如果一家云公司声称具有军事级别的安全性，这意味着什么？

Question

什么是“军事级”还是“银行级”？

在.NET应用程序的情况下，我想不出比使用基本的数据加密和SSL更多的“安全性”，并确保它不容易被破解…？

我自己正在构建一个网络应用程序，我只是好奇它什么时候被认为是“军事”级，尽管它可能主要是一个营销术语。

Answer 1

没什么。事实上，“军事级加密”一词被安全/密码行业的相当多人视为蛇油，充其量它告诉你的营销人员谁不知道为该产品编写的副本，在最坏的情况下，它意味着营销人员谁不知道谁写的产品。

“军用级加密”没有具体的标准。如果有的话，他们会说他们达到了那个特定的标准并给出了文件。通常，我见过这意味着这个软件使用AES-256。当然，这也说明不了什么。这是一张用AES-256加密的企鹅图片。

不是很安全，但仍然是“军事等级”。诀窍是，它使用的是欧洲央行模式，而欧洲央行模式对几乎所有应用程序都是不安全的。

事实上，实际存在的标准并不是更好。FIPS 140是一种NIST标准，最初用于加密硬件。对软件的适用性是极有问题。事实上，欧洲央行是FIPS批准的举措，所以说企鹅以上加密将是有效的。

还有NSA，它列出了一组用于保护机密信息的算法。再说一遍，它并没有指定如何使用它们，而且还是允许欧洲央行的模式。

Answer 2

公司可以获得符合一套安全标准的认证，其中一个常见的标准是ISO27001的信息安全标准(27001:2005年)，尽管这些标准更多的是关于公司的内部政策和程序，而不是软件本身。

许多大公司或安全敏感行业(军事、银行等)公司会坚持要求他们的供应商符合这类标准。这通常意味着您在防火墙、密码和数据访问控制、审计、资产控制等方面都有严格的策略。

作为一名软件开发人员，值得阅读一下应用程序和其宿主环境容易受到攻击的基本方法，以便您知道应该避免什么，例如，SQL注入攻击、弱密码、糟糕的密码( MD5)、泄露太多信息的异常.

一本好书是http://www.amazon.co.uk/Deadly-Sins-Software-Security-Programming/dp/0071626751，它写得很好，内容丰富。我完全读过其中的一些。

Answer 3

任何这样的IT安全声明，没有引用发布的安全标准，都只是炒作。

有关安全等级的索赔必须基于已建立的安全标准组织制定的标准，如:支付卡行业安全标准理事会、互联网安全中心