随着对Web2.0开发和部署的日益深化,企业、开发人员和用户都对基于Web 的应用抱有很高的期望.Web2.0确实包括了许多优点,包括一些新型的应用程序、成本节约和更精简的架构等.但Web2..0也带来了些许不太令人喜爱的东西:新的安全性威胁
保护Web2.0服务及其用户避免在线的网络攻击应当成为任何利用下一代Web技术企业的重要目标.为此,笔者推荐如下九条增强Web2.0安全性的锦囊妙计,而且保证其简易可行
1.检查Web应用程序的漏洞:那些自己创建Web2.0应用程序、链接、工具的企业通常并没有进行严格的测试,有的甚至是草率的.应当鼓励开发人员设计更聪明的程序,并要检查其程序中漏洞,用以避免被潜在的攻击者所利用
2.保持计算机的最新:此处指的是使计算机软件能够及时更新.一定要保障激活微软的Windows更新、Mac OS更新、即时通信(IM)程序、VoIP应用程序以及其它Web2.0程序的及时更新.这是防范Web2.0漏洞和在线攻击的最简易方法之一
3.安装防御工具:企业可以考虑部署内容监视和过滤技术,可以使用URL过滤器、应用程序过滤器、应用程序控制和其它的能够阻止Web2.0威胁的工具.企业应当建立Web2.0技术使用的可接受策略,并采取措施管理博客所带来的威胁.还应当决定如何应对知识产权、商业秘密以及Web2.0应用程序所引起的其它法律问题
4.禁止示例代码的使用.Web2.0的开发人员,迫于尽快开发应用程序的压力,经常求助于示例代码,以应对特定的程序设计难题.这种做法隐藏的问题是,这种共享的代码可能会包括安全漏洞,而开发人员可能并没有认识到
5.将安全逻辑建立在服务器上:为了提高装载和执行速度,许多基于Web的应用程序将安全性交给客户端.这种方法中存在问题是,攻击者们能够通过其自己设计的软件绕过客户端,并进而直接攻击未受保护的服务器.管理员应当考虑到这种方案的后果,应当认识到安全性永远高于速度,因此请将安全机制建立在服务器上吧
6.像攻击者那样思考:开发或修改Web2.0应用程序的企业需要像攻击者那样思考.这意味着企业需要研究最新的攻击方法和许多大型企业正用来保障其Web2.0应用程序安全的方法措施
7.先下手为强:由于经常在Web2.0中发现漏洞,因此及时更新是至关重要的.用户不应当指望Web 2.0厂商和服务供应商发出警告,用户必须保持前瞻性.这意味着管理员必须定期检查应用程序和相关工具的漏洞,并研究主要安全厂商所发布的公告
8.执行安全审核:安全审核总是一个好主意,不过Web2.0应用程序的日益漫延造就了一些新的并通常是隐藏的漏洞,安全审核变得更加关键
9.对单位的职工进行教育:雇员特别是IT工作人员,需要清楚地知道由Web2.0引起的安全威胁.可以采取雇员手册、标语、时事通讯、网站、交互式游戏等方式来教育工作人员,使每个人都警惕并防范Web2.0的危险
虽然Web2.0的安全性有待于进一步提高,但企业在实施过程中完全可以采取多样化的技术手段来使其更加稳健,更加安全.
