中国信息化
设为首页
加入收藏
简体中文
返回旧版
网站首页
关于协会
协会简介
协会章程
协会机构
分支机构
协会媒体
协会大事记
联系我们
协会要闻
协会工作
活动预告
协会会员
会员加盟
特约副会长
常务理事单位
理事单位
会员单位
通知公告
业界动态
智慧社会
智慧农业
智慧生活
智慧教育
智慧医疗
数字化转型
动态
理论
IT与服务
IT运维
信息服务
国际资讯
动态
理论
会展信息
地方动态
新闻动态
经验做法
信息安全
行业新闻
安全方案
专家观点
最新观点
信息化研究
政务信息化
动态
理论
新一代信息技术
移动&物联
大数据
云计算
人工智能
工业互联网
当前位置:
首页
信息安全
安全方案
Web安全性问题层次分析
来源:
作者:
发布时间: 2009-01-07
大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。
以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:
1、网络安全。如防火墙、路由器、网络结构等相关的安全问题;
2、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全,象Apache/OpenSSL/Weblogic等本身的安全性漏洞;
3、Web应用程序安全。具体应用程序的安全性漏洞,比如:某网站邮件系统因为存在脚本安全性问题,导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的,其密码与帐号信息被人窃取。
说到这,大家应该清楚,不管你是在任何地方看到有关计算机安全性问题的方方面面,都逃不出这三大部分,同时我也要向读者声明一下:在这里,我主要是给大家陆续的介绍上述第三部分内容,即Web应用程序安全性相关知识与技能。
据权威搜索引擎公司统计数据显示,目前70%以上的网站,或多或少的存在安全隐患,这里的安全隐患指的就是Web应用程序的安全。至于网络、系统与服务的安全性问题,我个人认为它的生存周期基本上是:发现->上报软件开发商->打补丁->下载更新程序。作为我们用户,及时的给系统与服务打上最新的补丁,配合一定的防火墙安全策略,是可以基本保证其安全的。但是Web应用程序基本上是每个组织各持一套自己的程序,一切问题都必需自己动手去解决,恰恰因为此种特性,才导致目前运行于互联网上的Web应用的安全性普遍存在。为什么呢?
因为只有少数组织或个人有能力驾驭网络安全相关的技术与经验,而绝大多数的即使是专业做网站开发的公司也不一定有知识有能力或有意识去考虑安全性问题。还要向读者罗嗦一点是的:安全需要意识,没有安全意识的组织与个人,是无法保证其开发出的产品的安全性的。这一点很重要,很多人只是从媒体上看到听到一些安全性问题,总觉得安全性问题离自己很遥远,其不知安全性问题正在对其造成越来越严重的破坏……。
前不久上海有一位朋友,银行卡的资金不明转出,且被人取走,报警后,经警方多方调查跟踪,最络查明:其经常使用网上银行的笔记本电脑中了“灰鸽子”木马,导致其操作电脑的行为及其电脑上的现在资源完全暴露无遗。有人要问:“灰鸽子”是如何跑到其计算机上的呢?当然进去的途径有多种,比如我们是网友,我通过QQ发给你让你运行一下;或者我向你推荐一款你比较感兴趣的免费软件,该软件内部已经绑定了“灰鸽子”木马程序……,还有一点很重要的就是通过网页来传播。比如通过脚本注入的方式,强行的不停的提示你下载并运行该程序;通过上传漏洞上传到一个你信任的网站上,当它提示你下载并安装时,你发现它来自你信任的网站,于是就接受了……
总之,Web应用程序是我们接触最多最有可能通过带来安全隐患的载体。
上一篇:
NGN网络安全面面观
下一篇:
为了信息时代的战略安全
地方动态
全国大学生创新发明大赛暨“英创工程”启动
政务热线建设发展与战略管理专题研修班在长沙圆满结训
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
杜链同志追思会在京举办
协会要闻
通知公告
•
全国大学生创新发明大赛暨“英创工程”启动
•
中国信息协会会长王金平一行赴通用航空分会调研
•
中国信息协会会长王金平一行赴《中国信息界》杂志社调研
•
中共中央党史和文献研究院第三研究部到协会调研
•
中国信息协会会长参加“星火行动”中小企业赋能计划第三届发布活动
•
政务热线建设发展与战略管理专题研修班在长沙圆满结训
•
关于举办2024数字政府论坛的通知
•
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
•
关于举办中国信息协会第四届信息技术服务业应用技能大赛大数据分析技术与应用(档案信息化专业方向)赛项的通知
•
中国信息协会组织产业互联网企业家赴东南亚考察
•
免责声明
•
第二十五届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十四届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十三届中国专利奖拟推荐项目公示
•
关于朱玉同志引咎辞职的通知
•
声明
•
关于撤销中国信息协会信息化发展研究院的通知
•
关于取消“2021年国有及大型企业数字化转型技术与应用大会”的通知