隨著對(duì)Web2.0開發(fā)和部署的日益深化,企業(yè)、開發(fā)人員和用戶都對(duì)基于Web 的應(yīng)用抱有很高的期望.Web2.0確實(shí)包括了許多優(yōu)點(diǎn),包括一些新型的應(yīng)用程序、成本節(jié)約和更精簡的架構(gòu)等.但Web2..0也帶來了些許不太令人喜愛的東西:新的安全性威脅
保護(hù)Web2.0服務(wù)及其用戶避免在線的網(wǎng)絡(luò)攻擊應(yīng)當(dāng)成為任何利用下一代Web技術(shù)企業(yè)的重要目標(biāo).為此,筆者推薦如下九條增強(qiáng)Web2.0安全性的錦囊妙計(jì),而且保證其簡易可行
1.檢查Web應(yīng)用程序的漏洞:那些自己創(chuàng)建Web2.0應(yīng)用程序、鏈接、工具的企業(yè)通常并沒有進(jìn)行嚴(yán)格的測(cè)試,有的甚至是草率的.應(yīng)當(dāng)鼓勵(lì)開發(fā)人員設(shè)計(jì)更聰明的程序,并要檢查其程序中漏洞,用以避免被潛在的攻擊者所利用
2.保持計(jì)算機(jī)的最新:此處指的是使計(jì)算機(jī)軟件能夠及時(shí)更新.一定要保障激活微軟的Windows更新、Mac OS更新、即時(shí)通信(IM)程序、VoIP應(yīng)用程序以及其它Web2.0程序的及時(shí)更新.這是防范Web2.0漏洞和在線攻擊的最簡易方法之一
3.安裝防御工具:企業(yè)可以考慮部署內(nèi)容監(jiān)視和過濾技術(shù),可以使用URL過濾器、應(yīng)用程序過濾器、應(yīng)用程序控制和其它的能夠阻止Web2.0威脅的工具.企業(yè)應(yīng)當(dāng)建立Web2.0技術(shù)使用的可接受策略,并采取措施管理博客所帶來的威脅.還應(yīng)當(dāng)決定如何應(yīng)對(duì)知識(shí)產(chǎn)權(quán)、商業(yè)秘密以及Web2.0應(yīng)用程序所引起的其它法律問題
4.禁止示例代碼的使用.Web2.0的開發(fā)人員,迫于盡快開發(fā)應(yīng)用程序的壓力,經(jīng)常求助于示例代碼,以應(yīng)對(duì)特定的程序設(shè)計(jì)難題.這種做法隱藏的問題是,這種共享的代碼可能會(huì)包括安全漏洞,而開發(fā)人員可能并沒有認(rèn)識(shí)到
5.將安全邏輯建立在服務(wù)器上:為了提高裝載和執(zhí)行速度,許多基于Web的應(yīng)用程序?qū)踩越唤o客戶端.這種方法中存在問題是,攻擊者們能夠通過其自己設(shè)計(jì)的軟件繞過客戶端,并進(jìn)而直接攻擊未受保護(hù)的服務(wù)器.管理員應(yīng)當(dāng)考慮到這種方案的后果,應(yīng)當(dāng)認(rèn)識(shí)到安全性永遠(yuǎn)高于速度,因此請(qǐng)將安全機(jī)制建立在服務(wù)器上吧
6.像攻擊者那樣思考:開發(fā)或修改Web2.0應(yīng)用程序的企業(yè)需要像攻擊者那樣思考.這意味著企業(yè)需要研究最新的攻擊方法和許多大型企業(yè)正用來保障其Web2.0應(yīng)用程序安全的方法措施
7.先下手為強(qiáng):由于經(jīng)常在Web2.0中發(fā)現(xiàn)漏洞,因此及時(shí)更新是至關(guān)重要的.用戶不應(yīng)當(dāng)指望Web 2.0廠商和服務(wù)供應(yīng)商發(fā)出警告,用戶必須保持前瞻性.這意味著管理員必須定期檢查應(yīng)用程序和相關(guān)工具的漏洞,并研究主要安全廠商所發(fā)布的公告
8.執(zhí)行安全審核:安全審核總是一個(gè)好主意,不過Web2.0應(yīng)用程序的日益漫延造就了一些新的并通常是隱藏的漏洞,安全審核變得更加關(guān)鍵
9.對(duì)單位的職工進(jìn)行教育:雇員特別是IT工作人員,需要清楚地知道由Web2.0引起的安全威脅.可以采取雇員手冊(cè)、標(biāo)語、時(shí)事通訊、網(wǎng)站、交互式游戲等方式來教育工作人員,使每個(gè)人都警惕并防范Web2.0的危險(xiǎn)
雖然Web2.0的安全性有待于進(jìn)一步提高,但企業(yè)在實(shí)施過程中完全可以采取多樣化的技術(shù)手段來使其更加穩(wěn)健,更加安全.
