3
如果将加密数据存储在服务器上,并且将解密密钥传播给合法用户(通过电子邮件),是否需要实施访问控制策略?如果我使用加密,为什么还需要访问控制策略?
什么可能是我需要他们两个(如果解密密钥只适用于合法用户)的情况?
A
回答
2
访问控制和身份验证是两种独立的安全模式。根据您的需求,您可能需要一个或两个。因为(至少在理论上)知道密钥证明你是合法用户,所以加密服务器上的数据,然后散布密钥,可以说是一种认证形式。
访问控制将更多地遵循给予不同用户不同级别的访问权限 - 例如,通过密钥访问大多数用户的一般文档并为特定少数用户访问特权数据。
最终,您必须评估您的需求并决定您需要哪种模式。
1
这取决于您的安全需求。你有没有需要有安全级别?
如果你只需要确保只有合法的用户才能访问你的网站,那么你可以只用密钥来加密他们的用户名,然后让他们用一个密码,这样他们必须知道的东西,他们有东西(双因素认证),他们可以进入该网站。
1
适用这里是Princple of Least Privilege
企业系统都会有一些用户或应用程序执行不同的角色的一个术语。在这些情况下,适当地阻止一个角色中的角色意外(或蓄意)侵入另一角色的角色。
一个简单的比喻:我是一家公司的雇员。我是公司的合法成员,可以通过安全柜台到达我的工作站。但是,我无法访问公司的银行账户。
绝大多数员工,即使他们获得了银行账户的详细信息,也不会做任何不适当的信息。作为这家公司的经理,你可以信任每一位员工的诚实,或者你可以走更简单的路线,认识到他们不需要访问账户并将其锁定。那么,如果钱开始消失,你就不会有多少人怀疑。
0
令人惊讶的是,访问控制策略直接从您的需求流向控制访问。
由于许多原因(用户改变了工作机会,违反服务条款和报告的身份盗用),当其中一个合法用户账户变得不合法时,您必须以某种方式控制对该账户数据的访问。
1
审计和撤销。
审计,因为你要知道,如果有人访问的数据,而不是如果他们能做到这一点,因为他们有一个密钥(这通常是一个要求说HIPPA/HITECH)
吊销,因为重新分发的钥匙数据可能不切实际,并且取决于潜在的密码方案,撤销可能是不可能的。
相关问题
- 1. 使用FLVPlayback控制 - 需要加载策略文件
- 2. 访问我需要什么?
- 3. 我应该使用什么策略来加密web.config部分?
- 4. AWS S3访问控制策略NodeJS
- 5. AWS CLI为什么需要访问/秘密密钥?
- 6. DynamoDB:为什么我在本地访问时需要访问/密钥
- 7. 如果我想使用java并使用超过128位的密钥进行加密,那么我需要使用Java策略文件,以便在openjre中使用需要Java策略文件的加密
- 8. 为什么我们需要同时使用Telerik控制
- 9. 如果我需要使用IIFE,Angular为什么不使用它?
- 10. 如果我使用自己的密钥,为什么需要散列?
- 11. 我需要加密秘密访问密钥吗?
- 12. 策略未被使用,为什么?
- 13. 如果我们已经有[HttpPost],为什么需要使用JsonRequestBehavior?
- 14. 为什么我需要Iterator接口,为什么要使用它?
- 15. 需要添加什么策略才能添加到IAM组以允许访问Amazon产品API
- 16. 如果启用Windows FIPS合规性策略,为什么不允许使用.NET“托管”加密类别?
- 17. JPA - 访问策略
- 18. Jhipster访问控制策略不起作用
- 19. 用Java控制Azure容器级访问策略
- 20. 构建html5页面需要采用什么策略?
- 21. 我们为什么要使用`realloc`如果我们需要一个'TMP buffer`
- 22. 我还需要什么其他课程?
- 23. 我需要做什么来访问控制器中的全局数据?
- 24. 为什么我们需要使用prompt.start()?
- 25. 为什么我不需要使用Adapter.notifyDataSetChanged()?
- 26. 为什么我们需要使用ExitWindowsEx
- 27. 为什么我需要使用Activator CreateInstance?
- 28. 为什么我需要使用超时?
- 29. 为什么我需要使用stopPropagation()?
- 30. 如果我使用SSL,是否需要签名/加密Cookie?