管理在線業(yè)務(wù)的安全性可能是一個非常困難的命題。經(jīng)常有受感染的計(jì)算機(jī)、專門用于竊取流量以獲取用戶憑據(jù)的欺騙站點(diǎn)以及拒絕服務(wù)攻擊。毫不奇怪，連接到云的移動應(yīng)用程序也可能成為惡意黑客的嚴(yán)重目標(biāo)。然而，軟件開發(fā)人員可以做很多事情來防止他們的移動應(yīng)用程序受到損害。云應(yīng)用程序的安全性比我們想象的要重要得多。

移動應(yīng)用

移動應(yīng)用程序不會像這些應(yīng)用程序通過“應(yīng)用商店”發(fā)布那樣容易通過創(chuàng)建惡搞網(wǎng)站而受到攻擊。但是，仍然有可能做出令人信服的仿冒產(chǎn)品來愚弄毫無戒心的用戶。您可以采取一些措施來防止這種社會工程類型的攻擊。

也就是說，您應(yīng)該確保您的所有移動應(yīng)用程序都帶有您的公司名稱（或應(yīng)用程序品牌名稱）的明確品牌，并且不要更改此名稱。不要讓營銷部門聲稱一個新名稱會給整個公司的產(chǎn)品線帶來新鮮的活力。當(dāng)產(chǎn)品更改名稱時(shí)，它只會讓用戶感到困惑，并讓用戶準(zhǔn)備好更改名稱，這完全是一個虛假產(chǎn)品。如果這個名字很糟糕并且沒有獲得任何市場牽引力，那么，無論如何，繼續(xù)改變它。

軟件包

有些人總是會越獄他們的移動設(shè)備，以擺脫他們從應(yīng)用商店購買所有軟件的要求。很多時(shí)候，有一些方便的軟件包是用戶離不開的。但是，它確實(shí)為他們的移動設(shè)備感染病毒開辟了一條直接的途徑，就像他們的個人電腦一樣。如果用戶下載鍵盤記錄程序，您無能為力，因?yàn)樗麄兊挠脩裘兔艽a總是會被盜。但是，您可以減輕惡意用戶可能造成的一些損害。實(shí)現(xiàn)這一點(diǎn)的主要方法是在服務(wù)器基礎(chǔ)架構(gòu)中為用戶目錄使用基于日志的文件系統(tǒng)。它將允許用戶文件回滾到以前的時(shí)間。

這一切都很好，有利于緩解，但你要確保你在一個安全的平臺上運(yùn)行。

使用經(jīng)過驗(yàn)證的真實(shí)身份驗(yàn)證和加密方法，例如 TLS 和 SSL。不要使用純文本身份驗(yàn)證，即使對于應(yīng)該在 PC 上使用的基于 Web 的系統(tǒng)也是如此。不要使用眾所周知的不安全協(xié)議，例如 FTP，并認(rèn)真研究您正在使用的任何特殊網(wǎng)絡(luò)協(xié)議。

HTTPS 和 SSH/SCP

HTTPS 和 SSH/SCP 支持您會發(fā)現(xiàn)的最有效的加密形式。您可能認(rèn)為應(yīng)該使用 IRC 聊天服務(wù)器進(jìn)行多用戶通信。但是，IRC 具有明文身份驗(yàn)證。用戶傾向于重復(fù)使用密碼。這意味著任何人都可以監(jiān)聽連接并獲取用戶憑據(jù)。

所有這些方法都是阻止妥協(xié)的有效方法，但它們并不孤單。有時(shí)，您確實(shí)必須對安全漏洞做出反應(yīng)，并且應(yīng)該為任何災(zāi)難做好準(zhǔn)備。這就是減輕損害如此重要的原因，而基于日志的文件系統(tǒng)等系統(tǒng)可能是一些最強(qiáng)大的工具。但是您不想花費(fèi)時(shí)間和金錢從黑客攻擊中恢復(fù)。因此，請確保您使用正確的身份驗(yàn)證和加密，堅(jiān)持公認(rèn)的品牌，并提供用戶交互以建立與客戶的信任。