随着Web 2.0时代的到来,Web应用已经无处不在,Web应用安全问题也逐渐凸显出来。根据SANS TOP20统计数据及OWASP TOP10应用安全漏洞统计数据显示,2005年是网络安全的一个分水岭,2005年之前,网络安全问题主要是反映在操作系统及网络层的相关漏洞等方面。随着微软对安全问题的重视以及SDL在微软开发过程中的普及应用,2005年以后网络安全问题开始转向应用安全领域,特别是Web应用相关的安全漏洞问题表现得尤为突出。
通过上网搜索我们不难发现,近段时间,涉及个人隐私的Web泄密事件在全国各地时有发生。
《羊城晚报》12月7日报道:近日,有网友将一份涉及广州番禺某楼盘8000多位业主信息的文档上传到国内一著名网站中,引起社会关注。尽管通过这些信息,未必就能找到业主本人,但仍有业主因信息被泄露不堪滋扰。
《燕赵都市报》12月3日报道:河北唐山一些新楼盘还未交房,已有不少业主频繁收到推销装修服务的电话、短信。
《齐鲁晚报》11月30日报道:山东省烟台很多市民收到一条陌生号码发来的短信,短信发送者自称是国家税务总局的工作人员,通知车主国家的汽车消费税率下调,按规定要退给车主一部分汽车消费税,要车主按照对方提供的操作程序接受退税。当记者按照短信中提供的号码给对方打去电话报出车牌时,对方竟然能详细说出该车牌号的车型、车主姓名、购车时间以及车主的身份证号码。
只要在国内某著名网站键入关键字“业主资料”,立马就会显示出海量信息。其中,包括北京、上海的一些楼盘业主名单文件也赫然在列。其中一份《华都大厦业主名单》除了标示了业主的住址、电话外,还在表格外标注了电话有无人接听等信息。通过进一步搜索,甚至还能发现有网民在网络上从事业主资料买卖的交易记录。例如:某网民留下这样的信息: “求深圳楼盘的业主资料,我们做美容美体的,想在店面周围的小区里面宣传一下,要入住了的小区。”下面就有人回应称:“深圳各区的业主资料我们都有,在此不能一一列举,需要的话您可以加我们QQ,选择您需要的资料。”回复之后,还跟着一大串深圳楼盘的名录……
为何如此机密的资料都能被获取和随意传播?这不得不让人联想到相关企业内部资料泄密的问题。
尽管我们的互联网生活已经陷入了Web应用漏洞造成的安全阴影中,但当前大多数企业用户却对Web应用的安全风险没有引起足够的重视。以浏览器来说,当前浏览器的交互性应用,使得浏览器已经变成了众多应用的承载者。政府、军队和军工单位、金融机构、电信运营商、房产物业公司等企、事业单位、政府机构的信息系统的浏览器端通常都含有大量的用户信息,由于监管不严或者措施滞后,易导致大量用户信息非正常地散发或泄露于互联网,如果不做好浏览器防护措施,这些部门与企业掌管的大量个人敏感信息就极有可能被第三方轻易窃取,后患无穷!企业必须充分认识到各种Web应用的风险,并采取必要的手段来避免危险的安全攻击。到底有没有好的办法阻止类似事件再次发生呢?首先我们来看一下当前网页内信息保护的途径:
第一种,在网页上加上Javascript控制脚本,但是这纯粹是利用脚本技术控制浏览器的形态,用户只需要在本地处理一下进程就可以破解这种控制方式。
第二种,利用 Flash播放器技术显示数据,达到防复制的效果,但可以使用缓存、打印、截屏来获取结果。
第三种,利用插件的形式禁用浏览器的某些功能,浏览器端可以使用卸载插件软件恶意卸载。
我们认为,以上几种方法只能部分地解决网页上信息泄露、再次使用或扩散等问题,而且这几种技术本身的安全性、防攻击和防破坏能力有限,还不能从根本上解决网页信息泄露的问题。对于企业的Web安全防护需要视具体情况具体分析,但主要应遵循以下原则:
(1)不能影响Web应用的正常运行及使用;
(2)Web安全防护不能影响Web服务的性能及可用性;
(3)Web安全防护不要对现有系统进行太多变更;
(4)尽量不要在Web服务器上安装插件,以免影响Web服务器的稳定性及安全性;
(5)需要在安全性和业务连续性保证方面取得一个较好的平衡点。
本来浏览器防护技术就是互联网安全领域里一项全新的课题,国内外针对此项技术研发出的产品更可谓凤毛麟角。然而,在充分考察了企业的Web安全防护主要遵循原则,排除当前通常网页内信息保护途径的缺陷之后,我们惊喜的发现:一直致力于数据信息泄露防护领域的虹安,推出的DLP浏览器数据防护系统,简称“BDP”(Browser Data Protect)在Web泄露方面取得的成就给了我们新的启示。虹安研发的浏览器数据泄露防护系统,是一个增强Web应用数据呈现安全性的工具。通过积极安全模式,控制Web应用系统数据在浏览器端呈现后的使用权限;包括授权认证,浏览器响应策略,控制隐藏表单数据域,COOKIE保护,禁止网页复制,打印等操作。方便的解决各种B/S架构的应用系统,如各类OA系统、CRM、ERP等,服务器数据经过客户端浏览器呈现时的信任和泄露问题。不仅使浏览器自身的防护能力和抗攻击性得到大大地加强,还不会影响原有系统稳定性和安全性。
一方面,我们关注互联网应用如何变得更加丰富与便捷。另一方面,在丰富与便捷的背后却也引发了不堪重负的Web信息泄露问题。浏览器又在互联网应用与现代企业的办公环节中扮演着不可或缺的角色,因此,专业的DLP浏览器数据防护系统理所当然成为掌管大量个人敏感信息的社会公共部门与各企、事业单位的必然选择。对致力于Web应用安全领域的企业而言,如何打造出更有效的网页数据防泄露产品也是一种技术方向的指引。