注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

移动Labs

http://labs.chinamobile.com/

 
 
 

日志

 
 
关于我

移动Labs(labs.chinamobile.com):中国移动研究院主办的通信行业汇聚门户,专注于移动通信和互联网领域,核心会员是中移动广大员工及ICT行业用户。提供资讯、博客、讨论组、专业报告、视频、电子日报等信息及知识服务,以及研究院主办的每周线下活动“无限论坛”。

网易考拉推荐

粟栗:业务安全粟谈(一)  

2012-08-16 10:46:44|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

独家供稿:@移动Labs

研究业务安全已经有3年多的时间了,在这里和大家一起讨论业务安全。争取能够在每周发一篇原创的博文,专题讨论业务安全。

       什么是业务安全?要说到业务安全,必须首先说明什么是业务。

依据我们的经验总结,将业务应该是一组服务,对于普通的移动通信(互联网)用户来说也就是一些信息服务。比如中国移动的短信业务,就是提供信息;比如qq提供的基本业务就是文字、表情信息的传递;淘宝提供的商品信息查询与订购的服务等。

       这样,有人肯定会说了:QQ软件是什么,不是业务吗?这里需要再引入一个概念,业务系统。如果说业务只是一组服务的话,业务系统就是承载业务的软件和硬件,系统运转产生一定的效果,为大家所用,这就是服务。

       我认为明白了业务与业务系统,就容易讨论业务安全了。我认为:广义的业务安全是指业务系统的安全,包括软件、硬件、服务;狭义的业务安全仅指服务。为什么这样分呢?主要与业务系统、业务的定义对应      

首先谈一下业务安全的重要性。据NIST2008年统计,92%的攻击不是来源于网络层面,而是源于网络层之上。网络层之上是什么呢?是应用层,也就是操作系统、应用(Applications)。我认为,这里的应用就是指我们的业务系统及其提供的服务。可以看到,操作系统的攻击(紫色部分)只有15%,那么剩下77%都是对业务的攻击。

 粟栗:业务安全粟谈(一) - 移动Labs - 中国移动研究院(移动Labs)

 

      

     在今后的讨论里面,我想先从狭义的业务安全入手,再扩展到广义的业务安全。这样不容易弄混淆,也容易接受一些。狭义的业务安全仅指服务,不包括主机和操作系统及操作系统上运行的支撑软件(web容器、数据库等)。  业务安全(狭义)有什么特征呢?一般来说,业务安全与业务设计与实现结合紧密,其缺陷具备极强的独立性。   

       为了说明讲狭义的业务安全理解好,我们举两个例子。

案例A:某系统因为web编码有缺陷,导致登录窗口中存在字符过滤缺陷,可执行SQL注入攻击。

案例B:某系统因为未设定登录的错误限制次数,导致被攻击者暴力破解攻击。

       在上述两个例子中,案例Aweb编码水平直接相关,与某种语言关联,该漏洞的根源可能出现在需要进行任何输入的地方,因此不能归纳在狭义的业务安全范围内;案例B则和业务的实现紧密相关,不属于系统漏洞、web编码漏洞任何范畴,因此属于业务安全的范畴。

 

       OK,先到这里,下期再见。

                                                                 粟栗


本博文发表在移动Labs的文链是:
http://labs.chinamobile.com/mblog/2295/181721

【相关博文】
构建Web安全立体防护机制
物联网安全问题与实例
【精彩推荐】
各位怎么看京东苏宁国美此次的价格大战?会改变你之前的家电购买方式吗?
在功能体验上,Windows Phone 7.8与8.0有哪些区别?
乔布斯的至简风格、马云的技术傻瓜化,张小龙的对人性把握都是对用户体验的很好注解,这些理论的精髓是什么?本质上是一样的吗?
未来个人用电脑会不会进化为只需要一个浏览器?
中国第一代国产手机厂商今何在?
看看国外流行的兴趣社交图谱网站
科技公司死亡福利大揭秘
面试体验:Google 篇 
教你合理利用碎片时间

  评论这张
 
阅读(499)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017