这是我参与8月更文挑战的第6天,活动详情查看:8月更文挑战
安全体系结构
信息处理系统的安全体系结构(GB/T 9387.2—1995)中定义了五大类安全服务,分别是认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务。
认证服务
认证服务的基本目的是防止其他实体占用和独立操作被认证实体的身份。认证服务提供了实体声称其身份的保证,只有在主题和验证者的关系背景下,认证才有意义。认证服务的主要实现方式包括以下五种:
- 已有的信息,比如我们日常使用的账号密码。
- 拥有的信息,比如我们目前经常使用的手机验证码就是利用人们日常使用的手机等实物来唯一标志人。
- 不可改变的特性,如指纹、人脸等生物特征,随着手机的日趋先进,基本上手机都已经自带指纹识别模块,现在的各种人脸识别也变得非常火爆。
- 相信可靠的第三方建立的认证,比如我们在小程序中如何唯一标志用户呢,就是通过小程序的接口来调取用户信息,微信作为可靠的第三方为我们提供了用户的一些信息,我们也就可以相信用户是合法的用户了。
- 环境如主机地址等。这种一般在各种软件上使用较多,比如eureka出于安全原因,默认就是只能使用本机进行访问,如果想使用其他地址访问,就得需要配置文件:
config/elasticsearch.yml中的network.host : 0.0.0.0,MySQL也是一样,需要进行配置IP
如何构建更为安全的认证服务
为了防止认证服务被各种恶意绕过,我们需要加固对认证服务的保护
- 账号密码这里我们需要对其进行失败次数限制,通过控制访问失败频率,降低恶意爆破的可能性和效率。
- 对于拥有的信息这里作为网站的维护人员没有什么好办法来进行防范,只能通过对用户的安全知识教育才能进行降低用户安全风险,这也是为什么最近国家大力推进反诈App的安装,实在是因为防不胜防,当年乌云上各种社工案例,真的是数不胜数。
- 人脸识别现在绕过的手段也有很多,只能说魔高一尺道高一丈了,毕竟现在的伪装手法实在是层出不穷,现在微信识别人脸都得各种颜色闪个遍了。
- 主机地址绑定对于系统安全是十分重要的,大量为了省事,直接将IP限定去掉或者绑定0.0.0.0的,这种就必须要提高运维人员安全意识,内部经常进行攻防演练,各个系统现在在过的等保虽然有点装样子,但是对于普通黑客还是有一定的防范能力的。
