石家庄宽带专家

 找回密码
 立即注册

防护WEB2.0数据泄密

2012-5-20 17:26| 发布者: minirong| 查看: 4688| 评论: 0

摘要: 目前,只要在搜索网站键入关键字"业主资料",立马就会显示出海量信息。除了包括业主的住址、电话等私人信息外,甚至有资料包含业主的网上交易记录……为何如此机密的资料都能被获取和随意传播?这不得不让人联想 ...

目前,只要在搜索网站键入关键字"业主资料",立马就会显示出海量信息。除了包括业主的住址、电话等私人信息外,甚至有资料包含业主的网上交易记录……为何如此机密的资料都能被获取和随意传播?这不得不让人联想到相关企业内部资料泄密的问题。

随着Web2.0时代的到来,Web应用已经无处不在,Web应用安全问题也逐渐凸显出来。根据SANSTOP20统计数据及OWASPTOP10应用安全漏洞统计数据显示,2005年是网络安全的一个分水岭,2005年之前,网络安全问题主要是反映在操作系统及网络层的相关漏洞等方面。随着微软对安全问题的重视以及SDL在微软开发过程中的普及应用,2005年以后网络安全问题开始转向应用安全领域,特别是Web应用相关的安全漏洞问题表现得尤为突出。

尽管我们的互联网生活已经陷入了Web应用漏洞造成的安全阴影中,但当前大多数企业用户却对Web应用的安全风险没有引起足够的重视。以浏览器来说,当前浏览器的交互性应用,使得浏览器已经变成了众多应用的承载者。

政府、军队和军工单位、金融机构、电信运营商、房产物业公司等企、事业单位、政府机构的信息系统的浏览器端通常都含有大量的用户信息,由于监管不严或者措施滞后,易导致大量用户信息非正常地散发或泄露于互联网,如果不做好浏览器防护措施,这些部门与企业掌管的大量个人敏感信息就极有可能被第三方轻易窃取,后患无穷!企业必须充分认识到各种Web应用的风险,并采取必要的手段来避免危险的安全攻击。到底有没有好的办法阻止类似事件再次发生呢?

首先我们来看一下当前网页内信息保护的主要途径:

第一种,在网页上加上Javascript控制脚本,但是这纯粹是利用脚本技术控制浏览器的形态,用户只需要在本地处理一下进程就可以破解这种控制方式。

第二种,利用Flash播放器技术显示数据,达到防复制的效果,但第三方可以使用缓存、打印、截屏来获取结果。

第三种,利用插件的形式禁用浏览器的某些功能,但浏览器端可以使用卸载插件软件恶意卸载,仍不能有效防止信息泄露。

我们认为,以上几种方法只能部分地解决网页上信息泄露、再次使用或扩散等问题,而且这几种技术本身的安全性、防攻击和防破坏能力有限,不能从根本上解决网页信息泄露的问题。对于企业的Web安全防护需要视具体情况具体分析,但主要应遵循以下原则:

(1)不能影响Web应用的正常运行及使用;

(2)Web安全防护不能影响Web服务的性能及可用性;

(3)Web安全防护不要对现有系统进行太多变更;

(4)尽量不要在Web服务器上安装插件,以免影响Web服务器的稳定性及安全性;

(5)需要在安全性和业务连续性保证方面取得一个较好的平衡点。

 


握手

雷人

路过

鲜花

QQ|备案号: 冀ICP证11011879-5号|河北省联通服务监督电话|石家庄宽带专家 ( 冀ICP证11011879-5号

GMT+8, 2019-6-16 09:34 , Processed in 0.185886 second(s), 15 queries .

返回顶部