《Web漏洞防护》读书笔记——第5章，数据安全

《Web漏洞防护》读书笔记——第5章，数据安全

涉及到数据安全的位置：

交互的地方；存储的地方；共享的地方；
1.数据交互的过程是最可能产生数据泄露的，如最长使用的Web交互。
2.数据的存储，特别是敏感数据的存储，需要进行加密后存储，加密算法的不安全性增加了数据泄露的风险。
3.公司内部跨部门数据共享问题，共享不当，造成数据乱用，引发数据泄露。

数据安全的防护：

1.传输层安全防护：
a.使用虚拟专用网络(VPN),如公司间共享数据，员工远程办公。
b.使用安全套接字层/传输层安全性(SSL/TLS)，针对中间人攻击的防御手段，注意需要安全的部署。

SSL/TLS概念：

SSL全程为安全套接字层，TLS全程为传输层安全性，两者概念可以互换使用。
SSL/TLS的服务器验证组件向客户端提供服务器的身份验证。

SSL/TLS的提供的两个额外好处：
a.完整性保护
b.重放防护。

TLS通信数据流中包含内置控件，防止对加密数据进行篡改，内置组件还能够防止对捕获的TLS数据流进行重放攻击。

安全服务的设计（服务端）：

1.尽量在任何地方使用SSL/TLS进行安全传输（无论内网、外网）。
2.不要为HTTPS页面提供HTTP访问（如果用户无意将认证的HTTPS页面更改为HTTP页面进行提交，则响应一级其中的敏感数据将铜鼓欧明文的方式返回给用户）。
3.不要混合SSL/TLS内容与非SSL/TLS内容（否则攻击者可以拦截未加密传输的数据，将而已内容注入用户页面，另：Cookie未设置Secure属性，攻击者可以通过未加密的数据窃取用户Cookie）。
4.Cookie使用Secure属性（保证Cookie只能通过HTTPS方式进行传输）。
5.不要讲敏感数据放在URL中（即使在传输过程中使用了SSL/TLS对URL参数和值进行了加密，但是仍然可以通过两种方式进行获取。a.整个URL被缓存在本地用户的浏览器历史记录中，这可能将敏感数据暴露给使用该机器的其他用户。b.如果用户点击指向另一个站点的链接，则会通过Referer头将敏感数据暴露给第三方网站。）
6.防止敏感数据缓存（SSL/TLS仅仅对传输中的数据提供了机密性，并不能解决客户端或代理服务器上潜在的数据泄露问题，不应该让这些节点缓存或保留敏感数据，可以在HTTP响应头中添加Control：no-cache，no-store和Expires：0来防止客户端或代理的缓存，为了与HTTP/1.0兼容，响应头中还需要添加Pragma：no-cache）。
7.使用HST（HTTP Strict Transport Security）
HSTS是一项具有选择性的安全增强功能，一旦支持该规则的浏览器收到该响应头，浏览器将会阻止指定域下的任何HTTP通信，转而使用HTTPS进行通信。
8.使用HPKP（Public Key Pinning Extension for HTTP）HPKP是一种安全机制，用户HTTPS网站低于攻击者使用错误的货欺诈性的证书冒充合法证书。

服务端证书配置：

1.使用安全的非对称密钥对。
2.使用支持域名的证书
3.在证书中使用完全限定名称。
4.不要使用通配符证书。
5.使用适当的证书颁发机构。
6.始终提供所有需要的证书。
7.弃用SHA-1证书

服务器支持的协议与密码配置：

1.仅支持强协议
2.进行临时的（Ephemeral）秘钥交换
3.仅支持密码学强加密
4.使用FIPS 140-2验证的加密模块
5.密码库更新

额外的控制（遵循一些其他的安全规则）：

1.EV证书（Extended Validation Certificates）
2.客户端证书
3.证书与公钥绑定

其他注意事项：

1.传输层的保护必须应用于后端及任何敏感数据交换的连接处。
2.内网也需要传输层的保护，如果攻击者已经取得了内网的访问权限，可以嗅探到未加密的数据。
3.除了客户端到服务器的通信以外，服务器与服务器之间的通信业需要提供TLS的防护，避免在服务器上配置不安全的协议或使用不安全的加密算法。

传输层安全检测工具：

本地（离线）工具：
O-Saft:https//www.owasp.org/index.php/O-Saft
SSLScan:https//sourceforge.net/projects/sslscan/
SSLyze:https//github.com/iSECPartnes/sslyze
SSL Audit:https//www.g-sec.lu/tools.html

在线检测工具：
SSL Server Test:https://www.ssllabs.com/ssltest
Observatory by Mozilla:https://observatory.mozilla.org
High-Tech Bridge:https://www.htbridge.com/ssl/

从方便性的角度考虑，建议使用在线工具对传输层的安全进行检测。
例如：使用SSL Server Test，进行检测，会从4个方面对网站传输层的安全性进行整体的评估（证书、协议支持、密钥交换、加密强度）。

数据加密存储：

1.将数据加密后进行存储，同时保证被授权的用户才能访问并解密数据。
2.加密数据的安全性主要取决于两点：a.加密、解密密钥存储的安全性。b.加解密算法的安全性。

密码学简史：

1.按照密码体质的不同，分成3类（分组加密、流加密、量子加密）。
2.密码学的发展分为3个阶段（早期密码——古典密码，对整个加密过程保密；现代密码——对称加密，公开算法细节，密码的安全性仅依赖加密密钥；公钥密码（非对称加密），加密不用密钥，密钥仅在解密阶段使用）。
3.对称加密：是使用同一密钥完成的加密和解密的操作，DES（最严重的缺点是密钥长度太短，有效长度只有56位，易遭受穷举密钥攻击）、AES（取代DES，特征：属于分组密码；分组长度和密钥长度均独立可变；轮变换次数根据密钥及分组长度而定；轮密钥根据公开密钥表导出，不同的轮密钥的长度不同；算法公开）。
4。非对称加密：是指加密和解密分别使用不同的密钥，其理论基础是单向陷门函数。
5.RSA公钥密码算法：特殊性在于该算法既可以用于密钥交换，也可以用于验证签名，既RSA密钥加密的数据所对应的RSA公钥可以解密该数据，并验证该数据是否为RSA私钥加密，相当于签名的效果，反之公钥加密的数据只有对应的私钥能够解密。

数据安全共享：

1.数据仓库的构建，分成两个部分：私有仓库和共享仓库。
2.私有仓库用于存储部门自身产生的数据。每个部门的私有仓库是相互隔离的，不能够相互访问，同时对私有仓库中可以对数据进行分级处理，分为敏感数据与一般数据，对于不同等级的数据，后续进行监控、审批时的流程也不相同。
3.共享仓库是各部门进行数据共享的场所，部门的仓库管理人将本部门的数据上传至共享仓库进行共享，同时也可以将共享仓库的数据拉到部门的私有仓库中进行存储，也需要进行分级处理。

数据仓库的保护：

1.数据访问的限制，包括对数据仓库的访问限制一级对仓库内的数据的访问限制
2.数据导出的问题，需要限制数据导出至本地，需要审核。
3.数据操作的安全性，对数据进行各种操作及分析时，需要保证操作环境的安全性及可控性、防止数据泄露。
4.数据操作的监控，对于各种操作都需要进行记录，以便发生问题后进行追踪及危险预警。
5.数据的可追踪性，如果数据出现了泄露，需要保证能够对泄露源进行追踪。

堡垒机的作用：

1.堡垒机能够在特定的网络环境下，运用各种技术手段实时手机和监控网络环境中的每一个组成部分的系统状态、安全事件、网络活动，以保障网络和数据不受外部和内部用户的入侵及破坏。
2.用户访问数据仓库的流程：首先登陆堡垒机，通过堡垒机访问其管理的云端主机，再通过这些云端主机对数据仓库进行访问。用户不能直接访问云端主机，不能直接访问数据仓库。
3.堡垒机能够解决的问题：a.数据仓库的访问限制问题;b.对于数据导出的问题;c.对于数据操作的安全性;d.对于数据操作的监控;e.对于数据的追踪;

数据仓库的管理：

1.对数据进行合理的分级，大多数公司会将数据分成4个等级以便更好的进行管理。
2.数据完成分级后，建立数据审批制度，权限审批都采用多级审批制度。

小结：

从传输安全、安全加密、安全共享3个方面讲解了数据安全的相关内容。