隨著對Web2.0開發(fā)和部署的日益深化,企業(yè)、開發(fā)人員和用戶都對基于Web 的應用抱有很高的期望.Web2.0確實包括了許多優(yōu)點,包括一些新型的應用程序、成本節(jié)約和更精簡的架構等.但Web2..0也帶來了些許不太令人喜愛的東西:新的安全性威脅
保護Web2.0服務及其用戶避免在線的網(wǎng)絡攻擊應當成為任何利用下一代Web技術企業(yè)的重要目標.為此,筆者推薦如下九條增強Web2.0安全性的錦囊妙計,而且保證其簡易可行
1.檢查Web應用程序的漏洞:那些自己創(chuàng)建Web2.0應用程序、鏈接、工具的企業(yè)通常并沒有進行嚴格的測試,有的甚至是草率的.應當鼓勵開發(fā)人員設計更聰明的程序,并要檢查其程序中漏洞,用以避免被潛在的攻擊者所利用
2.保持計算機的最新:此處指的是使計算機軟件能夠及時更新.一定要保障激活微軟的Windows更新、Mac OS更新、即時通信(IM)程序、VoIP應用程序以及其它Web2.0程序的及時更新.這是防范Web2.0漏洞和在線攻擊的最簡易方法之一
3.安裝防御工具:企業(yè)可以考慮部署內(nèi)容監(jiān)視和過濾技術,可以使用URL過濾器、應用程序過濾器、應用程序控制和其它的能夠阻止Web2.0威脅的工具.企業(yè)應當建立Web2.0技術使用的可接受策略,并采取措施管理博客所帶來的威脅.還應當決定如何應對知識產(chǎn)權、商業(yè)秘密以及Web2.0應用程序所引起的其它法律問題
4.禁止示例代碼的使用.Web2.0的開發(fā)人員,迫于盡快開發(fā)應用程序的壓力,經(jīng)常求助于示例代碼,以應對特定的程序設計難題.這種做法隱藏的問題是,這種共享的代碼可能會包括安全漏洞,而開發(fā)人員可能并沒有認識到
5.將安全邏輯建立在服務器上:為了提高裝載和執(zhí)行速度,許多基于Web的應用程序將安全性交給客戶端.這種方法中存在問題是,攻擊者們能夠通過其自己設計的軟件繞過客戶端,并進而直接攻擊未受保護的服務器.管理員應當考慮到這種方案的后果,應當認識到安全性永遠高于速度,因此請將安全機制建立在服務器上吧
6.像攻擊者那樣思考:開發(fā)或修改Web2.0應用程序的企業(yè)需要像攻擊者那樣思考.這意味著企業(yè)需要研究最新的攻擊方法和許多大型企業(yè)正用來保障其Web2.0應用程序安全的方法措施
7.先下手為強:由于經(jīng)常在Web2.0中發(fā)現(xiàn)漏洞,因此及時更新是至關重要的.用戶不應當指望Web 2.0廠商和服務供應商發(fā)出警告,用戶必須保持前瞻性.這意味著管理員必須定期檢查應用程序和相關工具的漏洞,并研究主要安全廠商所發(fā)布的公告
8.執(zhí)行安全審核:安全審核總是一個好主意,不過Web2.0應用程序的日益漫延造就了一些新的并通常是隱藏的漏洞,安全審核變得更加關鍵
9.對單位的職工進行教育:雇員特別是IT工作人員,需要清楚地知道由Web2.0引起的安全威脅.可以采取雇員手冊、標語、時事通訊、網(wǎng)站、交互式游戲等方式來教育工作人員,使每個人都警惕并防范Web2.0的危險
雖然Web2.0的安全性有待于進一步提高,但企業(yè)在實施過程中完全可以采取多樣化的技術手段來使其更加穩(wěn)健,更加安全.
