新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   >>中国XML论坛<<     W3CHINA.ORG讨论区     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> 讨论HTML、XHTML、Web2.0、Ajax、XUL, ExtJS, jQuery, JSON、Social Networking System(SNS)、Rich Internet Applications (RIA)、Tagging System、Taxonomy(tagsonomy,folkonomy)、XForms、XFrames、XInclude, XBL (XML Binding Language)等话题
    [返回] 中文XML论坛 - 专业的XML技术讨论区XML.ORG.CN讨论区 - XML技术『 HTML/XHTML/Ajax/Web 2.0/Web 3.0 』 → 网页数据防泄露成网络应用安全新课题 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 7977 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: 网页数据防泄露成网络应用安全新课题 举报  打印  推荐  IE收藏夹 
       本主题类别: Description Logics | Web Services    
     venus.han 美女呀,离线,快来找我吧!
      
      
      等级:大一(高数修炼中)
      文章:30
      积分:125
      门派:XML.ORG.CN
      注册:2010/10/15

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给venus.han发送一个短消息 把venus.han加入好友 查看venus.han的个人资料 搜索venus.han在『 HTML/XHTML/Ajax/Web 2.0/Web 3.0 』的所有贴子 引用回复这个贴子 回复这个贴子 查看venus.han的博客楼主
    发贴心情 网页数据防泄露成网络应用安全新课题

    随着Web 2.0时代的到来,Web应用已经无处不在,Web应用安全问题也逐渐凸显出来。根据SANS TOP20统计数据及OWASP TOP10应用安全漏洞统计数据显示,2005年是网络安全的一个分水岭,2005年之前,网络安全问题主要是反映在操作系统及网络层的相关漏洞等方面 。 随着微软对安全问题的重视以及SDL在微软开发过程中的普及应用,2005年以后网络安全问题开始转向应用安全领域,特别是Web应用相关的安全漏洞问题 表现得尤为突出。
    通过上网搜索我们不难发现,近段时间,涉及个人隐私的Web泄密事件在全国各地时有发生。
    《羊城晚报》12月7日报道:近日,有网友将一份涉及广州番禺某楼盘8000多位业主信息的文档上传到国内一著名网站中,引起社会关注。尽管通过这些信息,未必就能找到业主本人,但仍有业主因信息被泄露不堪滋扰。
    《燕赵都市报》12月3日报道:河北唐山一些新楼盘还未交房,已有不少业主频繁收到推销装修服务的电话、短信。
    《齐鲁晚报》11月30日报道:山东省烟台很多市民收到一条陌生号码发来的短信,短 信发送者自称是国家税务总局的工作人员,通知车主国家的汽车消费税率下调,按规定要退给车主一部分汽车消费税,要车主按照对方提供的操作程序接受退税。当 记者按照短信中提供的号码给对方打去电话报出车牌时,对方竟然能详细说出该车牌号的车型、车主姓名、购车时间以及车主的身份证号码。
    只要在国内某著名网站键入关键字“业主资料”,立马就会显示出海量信息。其中,包括 北京、上海的一些楼盘业主名单文件也赫然在列。其中一份《华都大厦业主名单》除了标示了业主的住址、电话外,还在表格外标注了电话有无人接听等信息。通过 进一步搜索,甚至还能发现有网民在网络上从事业主资料买卖的交易记录。例如:某网民留下这样的信息: “求深圳楼盘的业主资料,我们做美容美体的,想在店面周围的小区里面宣传一下,要入住了的小区。”下面就有人回应称:“深圳各区的业主资料我们都有,在此 不能一一列举,需要的话您可以加我们QQ,选择您需要的资料。”回复之后,还跟着一大串深圳楼盘的名录……
    为何如此机密的资料都能被获取和随意传播?这不得不让人联想到相关企业内部资料泄密的问题。
    尽管我们的互联网生活已经陷入了Web应用漏洞造成的安全阴影中,但当前大多数企业 用户却对Web应用的安全风险没有引起足够的重视。以浏览器来说,当前浏览器的交互性应用,使得浏览器已经变成了众多应用的承载者。政府、军队和军工单 位、金融机构、电信运营商、房产物业公司等企、事业单位、政府机构的信息系统的浏览器端通常都含有大量的用户信息,由于监管不严或者措施滞后,易导致大量 用户信息非正常地散发或泄露于互联网,如果不做好浏览器防护措施,这些部门与企业掌管的大量个人敏感信息就极有可能被第三方轻易窃取,后患无穷!企业必须 充分认识到各种Web应用的风险,并采取必要的手段来避免危险的安全攻击。到底有没有好的办法阻止类似事件再次发生呢?首先我们来看一下当前网页内信息保 护的途径:
    第一种,在网页上加上Javascript控制脚本,但是这纯粹是利用脚本技术控制浏览器的形态,用户只需要在本地处理一下进程就可以破解这种控制方式。
    第二种,利用 Flash播放器技术显示数据,达到防复制的效果,但可以使用缓存、打印、截屏来获取结果。
    第三种,利用插件的形式禁用浏览器的某些功能,浏览器端可以使用卸载插件软件恶意卸载。
    我们认为,以上几种方法只能部分地解决网页上信息泄露、再次使用或扩散等问题,而且这几种技术本身的安全性、防攻击和防破坏能力有限,还不能从根本上解决网页信息泄露的问题。对于企业的Web安全防护需要视具体情况具体分析,但主要应遵循以下原则:
    (1)不能影响Web应用的正常运行及使用;
    (2)Web安全防护不能影响Web服务的性能及可用性;
    (3)Web安全防护不要对现有系统进行太多变更;
    (4)尽量不要在Web服务器上安装插件,以免影响Web服务器的稳定性及安全性;
    (5)需要在安全性和业务连续性保证方面取得一个较好的平衡点。
    本来浏览器防护技术就是互联网安全领域里一项全新的课题,国内外针对此项技术研发出 的产品更可谓凤毛麟角。然而,在充分考察了企业的Web安全防护主要遵循原则,排除当前通常网页内信息保护途径的缺陷之后,我们惊喜的发现:一直致力于数 据信息泄露防护领域的虹安,推出的DLP浏览器数据防护系统,简称“BDP”(Browser Data Protect)在Web泄露方面取得的成就给了我们新的启示。虹安研发的浏览器数据泄露防护系统,是一个增强Web应用数据呈现安全性的工具。通过积极 安全模式,控制Web应用系统数据在浏览器端呈现后的使用权限;包括授权认证,浏览器响应策略,控制隐藏表单数据域,COOKIE保护,禁止网页复制,打 印等操作。方便的解决各种B/S架构的应用系统,如各类OA系统、CRM、ERP等,服务器数据经过客户端浏览器呈现时的信任和泄露问题。不仅使浏览器自 身的防护能力和抗攻击性得到大大地加强,还不会影响原有系统稳定性和安全性。
    一方面,我们关注互联网应用如何变得更加丰富与便捷。另一方面,在丰富与便捷的背后 却也引发了不堪重负的Web信息泄露问题。浏览器又在互联网应用与现代企业的办公环节中扮演着不可或缺的角色,因此,专业的DLP浏览器数据防护系统理所 当然成为掌管大量个人敏感信息的社会公共部门与各企、事业单位的必然选择。对致力于Web应用安全领域的企业而言,如何打造出更有效的网页数据防泄露产品 也是一种技术方向的指引。

       收藏   分享  
    顶(0)
      




    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2010/12/14 9:01:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 HTML/XHTML/Ajax/Web 2.0/Web 3.0 』的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/12/22 1:20:43

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    46.875ms