當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

應(yīng)對WEB威脅用戶必須了解的三件事

http://www.yibo1263.com　2010/2/4 9:25:05 　來源:東北IT網(wǎng) 　編輯:葉子

　　近年來，針對Web網(wǎng)站發(fā)現(xiàn)攻擊呈現(xiàn)規(guī)模化、隱蔽化趨勢，并將攻擊目標(biāo)鎖定為知名合法網(wǎng)站。進入2009年11月以來安全機構(gòu)監(jiān)測到一場大規(guī)模惡意代碼注入活動正在蔓延，數(shù)萬合法網(wǎng)站已經(jīng)受到攻擊，數(shù)億網(wǎng)民受到影響。而對于Web安全，用戶或多或少存在認識上的誤區(qū)，無論是對它的危害程度還是企業(yè)應(yīng)該采取的保護方法上都需要有一個清醒的認識。

　　第一件事：Web威脅的目標(biāo)是數(shù)據(jù)和攫取利益

　　面對來勢洶洶的Web威脅，絕大多數(shù)企業(yè)并沒有真正意識到其中的危機。一方面，惡意網(wǎng)站以600%的年增長速度在迅速增加；另一方面，77%帶有惡意代碼的Web網(wǎng)站是被植入惡意攻擊代碼的合法網(wǎng)站。如果把前者比作明槍還可以避免的話，那么作為暗箭的后者可以輕而易舉地攻擊無辜Web用戶，進而危及企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)。

　　Web攻擊是目前數(shù)據(jù)竊取的主要途徑。安全機構(gòu)的監(jiān)測結(jié)果顯示當(dāng)前57%的數(shù)據(jù)竊取攻擊是經(jīng)由Web而實現(xiàn)。由于基于Web2.0的威脅具有定向性、隱蔽性和區(qū)域性爆發(fā)等特點，越來越多的合法網(wǎng)站被掛馬、被注入，對此不知情的員工對互聯(lián)網(wǎng)的依賴性使得企業(yè)網(wǎng)絡(luò)比以往更加容易受到攻擊，使得一次普通的瀏覽網(wǎng)頁也變成了一件具有很大安全風(fēng)險的事情。Web威脅可以在用戶完全沒有察覺的情況下進入企業(yè)網(wǎng)絡(luò)，從而對公司數(shù)據(jù)資產(chǎn)、行業(yè)信譽和關(guān)鍵業(yè)務(wù)構(gòu)成極大威脅。即便是一些看上去并不重要的信息片段，一旦被偷竊者匯集并歸納，其后果可能導(dǎo)致公司內(nèi)部機構(gòu)設(shè)置、戰(zhàn)略合作伙伴關(guān)系、核心客戶等重要信息被泄露。

　　Web攻擊的最終目標(biāo)是企業(yè)數(shù)據(jù)和獲取商業(yè)利益。Ponemon研究機構(gòu)的一項研究也在證明這一點：數(shù)據(jù)泄露、丟失等破壞行為的平均開銷正在逐年增加。并直接給企業(yè)帶來業(yè)務(wù)損失，損失占到企業(yè)總花費的69%。Forrester同樣在名為“計算安全信息泄密代價”的調(diào)查中發(fā)現(xiàn)：三分之一以上的企業(yè)都曾遭遇到數(shù)據(jù)泄漏事件，其中一半公司在數(shù)據(jù)泄漏事件付出了慘痛代價。與員工上班玩游戲、炒股、聊天、下載等行為造成工作效率下降、帶寬資源緊張相比，Web攻擊造成的損失就是數(shù)據(jù)泄漏，直接給企業(yè)造成經(jīng)濟損失，因而成為當(dāng)前企業(yè)面臨的最緊迫的安全問題。

　　第二件事：傳統(tǒng)防護手段難以防范Web威脅

　　對付Web威脅，傳統(tǒng)的防護模式是否能夠有效化解呢？答案是否定的。越來越多的Web攻擊者將合法網(wǎng)站做目標(biāo)，77%帶有惡意代碼的Web網(wǎng)站是被植入惡意攻擊代碼的合法網(wǎng)站，很多知名網(wǎng)站也時常有網(wǎng)頁被掛馬，用戶不能因噎廢食，利用上網(wǎng)行為管理產(chǎn)品整體封鎖對整個網(wǎng)站的訪問。此外，盡管大多數(shù)Web 2.0 網(wǎng)站自身都會采取防掛馬、防注入等保護措施，但是研究結(jié)果顯示：65%到75% YouTube和BlogSpot所采用的社區(qū)驅(qū)動型安全工具在保護Web用戶避開不良內(nèi)容以及安全風(fēng)險方面是無效的。

　　面對來勢洶洶的新型Web威脅，傳統(tǒng)安全措施無法跟上Web內(nèi)容不斷變化的步伐。一方面惡意軟件也可能出現(xiàn)在聲譽良好、受到大家信任的網(wǎng)站上，就像出現(xiàn)在其它網(wǎng)站惡意上一樣容易；另一方面網(wǎng)絡(luò)應(yīng)用程序越來越多，傳統(tǒng)的防護模式已經(jīng)力不從心，即便是如今已經(jīng)運用的非常成熟的“病毒特征碼查殺”技術(shù)，隨著病毒爆發(fā)的生命周期越來越短，其傳統(tǒng)的安全系統(tǒng)防御模型更是滯后于病毒的傳播，用戶只能處于預(yù)防威脅-檢測威脅-處理威脅-策略執(zhí)行的循環(huán)之中。即使利用市場上現(xiàn)有最快速的反病毒系統(tǒng)和服務(wù)機制，企業(yè)仍然不能防范最新的威脅，因為服務(wù)方往往無法及早和完整地介入整個新病毒事件。

　　第三件事：Web安全＋防信息泄露實現(xiàn)企業(yè)自我保護

　　Web 2.0 改變了企業(yè)使用互聯(lián)網(wǎng)的方式。通過諸如 Facebook 和Twitter之類的網(wǎng)站，員工可以自己創(chuàng)建內(nèi)容并迅速與數(shù)千人分享。這些網(wǎng)站中的內(nèi)容是動態(tài)的，傳統(tǒng)的安全系統(tǒng)無法控制。為了在工作中使用 Web 2.0，企業(yè)需要采用新的方式來保護重要信息。

　　什么才是最有效的防范Web威脅和防止數(shù)據(jù)泄漏的安全解決方案呢？建議用戶將Web安全與防信息泄露有效結(jié)合起來，Web安全方案可以有效過濾來自互聯(lián)網(wǎng)的風(fēng)險，將數(shù)據(jù)竊取的企圖消滅在萌芽階段，而防信息泄露方案可以對企業(yè)的信息資源進行針對性的保護。

　　具體來說，Web安全方案提供全面的覆蓋范圍、可見性和控制，對于“誰能夠發(fā)送什么信息、在哪里發(fā)送、如何發(fā)送”全部一目了然。數(shù)據(jù)泄漏防護方案可以識別, 監(jiān)視和保護機密數(shù)據(jù)。通過將Web安全方案與數(shù)據(jù)泄漏防護方案相結(jié)合，企業(yè)可以有效控制Web風(fēng)險，精確防止數(shù)據(jù)泄漏，保護業(yè)務(wù)流程。

【收藏】【打印】【進入論壇】

相關(guān)文章：

·webpower中國區(qū)發(fā)布《2012年度中國郵件營銷

·Web2.0正式成為第100萬個英語詞匯

·Web服務(wù)器訪問失敗故障處理技巧

·Web服務(wù)器維護和安全管理技巧3則

·十個步驟打造安全的個人Web服務(wù)器

·教你打好WEB服務(wù)器安全攻堅戰(zhàn)

·緊急處理Web服務(wù)器訪問失敗故障

·Web服務(wù)器安裝和運行FTP操作步驟

·Web服務(wù)器啟用并運行FTP服務(wù)

·保護Web服務(wù)器從數(shù)據(jù)庫開始

·保障Web服務(wù)器安全的六個步驟

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费