何谓全程信息安全? 为何服务器端和客户端“两手都要抓”?
何谓全程信息安全,就是一个网络应用从客户端到服务器端的全程信息加密和签名以确保整个网络应用过程的信息安全。注意:本网站上提到的“信息安全”不包括网络安全( 如防止黑客攻击的防火墙 ) 和防病毒系统。
国人最喜欢提“坚持两手抓,两手都要硬”,因为这是一个真理性的口号,信息安全又何尝不是如此呢!
现在,人们生活和工作的方方面面都离不开互联网了,各种应用都已经搬到了网上,而各种网上应用都需要身份认证,通常都是要求用户输入用户名和密码,所以,人们已经离不开各种各样的许许多多的密码的。也正是各种网上应用的安全性要求,网上用户已经知道和熟悉了浏览器右下方的安全锁标志,而网上应用的服务提供商也认识到了为服务器申请和部署 SSL数字证书(SSL证书)的重要性,纷纷开始申请服务器 SSL数字证书(SSL证书)来确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器的传输链路上是高强度加密传输的和是无法被非法篡改和窃取的。这确实一个大大的进步,但愿所有网站都能及时部署 SSL数字证书(SSL证书)来确保用户和服务提供商的利益和信息系统安全,这绝对不是一个经济问题 ( 一个 SSL数字证书(SSL证书)不到 2000 元 ) 而是一个是否有安全意识的认识问题。
但是,信息安全是遵循木桶理论的 ( 即一个木桶的容水量是取决于最低的一块木板的 ) ,为服务器部署 SSL数字证书(SSL证书)只是保证了从客户端电脑到服务器之间的传输链路信息安全,同时也验证了服务器的真实身份。而服务器上的应用系统是为人们提供服务的,如果不解决是“谁”在合法使用此服务的问题,那再安全的信息传输也是白搭。也就是说,更重要的是要解决客户端的合法身份认证问题,而现在的木马程序、黑客攻击、钓鱼邮件、欺诈短信等等无非是为了获得用户的用户名和密码,这是犯罪分子在钻基于用户名 / 密码简单认证方式的安全漏洞。
而客户端用户身份认证的最好解决方案就是为每个网上用户颁发客户端单位数字证书来用于安全的身份认证,只有服务端和客户端都使用数字证书来实现身份认证和加密传输才能确保安全,这就是“两手都要抓”,不仅要抓服务器端 (为服务器部署 SSL数字证书(SSL证书) ,还要抓客户端(使用客户端数字证书实现身份认证 ) ,只有两端都抓才能实现真正意义的全程信息安全。 一手抓服务器端、一手抓客户端,坚持两手抓才能保安全!