如何快速了解企业网盘的安全性?(技术贴)

《启示录》里说,验证产品是否值得开发可以从这3个方面去证明:

可行性测试:技术上是否能实现?

可用性测试:用户是否明白如何使用?

价值测试:用户是否渴望使用?

以上3点虽然是从产品视角来衡量的,但是从用户视角来衡量,依然适用。

可行性:产品用着是否稳定?

可用性:产品功能是否易用?

价值:产品是否有使用的欲望?

具体可以一把锁为例。可行性是指用这把锁的打开的成功率是否100%?可用性是指这个锁打开方便吗?价值是指它的吸引点在哪,为什么要用这把锁而不是那把?或者说为什么要用锁,不用可以吗?

 

但是对于一款企业网盘来说,光是有上面3点并不够,还需要加上一点:安全性

企业网盘安全吗?这对用户来说是第一重要的事,这也是用户最关心的事。

企业网盘如果可行性低、可用性差、价值小,这些问题用户或可将就或可弃用,损失的是时间,是一定的试错成本,尚在掌控范围内。

但如果企业网盘的安全性弱,就极有可能发生重要文件丢失、核心信息泄露等严重事件,给公司带来不可估量的损失。

 

企业网盘的安全性是如何衡量的?

企业网盘的安全性关键在于两点:数据传输的安全和用户权限。前者是负责外部操作环境的安全性,后者负责用户内部使用时的安全性。

想了解前者,需要我们掌握一定的知识技能;后者,则需要我们亲自去体验相关的产品。这次,我们主要谈的是数据传输的安全。

 

数据传输的安全

说到数据传输的安全,就不得不先聊一聊 HTTP、SSL / TLS 以及 HTTPS 。

 

什么是HTTP?

HTTP是一个网络协议,专门用来传输网站上的内容数据。但是它的协议是明文的,传输内容易被偷窥和篡改。所谓明文就是没有加密的文字或字符,一般人都能看懂。对应的还有密文,即加密过的文字。明文和密文的区别就像是普通密码和摩斯密码的区别。

 

什么是SSL / TLS ?

SSL / TLS,是一个安全套接层,由网景公司(Netscape)设计。它的出现是为了解决HTTP的明文易泄露问题,给HTTP套上一个加密层,让传输的内容更安全。它可以采用两种加密算法:对称加密和非对称加密。

在对称加密中,AES的加密方式强度最高。AES 又包含三种密钥长度(128、192、256),目前都是安全的,但AES 256 的安全度更好

非对称加密以RSA为主。由于非对称加密影响数据传输效率,因此这两种加密方式组合使用效果更好。

 

什么是HTTPS?

HTTPS 即 HTTP + SSL / TLS。

HTTPS 就是在HTTP 数据外面加了一个SSL的安全套接层。最开始HTTP是和SSL一起使用的,从SSL1.0 到SSL 4.0,后来又演变成TLS 1.0。TLS 是 SSL 广泛使用后的标准化名称。现在比较安全的加密方式是HTTPS +TLS(1.2)

这个安全性较之前提高了多少呢?就好比原来的HTTP 是塑料水管,容易破,现在的 HTTPS 在原来的塑料水管外,又加固了一层金属水管。

 

在当前的互联网环境下,网站采用 HTTPS 加密协议早已成为事实标准,但不是法律标准。目前,国内仍有诸多未采用 HTTPS 协议的网站,比如各大门户网站。

不过,如前文所述,企业网盘的安全性很重要。所以,目前国内的企业网盘基本都采用了HTTPS协议,但注意,不是所有的。并且,有的即便采用了HTTPS协议的,安全等级也各不一致。

因为,想采用HTTPS协议也不是张口即来的,还得有HTTPS证书。目前主流的SSL证书有3种:DV SSL 、 OV SSL 、EV SSL。其中,EV SSL 是业界安全级别最高、验证审核最严格的顶级 SSL 证书。

 

如何了解一个网站有没有使用HTTPS协议?

现在大多数浏览器,在我们输入网址后,都会自动判断它有没有采用HTTPS协议,并标记出来。如Chrome、Safari、Firefox 等等。

以Chrome为例,采用了HTTPS协议的,网址前面会有一个绿色小锁。反之,网址前面是一个感叹号。

截图来自Chrome

 

截图来自Chrome

 

如何了解一个网站使用的HTTPS协议的安全级别?

浏览器是个好东西,它不仅可以帮我们鉴定网站是否采用了HTTPS,也可以让我们查看网站的HTTPS证书,了解该网站采用了哪种 SSL 证书,加密方式是什么。

以谷歌浏览器为例,打开一个网站后,在页面任意处,点击鼠标右键,选择“检查” → “Security” → “View certificate”,即可查看该网站的证书详情。

截图来自Chrome
截图来自Chrome

 

或者,也可以通过第三方检测机构,如Qualys(www.qualys.com),进行安全等级检测。该网站的评级结果按26个英文字母排列,最高等级为A+,最低等级目前为T。

Qualys LOGO

 

打开Qualys官网,选择“Test your sever”。

 

 

然后在“Hostname”处输入要检测的网址,点击“Submit”提交后,等待几分钟,就可以看到检测结果了。

 

 

通过上述两种方式,我们可以了解到一个企业网盘的数据传输安全性,它究竟值不值得用户信赖使用。

在这一方面,巴仔可以很自豪的说,我们内容传输的安全性处于业界最高水平。

我们采用的是HTTP+TLS 1.2协议,使用的是对称加密算法中的最高级的AES 256,获得的 HTTPS 证书是超强级的EV SSL证书。这些都可以在浏览器内查看到。

 

截图来自Firefox

 

截图来自Chrome

 

并且,巴别鸟还获得了Qualys 的最高评级 A+ 。目前仅有屈指可数的企业网盘达到这一评级。

 

截图来自Qualys网站

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注