2012年企业Web应用安全防范与趋势展望
同样在上一年年底,中国网民规模突破5亿。2012年1月16日,中国互联网络信息中心发布的《第29次中国互联网络发展状况统计报告》显示,截至2011年12月底,中国网民规模达到5.13亿,全年新增网民5580万;互联网普及率较上年底提升4个百分点,达到38.3%。中国手机网民规模达到3.56亿,同比增长17.5%,与前几年相比,中国的整体网民规模增长进入平台期。就这样,5亿网民的信息安全意识终于被集体地科普了一把,办公室里到处都是低头改密码的青年。每一个低着头的孩纸背后,都有几个信息安全工作不咋靠谱的网站。据专家说这个叫:WEB应用安全。
什么是Web应用?Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。
什么是信息安全?保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。
WEB应用通俗地说,我们通过浏览器访问到大部分内容都是WEB应用,web page就我们说的“网页”,早期的网络应用主要是Client/Server(客户机/服务器) 结构,通过将任务合理分配到客户端和服务端,需要安装客户端才可进行管理操作。后来随着技术的发展,大家发现很多网络应用不用装特制的客户端,通过浏览器就能实现,Browser/Server (浏览器/服务器)这种结构的应用就越来越火了。无论是公共信息发布(单位门户网站)、在线办公(OA)、财务管理(ERP)、交流社区(BBS&SNS)、聊天(WEBIM)、游戏(网页游戏)什么都是WEB应用。因为WEB应用的最大好处是,只要有浏览器就能使用,不用装体积庞大的客户端,更不用考虑特定客户端对操作系统的兼容性问题。
用户通过电子终端(PC、手机、MID等)上的浏览器提交访问信息,信息经网络传输到对应的服务器上,服务器根据接收到的信息进行处理,并将处理的结果信息再次通过网络反馈给浏览器,浏览器将这些反馈回来的结果解释成用户看得懂的内容,展现在浏览器窗口上,就完成了一次WEB应用的访问。由此,我们知道想要做好WEB应用的安全工作,就至少需要考虑以下几个方面的问题:
• 终端硬件、操作系统和浏览器的安全;
• 服务器端的安全;
• 网络传输过程的安全;
• WEB访问者和WEB服务提供者的安全意识。
1、终端硬件、操作系统和浏览器的安全
杀毒软件曾经是一般中国网民购买过的唯一的正版软件,终端安全话题对中国网民来说和电脑重启一样熟悉。但随着PC杀毒软件的全面免费和终端操作系统安全加固辅助工具的智能和自动化,病毒等恶意代码的传播面临着更大的挑战。与此同时,怀着各种“远大理想”恶意代码制造者和攻击者也在孜孜不倦地进行着“科研”工作。2012年终端安全我们不得不关注以下内容:
a) 硬件黑客:鼠标键盘等蓝牙设备的监听、USBKEY的模拟或绕过以及硬件形式的系统后门(碟中谍4里面藐似高科技的USB硬件后门早就有,紧张不~);
b) 特种木马:针对于指定目的,专门针对目标可能采用的杀毒软件制作的“免杀”后门;
c) 浏览器0DAY:尚未公布或刚刚公布的浏览器漏洞总会有,是否对具体的用户造成影响就看这个用户是先被攻击还是先打了补丁。
对终端用户来说实际的安全影响除了自身系统的安全增强,更多的是依赖于操作系统、杀毒软件厂商,以及WEB应用提供方的服务器安全。
2、服务器端的安全
WEB应用的服务器端一般包括WEB应用程序、中间件、数据库管理系统、服务器操作系统等。多年来国内对WEB应用服务器端的防御工作主要停留在安全配置和漏洞修复两方面。随着各单位安全基线规范的出台,安全配置工作逐渐实现标准化和批量化,与此同时,各种漏洞响应机制也在不断建立。WEB应用系统的自身安全得到了很大程度的加强。但对企业用户来说也仍然存在一些困扰,比如:我们无法对内部人员的越权操作或利用权限非法操作的行为进行监督和控制;一旦发生入侵事件,我们只知道攻击者入侵了网络,在现有的基础设施条件下无法知道攻击者带走了多少数据。
通过上面的介绍可以看到,我们运维审计和数据库审计的建设工作还有待于加强。同时当发现WEB应用程序出现漏洞后,运维人员也面临着:找不到开发方、开发方不提供免费修复、修复周期非常长系统漏洞长期暴露在互联网中等问题,这都成为未来WEB应用运维工作的难点。
2012年企业Web应用安全防范与趋势展望相关推荐
- 网络云存储技术Windows server 2012 (项目二十 一 基于Cluster的高可用企业WEB服务器的部署)
网络云存储技术Windows server 2012 (项目二十一 基于Cluster的高可用企业WEB服务器的部署) 前言 网络存储技术,是以互联网为载体实现数据的传输与存储,它采用面向网络的存储体 ...
- 网络云存储技术Windows server 2012 (项目二十 基于NLB的企业Web站点服务部署)
网络云存储技术Windows server 2012 (项目二十 基于NLB的企业Web站点服务部署) 前言 网络存储技术,是以互联网为载体实现数据的传输与存储,它采用面向网络的存储体系结构,使数据处 ...
- Linux -- 利用IPS(***防御系统) 构建企业Web安全防护网
一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的***进行过滤.这样一个两级的过滤模式,可 ...
- 减少企业Web威胁的三条预防性措施
减少企业Web威胁的三条预防性措施 http://netsecurity.51cto.com 2010-10-20 09:39 佚名 TT安全 我要评论(0) 摘要:在企业中我们更应该关注网络 ...
- Axure 经典实例高保真原型下载(Axure高保真酒店管理交互组件连锁酒店erp酒店企业web端后台管理财务管理会员管理网销管理报表管理))
作品介绍:Axure高保真酒店管理交互组件&连锁酒店erp&酒店企业web端后台管理&财务管理&会员管理&网销管理&报表管理 Axure原型演示及下载地 ...
- 【笔记-node】《imooc-nodejs入门到企业web开发中的应用》
目录 课程名 备注 入门必学 nodejs入门到企业web开发中的应用 框架与工具 node.js+koa2+mysql打造前后端分离精品项目<旧岛> 项目实战 20190317-2020 ...
- web表格控件FineReport作为企业web表格制作软件的核心优势
web表格控件FineReport作为企业web表格制作软件的核心优势 报表表格设计器 Excel表格的设计风格 企业在选择报表表格解决方案时,不仅要考虑报表表格工具的功能和服务,还要考虑它是否易学. ...
- 惊闻企业Web应用生成平台 活字格 V4.0 免费了,不单可视化设计器免费,服务器也免费!...
惊闻企业Web应用生成平台 活字格 V4.0 免费了,不单可视化设计器免费,服务器也免费! 官网消息: 针对活字格开发者,新版本完全免费!您可下载活字格 Web 应用生成平台 V4.0 Updated ...
- 2012年度最佳Web前端开发工具和框架总结
2012年度最佳Web前端开发工具和框架总结 2013/01/18 | 分类: 工具与资源 | 1 条评论 | 标签: 前端, 开发工具, 开发框架 分享到:0 来源:梦想天空 技术的快速发展让很多人 ...
最新文章
- python基础练习(六)
- android 开发文档模板
- jQuery UI - Accordion 手风琴组件的使用
- 如何利用Python批量将Word中的信息提取到Excel?
- 24v开关电源维修技巧_焊机维修案例汇总6
- Mysql-centos下的安装
- liunx安装Lamp
- 1. SVN (1)
- java+编辑距离自动机_编辑距离,重叠,组装算法和python程序.pptx
- VsCode字体颜色修改和背景图片修改 字体高亮
- 算法系列之二十三:离散傅立叶变换之音频播放与频谱显示
- 【MIKE21】批处理依次打开模型文件运行模型
- 使用qq邮箱作为程序客户端自动发送邮件
- 台式计算机安装无线网卡驱动程序,台式机无线网卡驱动,详细教您台式机无线网卡驱动如何安装...
- .NET Core剪裁器Zack.DotNetTrimmer升级瘦身引擎,并支持剪裁计划的录制和回放
- python错误警告 PEP8 W605 invalid escape sequence ‘\.‘
- ORACLE的HINT详解
- Unity win平台 调整窗口大小强制固定比例
- 超融合市场火爆,新华三因何蝉联第一?
- HAUT 1261 地狱飞龙(数值积分)(河南工业大学2017校赛)
热门文章
- haslayout详解
- 一个利用Dataflow实现的Actor
- CSS中的EM属性-弹性布局
- [BZOJ2730][HNOI2012]矿场搭建(求割点)
- 安装最新Spree出现error:spree_core requires will_paginate (= 3.0.pre2, runtime)
- jquery 开发总结(不断更新)
- 【C 语言】字符串模型 ( strstr-do…while 模型 )
- 【Flutter】Flutter 混合开发 ( Flutter 与 Native 通信 | Android 端实现 EventChannel 通信 )
- 【Android 性能优化】应用启动优化 ( 安卓应用启动分析 | Launcher 应用启用普通安卓应用 | 应用进程分析 )
- 【Android 系统开发】使用 Source InSight 阅读 Android 源码