- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
Web網(wǎng)站腳本安全之攻防戰(zhàn)爭 |
| 發(fā)布時間: 2012/7/4 14:40:43 |
|
當(dāng)前,來自Web的各種攻擊已經(jīng)成為全球安全領(lǐng)域最大的挑戰(zhàn),并且有愈演愈烈之勢。目前的難點在于,很多Web威脅的思路已經(jīng)有別于傳統(tǒng),隱蔽、牟利、產(chǎn)業(yè)化已經(jīng)成為了此類威脅的特點。對廣大企業(yè)用戶來講,Web威脅令人無法忽視,而相關(guān)防御技術(shù)的應(yīng)用與保護(hù)也同樣充滿挑戰(zhàn)。 Web服務(wù)的隱憂 所謂Web服務(wù),是指由企業(yè)發(fā)布的完成其特別商務(wù)需求的在線應(yīng)用服務(wù),其他公司或 應(yīng)用軟件能夠通過Internet來訪問并使用這項應(yīng)用服務(wù)。Web服務(wù)采用基本的Internet協(xié)議,“松散地連接”網(wǎng)絡(luò)上的服務(wù)節(jié)點,并將“服務(wù)過程”定義在Web應(yīng)用程序中,利用標(biāo)準(zhǔn)的存取協(xié)議(XML)為客戶端節(jié)點提供服務(wù)。 Web服務(wù)主要解決基于分布在網(wǎng)絡(luò)上不同服務(wù)器或終端之間的業(yè)務(wù)集成,面對海量的外部信息資源和應(yīng)用資源提供一種中間的服務(wù),使得所有用戶可以得到方便的信息共享和應(yīng)用共享。Web服務(wù)平臺已經(jīng)在電子商務(wù)、企業(yè)信息化中得到廣泛的應(yīng)用,很多企業(yè)都將應(yīng)用架設(shè)在Web平臺上,并不斷完善和提高其功能和性能,為客戶提供更為方便、快捷的服務(wù)支持。 啟明星辰總工程師萬卿在接受本報獨家采訪時透露,當(dāng)前Web服務(wù)的迅速發(fā)展引起了黑客們的強烈關(guān)注,他們已將注意力從以往對傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對 Web服務(wù)的攻擊上。但是,很多企業(yè)對此并沒有做好足夠的準(zhǔn)備,也沒有給予足夠的重視。 根據(jù) Gartner 的調(diào)查,信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層而非網(wǎng)絡(luò)層面上。同時,數(shù)據(jù)也顯示,2/3的 Web 站點都相當(dāng)脆弱,易受攻擊。可以說,絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡(luò)和服務(wù)器的安全上,忽略了保證 Web服務(wù)本身的安全,才給了黑客可乘之機。 而趨勢科技2008年一季度病毒報告顯示,今年一季度Web威脅感染數(shù)量增長了1.5倍,可以預(yù)見,今年又將是Web威脅大肆爆發(fā)的一年。 Web威脅所具備的滲透性和利益驅(qū)動性,已經(jīng)成為當(dāng)前網(wǎng)絡(luò)中增長最快的風(fēng)險因素。網(wǎng)絡(luò)罪犯已經(jīng)逐漸將Web作為從事惡意活動的新途徑,Web安全威脅已經(jīng)成為對企業(yè)來說最為猛烈的攻擊之一。 不難看出,所有從Web服務(wù)引起和針對于Web服務(wù)的各種惡意活動構(gòu)成了Web安全威脅。據(jù)深信服高級產(chǎn)品經(jīng)理邱德文介紹,Web威脅的主要形式包括兩種:一種是從Web服務(wù)器發(fā)起,針對于廣大互聯(lián)網(wǎng)用戶的Web威脅;另外一種的攻擊對象就是Web服務(wù),由在互聯(lián)網(wǎng)上活動的黑客發(fā)起,針對于企業(yè)、政府的網(wǎng)站攻擊和破壞行為。 浪潮信息安全技術(shù)總監(jiān)孫大軍表示,針對于廣大互聯(lián)網(wǎng)用戶而言,Web威脅的危害是很大的,破壞性也是比較強的,各種各樣的木馬、網(wǎng)絡(luò)釣魚、僵尸網(wǎng)絡(luò)對用戶正常使用互聯(lián)網(wǎng)的造成了非常大的影響。目前國內(nèi)的大型企業(yè)、政府部門已經(jīng)意識到了Web安全的重要性,從領(lǐng)導(dǎo)到員工也普遍比較重視。然而,廣大中小企業(yè)和個別網(wǎng)站還沒有意識到Web安全的重要性。 Web威脅隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展而不斷地發(fā)展。特別是在網(wǎng)上辦公、網(wǎng)上銀行等多種互聯(lián)網(wǎng)應(yīng)用的開展以后,惡意攻擊者們看到了有利可圖,導(dǎo)致各種Web攻擊方式層出不窮,形式也不斷翻新。 對于不同規(guī)模的企業(yè)而言,威脅程度顯然是不同的,因為不同規(guī)模的企業(yè)受到Web攻擊和受到的影響所產(chǎn)生的損失是不同的,這也是導(dǎo)致不同規(guī)模的企業(yè)對Web威脅重視程度不同的原因之一。 防御的僵局 目前企業(yè)用戶對于Web威脅的重視程度也越來越高,大部分企業(yè)都會選擇部署軟硬件安全產(chǎn)品,以抵御Web威脅。趨勢科技產(chǎn)品營銷經(jīng)理徐學(xué)龍認(rèn)為,僅僅依靠單一安全產(chǎn)品已不能保證整個網(wǎng)絡(luò)的安全、穩(wěn)定運行。應(yīng)對目前新型的Web威脅,利用架設(shè)在網(wǎng)關(guān)處的安全產(chǎn)品,在威脅進(jìn)入企業(yè)網(wǎng)絡(luò)之前就將其攔截在企業(yè)大門之外是更加有效的方法。在此基礎(chǔ)上,還需要將被動防御轉(zhuǎn)化為快速響應(yīng)、主動出擊的主動式安全專家服務(wù),才可以最快的速度幫助企業(yè)客戶有效管理安全事件并減少業(yè)務(wù)損失。 根據(jù)IDC年初公布的報告,全球Web安全市場將會在2012年前達(dá)到65億美元的規(guī)模。事實上,這一市場容量已經(jīng)超過了UTM所預(yù)期的40億美元的規(guī)模。與此對應(yīng)的是,根據(jù)Gartner在第二季度公布的統(tǒng)計數(shù)字,全球Web安全產(chǎn)品的使用程度相當(dāng)?shù)停瑑H有10%的企業(yè)部署了專門的Web安全網(wǎng)關(guān)。 對此萬卿的看法是,傳統(tǒng)上企業(yè)為了保障信息系統(tǒng)安全,通常會使用不同的技術(shù),主要包括:訪問控制技術(shù)、防病毒技術(shù)、加密技術(shù)等等。但是即便有防病毒保護(hù)、防火墻和VPN,企業(yè)仍然不得不允許一部分的通信經(jīng)過防火墻。畢竟 Web服務(wù)的目的是為用戶提供服務(wù),保護(hù)措施可以關(guān)閉不必要暴露的端口,但是Web應(yīng)用必須的 80 和 443 端口是一定要開放的。可以順利通過的這部分通信,可能是善意的,也可能是惡意的,很難辨別。 須要指出的是,Web應(yīng)用是由軟件構(gòu)成的,那么它一定會包含缺陷(Bug),這些Bug 就可以被惡意的用戶利用,他們通過執(zhí)行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 應(yīng)用數(shù)據(jù)、甚至利用Web系統(tǒng)作為攻擊跳板,破壞企業(yè)的整個信息系統(tǒng)。 Web業(yè)務(wù)平臺的不安全性主要是由Web平臺的特點,即開放性所致,企業(yè)需要利用Web業(yè)務(wù)平臺為用戶提供服務(wù)就必須接受這個特點。對此孫大軍的看法是,只要訪問可以順利通過企業(yè)的防火墻,Web業(yè)務(wù)就可以毫無保留地呈現(xiàn)在用戶面前。因此,只有加強Web業(yè)務(wù)服務(wù)器自身的安全,才是真正的Web服務(wù)安全解決之道。 另外,徐學(xué)龍表示,全球爆發(fā)大規(guī)模疫情的時代已經(jīng)宣告結(jié)束,今后 Web威脅的數(shù)量將持續(xù)成長,并且越來越顯現(xiàn)出“逐利性”,以竊取企業(yè)、個人用戶的私密信息牟利為目的。新一代的Web威脅具備混合型、定向攻擊和區(qū)域性爆發(fā)等特點,員工對互聯(lián)網(wǎng)的依賴性使得公司網(wǎng)絡(luò)比以往更加容易受到攻擊。正因為如此,普通的瀏覽網(wǎng)頁都變成了一件帶有極大安全風(fēng)險的事情。Web威脅可以在用戶完全沒有察覺的情況下進(jìn)入網(wǎng)絡(luò),從而對公司數(shù)據(jù)資產(chǎn)、行業(yè)信譽和關(guān)鍵業(yè)務(wù)構(gòu)成極大威脅。 由于Web威脅的發(fā)展越來越表現(xiàn)“逐利性”,而攻擊的越是大型企業(yè),黑客們所能夠獲得的收益也就越大。因此,越是大型的企業(yè),他們遭遇Web威脅的程度也就越嚴(yán)重,很多知名的大型企業(yè)往往成為黑客零日攻擊和目標(biāo)定點攻擊的主要威脅目標(biāo)。由于采用定向攻擊的手法,這些病毒并不會大規(guī)模傳播,普通病毒數(shù)據(jù)庫也很難收集到它們的病毒樣本。因此,這些定向攻擊的病毒也就很難被防病毒軟件偵測并查殺。 只有依靠提供量身定做的客制化病毒碼,才能走在新病毒的前面,快速有效地進(jìn)行病毒查殺,將未知威脅帶來的危害降至最小。像趨勢科技推出的針對未知威脅的主動式服務(wù)TMHD,可為企業(yè)量身打造客制化病毒碼,滿足不同企業(yè)的差異化網(wǎng)絡(luò)安全需求。 新技術(shù)威脅 根據(jù)世界上權(quán)威的Web安全與數(shù)據(jù)庫安全研究組織OWASP提供的報告,目前對Web業(yè)務(wù)系統(tǒng)威脅最嚴(yán)重的兩種攻擊方式是SQL注入攻擊和跨站腳本攻擊。 SQL注入攻擊 SQL注入的攻擊原理是利用程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,導(dǎo)致入侵者可以通過惡意SQL命令的執(zhí)行,獲得數(shù)據(jù)讀取和修改的權(quán)限。攻擊者成功進(jìn)行SQL注入后,會擁有整個系統(tǒng)的最高權(quán)限,可以修改頁面、數(shù)據(jù),在網(wǎng)頁中添加惡意代碼,危害極大。 SQL注入攻擊的變種極多,有經(jīng)驗的攻擊者會手動調(diào)整攻擊參數(shù),致使攻擊數(shù)據(jù)的變種不勝枚舉,這導(dǎo)致傳統(tǒng)的特征匹配檢測方法僅能識別相當(dāng)少的攻擊。 另外,此類攻擊的實現(xiàn)過程非常簡單。目前互聯(lián)網(wǎng)上流行眾多的SQL注入攻擊工具,攻擊者借助這些工具可很快對目標(biāo)Web系統(tǒng)實施攻擊和破壞。 令人擔(dān)憂的是,由于Web編程語言自身的缺陷,以及具有安全編程能力的開發(fā)人員少之又少,大多數(shù)Web業(yè)務(wù)系統(tǒng)均具有被SQL注入攻擊的可能。而攻擊者一旦注入成功,可以控制整個Web業(yè)務(wù)系統(tǒng),包括對數(shù)據(jù)做任意的修改。 跨站腳本(XSS)攻擊 不同于SQL注入以Web服務(wù)器為目標(biāo)的攻擊方式,跨站腳本攻擊則是將目標(biāo)指向了Web業(yè)務(wù)系統(tǒng)所提供服務(wù)的客戶端。 跨站腳本攻擊是通過在網(wǎng)頁中加入惡意代碼,當(dāng)訪問者瀏覽網(wǎng)頁時,惡意代碼會被執(zhí)行或者以通過給管理員發(fā)信息的方式誘使管理員瀏覽,從而獲得管理員權(quán)限,控制整個網(wǎng)站。攻擊者利用跨站請求偽造能夠輕松地強迫用戶的瀏覽器發(fā)出非故意的HTTP請求,如詐騙性的電匯請求、修改口令和下載非法的內(nèi)容等請求。 根據(jù)以往跨站腳本攻擊的安全事件及產(chǎn)生的后果來看,跨站腳本攻擊可導(dǎo)致的后果非常嚴(yán)重,影響面也十分之廣,主要包括了: 第一,盜取各類用戶賬號,如機器登錄賬號、用戶網(wǎng)銀賬號、各類管理員賬號等。 第二,控制企業(yè)數(shù)據(jù),包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力。 第三,盜竊企業(yè)重要的具有商業(yè)價值的資料。 第四,非法轉(zhuǎn)賬。 第五,強制發(fā)送電子郵件。 第六,網(wǎng)站掛馬。 第七,控制受害者機器向其他網(wǎng)站發(fā)起攻擊。 跨站腳本攻擊不僅威脅程度更大、威脅波及面更廣,同時攻擊過程也更加復(fù)雜多變,與SQL注入攻擊檢測類似,傳統(tǒng)上基于攻擊特征匹配的防御技術(shù)難以奏效。 關(guān)注Web站點 Web應(yīng)用的發(fā)展,對網(wǎng)站產(chǎn)生越來越重要的作用,而越來越多的網(wǎng)站在此過程中也因為存在安全隱患而成為Web安全重災(zāi)區(qū)。在黑客的眼里,網(wǎng)站并非是一個提供互聯(lián)網(wǎng)服務(wù)和信息交流的平臺,而是可以成為被低成本利用獲取利益的一個途徑。 根據(jù)啟明星辰發(fā)布的2008年Web安全統(tǒng)計報告,顯示中國大陸網(wǎng)站遭入侵導(dǎo)致網(wǎng)頁被篡改成倍增長。截至到今年二季度,僅網(wǎng)頁篡改數(shù)量已經(jīng)是2004年的30倍,達(dá)到61228起,這還不包含未被官方披露的數(shù)字。Web安全問題幾乎成為網(wǎng)站不能承受之重,追溯起來誘因很多。 第一,大多數(shù)網(wǎng)站設(shè)計,只考慮正常用戶穩(wěn)定使用。 一個網(wǎng)站設(shè)計者更多地考慮滿足用戶應(yīng)用,如何實現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞,這些漏洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見。大多數(shù)網(wǎng)站設(shè)計開發(fā)者,網(wǎng)站維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少。在正常使用過程中,即便存在安全漏洞,正常的使用者也不會察覺。但在黑客對漏洞敏銳的發(fā)現(xiàn)和充分的利用下,網(wǎng)站存在的這些漏洞就被挖掘出來了,且成為黑客們直接或間接獲取利益的機會。 第二,網(wǎng)站防御措施過于落后。 大多數(shù)傳統(tǒng)的基于特征識別的入侵防御技術(shù)或內(nèi)容過濾技術(shù),對保護(hù)網(wǎng)站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網(wǎng)站攻擊,基于特征匹配技術(shù)防御攻擊,不能精確阻斷攻擊。 大量黑客通過構(gòu)建任意表達(dá)式來繞過防御設(shè)備固化的特征庫。比如:and 1=1和and 2=2是一類數(shù)據(jù)庫語句,但可以人為地任意構(gòu)造數(shù)字構(gòu)成同類語句的不同特征。而and、=等這些標(biāo)識在Web提交數(shù)據(jù)庫應(yīng)用中又是普遍存在的表達(dá)符號,不能作為攻擊的唯一特征。因此,這就很難基于特征標(biāo)識來構(gòu)建一個精確阻斷SQL注入攻擊的防御系統(tǒng)。這也導(dǎo)致目前有很多黑客將SQL注入成為入侵網(wǎng)站的首選攻擊技術(shù)之一。基于應(yīng)用層構(gòu)建的攻擊,防火墻更是束手無策。 第三,黑客入侵后未被及時發(fā)現(xiàn)。 一些黑客在獲取網(wǎng)站的控制權(quán)限之后并不暴露自己,而是利用所控制網(wǎng)站產(chǎn)生直接利益。 網(wǎng)頁掛馬就是一種利用網(wǎng)站,將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網(wǎng)站而被種植木馬的人通常并不知情,導(dǎo)致一些用戶的機密信息被竊取。網(wǎng)站成了黑客散布木馬的一個渠道。網(wǎng)站本身雖然能夠提供正常服務(wù),但訪問網(wǎng)站的人卻遭受著木馬程序的危害。 第四,發(fā)現(xiàn)安全問題不能徹底解決。 網(wǎng)站技術(shù)發(fā)展較快、安全問題日益突出,但由于關(guān)注重點不同,絕大多數(shù)的網(wǎng)站開發(fā)與設(shè)計公司對網(wǎng)站安全代碼設(shè)計方面了解甚少。 即使發(fā)現(xiàn)網(wǎng)站安全存在問題和漏洞,其修補方式也只是停留在頁面修復(fù),很難針對網(wǎng)站具體的漏洞原理對源代碼進(jìn)行改造。這些也是為什么有些網(wǎng)站雖然安裝了網(wǎng)頁防篡改、網(wǎng)站恢復(fù)軟件后仍然遭受攻擊的原因。 碰撞與變遷 鑒于上述對Web業(yè)務(wù)系統(tǒng)常見攻擊的分析,對Web業(yè)務(wù)系統(tǒng)的保護(hù)已經(jīng)刻不容緩。安全學(xué)術(shù)界和產(chǎn)業(yè)界的研究機構(gòu)和各大廠商也紛紛拿出了識別和防御的措施及技術(shù)方案,力求為Web業(yè)務(wù)系統(tǒng)提供深層的安全防御。 但遺憾的是,由于Web威脅的迅猛發(fā)展,僅借助硬件、操作系統(tǒng)、服務(wù)、應(yīng)用程序提供商提供沒有漏洞的系統(tǒng),顯然是不夠的。因此,需要在網(wǎng)絡(luò)邊界和服務(wù)器前增加安全控制設(shè)備,或者在服務(wù)器系統(tǒng)上部署軟件來防御各種攻擊。 據(jù)孫大軍介紹,目前防御Web威脅的主要挑戰(zhàn)在于各種新的攻擊方式不斷出現(xiàn),而傳統(tǒng)的針對Web威脅的防御方式主要是從代碼分析入手,導(dǎo)致隨著各種攻擊方式的不斷翻新,防御方式也要被動地跟著更新,無法從根本上解決問題。 據(jù)悉,針對SQL 注入攻擊和跨站腳本攻擊,在傳統(tǒng)的安全產(chǎn)業(yè)界,主要的識別和防御方法有基于特征的關(guān)鍵字匹配技術(shù)和基于異常檢測技術(shù)。基于特征的關(guān)鍵字匹配技術(shù)是目前的主流方法,一些主流的IPS產(chǎn)品都采用這種檢測技術(shù)。但由于其技術(shù)的局限性和機械性,使得這類IPS產(chǎn)品會形成漏報和誤報。 而應(yīng)用于像Web防火墻這類產(chǎn)品中的基于異常檢測技術(shù),能夠發(fā)現(xiàn)一些異常情況。但其缺陷也顯而易見,比如需要一定的學(xué)習(xí)期才能投入使用,而且一但業(yè)務(wù)模型發(fā)生變化,就需要重新學(xué)習(xí),更為重要的是,異常未必就是攻擊。 在學(xué)術(shù)界,針對SQL注入,同樣有兩個重要的研究方向,即基于正常行為模型的AMNESIA和基于數(shù)字簽名技術(shù)的SQL Rand 方法。這兩種方法的主要弱點是需要能夠獲得應(yīng)用程序的源代碼和修改源碼。同時需要改變原有業(yè)務(wù)系統(tǒng)的部署,方案相當(dāng)復(fù)雜。 傳統(tǒng)的產(chǎn)業(yè)界和學(xué)術(shù)界解決方案的不足,還主要存在于對SQL 注入攻擊和跨站腳本攻擊的誤報、漏報,以及部署復(fù)雜的問題。可見,解決Web業(yè)務(wù)安全的關(guān)鍵在于檢測和部署。 對此,萬卿的看法是,目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化檢測機制來解決Web攻擊的防御問題。比如基于攻擊手法VXID的檢測算法,可以在很大程度上解決上述難題。 據(jù)悉,VXID算法是一種將規(guī)則分析(建立虛擬機檢測規(guī)則的過程)和異常分析(符合Web攻擊模型的,就是Web攻擊)相結(jié)合的技術(shù)。其核心內(nèi)容是首先收集、分析各種可能的Web攻擊方法(包括SQL注入特征和XSS攻擊特征),并提取出相應(yīng)的有針對性的攻擊機理。之后為這些攻擊方法建立相應(yīng)的檢測模型(VXID算法誤用檢測模型)。根據(jù)這些虛擬機檢測來自URL、Cookie、POST-Form中的各參數(shù)域值是否符合SQL注入模型,檢測提交的腳本代碼是否符合XSS攻擊模型,如果符合則表示發(fā)生了Web攻擊。 采用此類算法的好處是,避免了單純特征匹配方法的大量漏報和誤報。換句話說,這種技術(shù)不會因為將關(guān)鍵字定義得過于嚴(yán)格而出現(xiàn)誤報,也不會因為僅能定義有限多個特征而使得變種攻擊可以輕易繞過。另外,此種技術(shù)不需要在業(yè)務(wù)系統(tǒng)的代碼上做任何修改,實現(xiàn)難度較低。 另外,徐學(xué)龍介紹說,在面對不斷自我更新、快速動態(tài)變化的Web威脅時,一些企業(yè)往往顯得很被動。傳統(tǒng)解決方案往往是當(dāng)病毒入侵企業(yè)并造成明顯程度的損害后,IT人員才知道問題的發(fā)生,隨后才展開問題的調(diào)查、對策研究、獲取廠商支持、解決方案測試和部署等工作。由于發(fā)現(xiàn)病毒到清除病毒的周期較長,使得企業(yè)在此期間面臨很大的風(fēng)險。此外,由于企業(yè)IT人員所能掌握的技術(shù)有限,對有些安全威脅了解不夠,使得他們在面對這些Web攻擊時往往顯得束手無策。這些問題的存在,使很多企業(yè)雖然部署了軟硬件網(wǎng)絡(luò)安全解決方案,卻無法最大限度地發(fā)揮它們的功能,IT維護(hù)成本也居高不下,給企業(yè)帶來很大的風(fēng)險和負(fù)擔(dān)。 從這個意義上說,用戶急需一套具備動態(tài)、主動防御Web威脅的技術(shù),其中Web信譽服務(wù)(WRS)技術(shù)成為了一個熱點。借助Web信譽服務(wù),一旦嵌有惡意程序的網(wǎng)站剛剛出現(xiàn),安全廠商就可以通過獨特的防護(hù)技術(shù)保護(hù)用戶的訪問不受侵害,有效攔截出現(xiàn)在每個區(qū)域的Web威脅。 一般來說,WRS技術(shù)為每個URL提供一個信譽分值,這個信譽分值基于該網(wǎng)站的存在時間長短、地理位置變化和歷史情況等諸多因素計算而來。通過信譽分值的比對,就可以知道某個URL潛在的風(fēng)險級別。當(dāng)用戶訪問具有潛在風(fēng)險的網(wǎng)站時,就可以及時獲得系統(tǒng)提醒或阻止,Web信譽服務(wù)可以幫助用戶快速地確認(rèn)目標(biāo)網(wǎng)站的安全性。 編看編想 Web安全與人員意識 在很多情況下,Web安全防御常常都會牽扯到人員的意識問題。舉例來看,有很多企業(yè)的網(wǎng)管對網(wǎng)站的價值認(rèn)識僅僅是一臺服務(wù)器或者是網(wǎng)站的建設(shè)成本,為了這個服務(wù)器而增加超出其成本的安全防護(hù)措施則認(rèn)為是得不償失。 而實際上,當(dāng)網(wǎng)站遭受攻擊之后,帶來的直接和間接的損失往往不能用一臺服務(wù)器或者是網(wǎng)站建設(shè)成本來衡量。因為很多信息資產(chǎn)在遭受攻擊之后會造成無形價值的流失。不幸的是,當(dāng)前很多用戶單位的網(wǎng)站負(fù)責(zé)人員,只有在Web站點遭受攻擊,且造成的損失遠(yuǎn)超過網(wǎng)站本身價值之后才開始意識到這一點。 另外,由于各種用戶的應(yīng)用環(huán)境千差萬別,所以用戶在進(jìn)行Web安全防御的時候,更多地應(yīng)該考慮因地制宜。適合于自己的安全方案才是最好的方案。 具體的建議有兩點: 一是應(yīng)該盡量從系統(tǒng)開始規(guī)劃的時候就考慮Web威脅問題; 二是盡量從根本入手,避免頭痛醫(yī)頭、腳痛醫(yī)腳,而是針對于Web威脅,盡量從保護(hù)相關(guān)進(jìn)程免受攻擊入手。 本文出自:億恩科技【www.sunshares.net】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
