WEB2.0时代数据泄密防护新选择
2018-06-15 来源:
据《晶报》12月14日报道:一份“深圳千万富豪名单”惊现网络,引起市民强烈关注。该文档共62页,涉及1400多位市民。文档以个人资产多少排列,从2000万以上开始排列递减到500万以上,内容包括“富豪”的姓名、住址、手机号码。记者随机抽取了多个电话进行调查,发现除个别电话停机或无人接听外,大部分名单无误。 这份“富豪榜”于12月8日发布,目前,仍可在百度文库下载,只是需要20个积分。即便是不能下载,但也丝豪不影响文档内容的查阅,因而浏览量和下载量仍在继续攀升。截至12月13日,已浏览了227次,下载129次。
只要在国内某著名网站键入关键字“业主资料”,立马就会显示出海量信息。其中,包括北京、上海的一些楼盘业主名单文件也赫然在列。其中一份《华都大厦业主名单》除了标示了业主的住址、电话外,还在表格外标注了电话有无人接听等信息。通过进一步搜索,甚至还能发现有网民在网络上从事业主资料买卖的交易记录。例如:某网民留下这样的信息: “求深圳楼盘的业主资料,我们做美容美体的,想在店面周围的小区里面宣传一下,要入住了的小区。”下面就有人回应称:“深圳各区的业主资料我们都有,在此不能一一列举,需要的话您可以加我们QQ,选择您需要的资料。”回复之后,还跟着一大串深圳楼盘的名录……
为何如此机密的资料都能被获取和随意传播?这不得不让人联想到相关企业内部资料泄密的问题。
随着Web 2.0时代的到来,Web应用已经无处不在,Web应用安全问题也逐渐凸显出来。根据SANS TOP20统计数据及OWASP TOP10应用安全漏洞统计数据显示,2005年是网络安全的一个分水岭,2005年之前,网络安全问题主要是反映在操作系统及网络层的相关漏洞等方面。随着微软对安全问题的重视以及SDL在微软开发过程中的普及应用,2005年以后网络安全问题开始转向应用安全领域,特别是Web应用相关的安全漏洞问题表现得尤为突出。
尽管我们的互联网生活已经陷入了Web应用漏洞造成的安全阴影中,但当前大多数企业用户却对Web应用的安全风险没有引起足够的重视。以浏览器来说,当前浏览器的交互性应用,使得浏览器已经变成了众多应用的承载者。政府、军队和军工单位、金融机构、电信运营商、房产物业公司等企、事业单位、政府机构的信息系统的浏览器端通常都含有大量的用户信息,由于监管不严或者措施滞后,易导致大量用户信息非正常地散发或泄露于互联网,如果不做好浏览器防护措施,这些部门与企业掌管的大量个人敏感信息就极有可能被第三方轻易窃取,后患无穷!企业必须充分认识到各种Web应用的风险,并采取必要的手段来避免危险的安全攻击。到底有没有好的办法阻止类似事件再次发生呢?首先我们来看一下当前网页内信息保护的主要途径:
第一种,在网页上加上Javascript控制脚本,但是这纯粹是利用脚本技术控制浏览器的形态,用户只需要在本地处理一下进程就可以破解这种控制方式。
第二种,利用 Flash播放器技术显示数据,达到防复制的效果,但第三方可以使用缓存、打印、截屏来获取结果。
第三种,利用插件的形式禁用浏览器的某些功能,但浏览器端可以使用卸载插件软件恶意卸载,仍不能有效防止信息泄露。
我们认为,以上几种方法只能部分地解决网页上信息泄露、再次使用或扩散等问题,而且这几种技术本身的安全性、防攻击和防破坏能力有限,不能从根本上解决网页信息泄露的问题。对于企业的Web安全防护需要视具体情况具体分析,但主要应遵循以下原则:
(1)不能影响Web应用的正常运行及使用;
(2)Web安全防护不能影响Web服务的性能及可用性;
(3)Web安全防护不要对现有系统进行太多变更;
(4)尽量不要在Web服务器上安装插件,以免影响Web服务器的稳定性及安全性;
(5)需要在安全性和业务连续性保证方面取得一个较好的平衡点。
本来浏览器防护技术就是互联网安全领域里的一项全新课题,国内外针对此项技术研发出的产品更可谓凤毛麟角。然而,在充分考察了企业的Web安全防护主要遵循原则,排除当前通常网页内信息保护途径的缺陷之后,虹安推出的DLP浏览器数据防护系统,简称“BDP”(Browser Data Protect)在Web泄露方面取得的成就给了我们新的启示。虹安研发的浏览器数据泄露防护系统,是一个增强Web应用数据呈现安全性的工具。通过积极安全模式,控制Web应用系统数据在浏览器端呈现后的使用权限;包括授权认证,浏览器响应策略,控制隐藏表单数据域,COOKIE保护,禁止网页复制,打印等操作。方便的解决各种B/S架构的应用系统,如各类OA系统、CRM、ERP等,服务器数据经过客户端浏览器呈现时的信任和泄露问题。不仅使浏览器自身的防护能力和抗攻击性得到大大地加强,还不会影响原有系统稳定性和安全性。
一方面,我们关注互联网应用如何变得更加丰富与便捷。另一方面,在丰富与便捷的背后却也引发了不堪重负的Web信息泄露问题。浏览器又在互联网应用与现代企业的办公环节中扮演着不可或缺的角色,因此,专业的DLP浏览器数据防护系统理所当然成为掌管大量个人敏感信息的社会公共部门与各企、事业单位的新选择。
原文链接:http://news.ccidnet.com/art/1032/20101224/2279503_1.html
标签: web服务器 安全 服务器 互联网 互联网安全 脚本 金融 漏洞 权限 搜索 网络 网络安全 网络安全问题 选择
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。