应用程序安全——第八部分

如何保证安全存储

在商业环境下，将基于职位的访问控制方法和加密措施互为补充是保护存储数据的最佳方法。但是，加密也带来一些新的安全问题。以下是OWASP就维护有效加密环境所提出的一些建议：

• 不要建立加密算法：选择一个已经通过公众审查的加密库。确保你选择的库中没有公开的脆弱性。
• 不要使用不严格的算法：不要使用已知被攻破的加密算法。为处理环境使用最强大的加密算法。
• 离线生成密钥，小心保存私有密钥：确保安全存储密钥、证书和密码。将主密钥分解成两部分，在运行时重新组合。
• 确保基础架构证明书，如那些数据库或消息队列访问细节，得到安全保护。
• 决不要保存不必要的数据：最容易保护的数据是最初没有存储的数据。决不要保存没有绝对可操作必要性的敏感信息。

通信不安全

如果信息仅仅保存在磁盘的某个地方，它就没有价值可言。要具有商业价值，数据必须提交给终点设备或服务器处理。但是，传输过程中的数据最容易受到攻击。通信不安全是由于无法合理保障内外信息接口的安全而造成的。

最明显的不安全接口是通过互联网远程访问敏感数据。如果首先没有建立一个安全会话，无论如何都不要应用这种访问。使用SSL是实现这种访问的最常用方法。由公司所有和控制的终端设备也可以配置VPN在互联网上建立一个“私有”连接。

在组织间传输数据是另一种常见的外部接口。例如，一家医疗保健公司可能会传送不安全的信息给票据交换所进行处理。ePHI大量传输这类文件。如果需要更加持久的连接，VPN是一种不错的解决方案。如果一天只需要传送一次文件，只需要使用临时SSL连接或使用安全FTP就足够了。

最后，在内部网络的DMZ和数据库服务器中，互联网和应用程序服务器之间也存在连接。对这两种类型的设备上的数据进行加密，SSL或IPSec为最佳选择。

尽管比外部接口更加安全，但内部网络设备之间的连接可能会将数据暴露在更大的风险之中。如果数据穿过可信边界，这种情况特别明显。当数据在不同信任/安全等级的位置间移动时，可信边界即被跨越。例如，在从一个高度可信的VLAN，经过一个低度可信的网段，传送至一个二级可信VLAN的过程中，数据就必须经过加密处理。

确保安全通信

使用脆弱性扫描器对外部接口进行扫描是一个良好的开端。这种方法可以定位不安全的接口和SSL配置中潜在的弱点。接口扫描应该和内部网段的脆弱性扫描结合起来使用。应当确定可信边界，建立威胁模式，以识别潜在的攻击向量。