據(jù)《晶報》12月14日報道：一份“深圳千萬富豪名單”驚現(xiàn)網(wǎng)絡(luò)，引起市民強烈關(guān)注。該文檔共62頁，涉及1400多位市民。文檔以個人資產(chǎn)多少排列，從2000萬以上開始排列遞減到500萬以上，內(nèi)容包括“富豪”的姓名、住址、手機號碼。記者隨機抽取了多個電話進行調(diào)查，發(fā)現(xiàn)除個別電話停機或無人接聽外，大部分名單無誤。 這份“富豪榜”于12月8日發(fā)布，目前，仍可在百度文庫下載，只是需要20個積分。即便是不能下載，但也絲豪不影響文檔內(nèi)容的查閱，因而瀏覽量和下載量仍在繼續(xù)攀升。截至12月13日，已瀏覽了227次，下載129次。

只要在國內(nèi)某著名網(wǎng)站鍵入關(guān)鍵字“業(yè)主資料”，立馬就會顯示出海量信息。其中，包括北京、上海的一些樓盤業(yè)主名單文件也赫然在列。其中一份《華都大廈業(yè)主名單》除了標(biāo)示了業(yè)主的住址、電話外，還在表格外標(biāo)注了電話有無人接聽等信息。通過進一步搜索，甚至還能發(fā)現(xiàn)有網(wǎng)民在網(wǎng)絡(luò)上從事業(yè)主資料買賣的交易記錄。例如：某網(wǎng)民留下這樣的信息： “求深圳樓盤的業(yè)主資料，我們做美容美體的，想在店面周圍的小區(qū)里面宣傳一下，要入住了的小區(qū)。”下面就有人回應(yīng)稱：“深圳各區(qū)的業(yè)主資料我們都有，在此不能一一列舉，需要的話您可以加我們QQ，選擇您需要的資料。”回復(fù)之后，還跟著一大串深圳樓盤的名錄……

為何如此機密的資料都能被獲取和隨意傳播？這不得不讓人聯(lián)想到相關(guān)企業(yè)內(nèi)部資料泄密的問題。

隨著Web 2.0時代的到來，Web應(yīng)用已經(jīng)無處不在，Web應(yīng)用安全問題也逐漸凸顯出來。根據(jù)SANS TOP20統(tǒng)計數(shù)據(jù)及OWASP TOP10應(yīng)用安全漏洞統(tǒng)計數(shù)據(jù)顯示，2005年是網(wǎng)絡(luò)安全的一個分水嶺，2005年之前，網(wǎng)絡(luò)安全問題主要是反映在操作系統(tǒng)及網(wǎng)絡(luò)層的相關(guān)漏洞等方面。隨著微軟對安全問題的重視以及SDL在微軟開發(fā)過程中的普及應(yīng)用，2005年以后網(wǎng)絡(luò)安全問題開始轉(zhuǎn)向應(yīng)用安全領(lǐng)域，特別是Web應(yīng)用相關(guān)的安全漏洞問題表現(xiàn)得尤為突出。

盡管我們的互聯(lián)網(wǎng)生活已經(jīng)陷入了Web應(yīng)用漏洞造成的安全陰影中，但當(dāng)前大多數(shù)企業(yè)用戶卻對Web應(yīng)用的安全風(fēng)險沒有引起足夠的重視。以瀏覽器來說，當(dāng)前瀏覽器的交互性應(yīng)用，使得瀏覽器已經(jīng)變成了眾多應(yīng)用的承載者。政府、軍隊和軍工單位、金融機構(gòu)、電信運營商、房產(chǎn)物業(yè)公司等企、事業(yè)單位、政府機構(gòu)的信息系統(tǒng)的瀏覽器端通常都含有大量的用戶信息，由于監(jiān)管不嚴(yán)或者措施滯后，易導(dǎo)致大量用戶信息非正常地散發(fā)或泄露于互聯(lián)網(wǎng)，如果不做好瀏覽器防護措施，這些部門與企業(yè)掌管的大量個人敏感信息就極有可能被第三方輕易竊取，后患無窮！企業(yè)必須充分認(rèn)識到各種Web應(yīng)用的風(fēng)險，并采取必要的手段來避免危險的安全攻擊。到底有沒有好的辦法阻止類似事件再次發(fā)生呢？首先我們來看一下當(dāng)前網(wǎng)頁內(nèi)信息保護的主要途徑：

第一種，在網(wǎng)頁上加上Javascript控制腳本，但是這純粹是利用腳本技術(shù)控制瀏覽器的形態(tài)，用戶只需要在本地處理一下進程就可以破解這種控制方式。

第二種，利用 Flash播放器技術(shù)顯示數(shù)據(jù)，達到防復(fù)制的效果，但第三方可以使用緩存、打印、截屏來獲取結(jié)果。

第三種，利用插件的形式禁用瀏覽器的某些功能，但瀏覽器端可以使用卸載插件軟件惡意卸載，仍不能有效防止信息泄露。

我們認(rèn)為，以上幾種方法只能部分地解決網(wǎng)頁上信息泄露、再次使用或擴散等問題，而且這幾種技術(shù)本身的安全性、防攻擊和防破壞能力有限，不能從根本上解決網(wǎng)頁信息泄露的問題。對于企業(yè)的Web安全防護需要視具體情況具體分析，但主要應(yīng)遵循以下原則：

(1)不能影響Web應(yīng)用的正常運行及使用；

(2)Web安全防護不能影響Web服務(wù)的性能及可用性；

(3)Web安全防護不要對現(xiàn)有系統(tǒng)進行太多變更；

(4)盡量不要在Web服務(wù)器上安裝插件，以免影響Web服務(wù)器的穩(wěn)定性及安全性；

(5)需要在安全性和業(yè)務(wù)連續(xù)性保證方面取得一個較好的平衡點。

本來瀏覽器防護技術(shù)就是互聯(lián)網(wǎng)安全領(lǐng)域里的一項全新課題，國內(nèi)外針對此項技術(shù)研發(fā)出的產(chǎn)品更可謂鳳毛麟角。然而，在充分考察了企業(yè)的Web安全防護主要遵循原則，排除當(dāng)前通常網(wǎng)頁內(nèi)信息保護途徑的缺陷之后，虹安推出的DLP瀏覽器數(shù)據(jù)防護系統(tǒng)，簡稱“BDP”（Browser Data Protect）在Web泄露方面取得的成就給了我們新的啟示。虹安研發(fā)的瀏覽器數(shù)據(jù)泄露防護系統(tǒng)，是一個增強Web應(yīng)用數(shù)據(jù)呈現(xiàn)安全性的工具。通過積極安全模式，控制Web應(yīng)用系統(tǒng)數(shù)據(jù)在瀏覽器端呈現(xiàn)后的使用權(quán)限；包括授權(quán)認(rèn)證，瀏覽器響應(yīng)策略，控制隱藏表單數(shù)據(jù)域，COOKIE保護，禁止網(wǎng)頁復(fù)制，打印等操作。方便的解決各種B/S架構(gòu)的應(yīng)用系統(tǒng)，如各類OA系統(tǒng)、CRM、ERP等，服務(wù)器數(shù)據(jù)經(jīng)過客戶端瀏覽器呈現(xiàn)時的信任和泄露問題。不僅使瀏覽器自身的防護能力和抗攻擊性得到大大地加強，還不會影響原有系統(tǒng)穩(wěn)定性和安全性。

一方面，我們關(guān)注互聯(lián)網(wǎng)應(yīng)用如何變得更加豐富與便捷。另一方面，在豐富與便捷的背后卻也引發(fā)了不堪重負(fù)的Web信息泄露問題。瀏覽器又在互聯(lián)網(wǎng)應(yīng)用與現(xiàn)代企業(yè)的辦公環(huán)節(jié)中扮演著不可或缺的角色，因此，專業(yè)的DLP瀏覽器數(shù)據(jù)防護系統(tǒng)理所當(dāng)然成為掌管大量個人敏感信息的社會公共部門與各企、事業(yè)單位的新選擇。

原文鏈接：http://news.ccidnet.com/art/1032/20101224/2279503_1.html

標(biāo)簽： web服務(wù)器 安全 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 腳本 金融 漏洞 權(quán)限 搜索 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。