标准实施的后续步骤
部分作为其基本结构:
首先是定义实施、操作、审查和改进 ISMS 的要求的条款。
第二个元素是附件 A,它描述了保护信息的控制措施。
该标准的两个基本要素考虑了不同的观点:提前应用于事件的安全操作和控制(例如风险评估) ; 主动要素,例如应急计划(用于业务连续性);安全进攻性(例如漏洞管理)和反应性方法(与事件管理)。
此外,我们不要忽视标准中考虑的另一个中心思想,它与永久改进过程相关。正如我们所提到的,实际上很难逃避所有威胁和攻击,因此,一旦发生,目的之一就是通过吸取教训和采取行动来纠正错误并防止其再次发生。
最后,该管理安全,即做 Whatsapp 号码列表 引导我们实现基本目的的决策:保护信息 。业务保护 对于组织来说最重要,同时实现与标准保持一致的好处。这直接转化为更广泛的目标:自去年以来,发现了影响 SSL 3.0 的 Poodle 等漏洞,甚至Dyreza 银行木马设法绕过 SSL,很明显该协议不再那么安全,因此,它不是在线交易安全的保证。
所有这些肯定会影响为什么新的 PCI 标准强制从 SSL 迁移到 TLS。但归根结底,是什么让 SSL 如此脆弱?。在这篇文章中,我们将解释该协议如何工作,了解其弱点是什么,并一劳永逸地做出迁移到更安全协议的决定。
SSL 101
安全套接字层(SSL) 协议已在 Internet 上存在了二十多年,其开发目的是为了提供安全的连接服务器和客户端之间通信中的数据交换协议。 该协议充当中介,通过证书、身份验证代码和加密算法建立安全通信。要理解为什么该协议容易受到攻击,有必要首先了解其操作的两个阶段。第一个阶段包括所谓的握手 然后数据交换就完成了。
在第一阶段,客户端和服务器之间建立通信,这是协议协商通信期间要使用的安全选项的阶段 以及通信中将使用的协议版本、压缩方法和加密系统等信息。服务器会响应 除了支持的压缩方法和加密密钥之外,还发送支持的协议版本信息。对于此消息,以来自客户端的消息开始,此过程分三个阶段进行。
在下一阶段,完成身份验证,并通过发送证书在双方之间交换加密密钥。如果不可能,则仅传输公钥。.通过证书和密钥的交换,生成用于数据交换的对称密钥。 握手的最后阶段握手是流程完成的通知,使用在过程开始时建立的加密算法。
一旦建立了数据交换的条件,通信的第二阶段即开始进行数据交换。由于 SSL 协议的使用是在应用层和传输层之间完成的,因此在该数据交换中,为了使通信成功,会添加一系列标头,并且为了符合 TCP 规范,发送的数据包必须不大于18Kb。
,在此过程中,数据首先被压缩,然后添加消息验证码 (MAC),其中哈希函数(MD5 或 SHA-1)用于根据握手期间协商的算法最终加密整个消息握手并添加必要的标头使用的 SSL 版本信息以及处理数据包的其他信息。这样,数据传递到传输层并准备好发送,另一方面,相反的过程从传输层开始,其中标头被删除,数据被解密,MAC 被检查,并且整个过程是否正确。令人满意地传递到应用层。
协议的弱点和可能的攻击
虽然前面的描述并不详尽,但它确实让我们了解了该协议的工作原理,并提供了足够的信息来了解其弱点从何而来。有关协议工作原理的所有详细信息,请参阅 RFC 6176。