网络化信息化时代随之到来技术

互联网时代，网络与信息技术与人们的生活“形影不离”。正面思考的话，快速发展的信息科技和互联网确实给人们的生活带来了很多好的改变，但是天下没有尽善尽美的事物，对于信息科技和互联网同样如此。在信息化、网络化不断深入的今天，个人隐私、企业机密甚至国家信息安全都遭遇了不同程度的危害，而其中很大一部分都是来自网络。究竟web环境下的数据安全该如何处理？到底有什么方法能保证数据安全脱身呢？下面就让信息安全领域的专家山丽网安来告诉您吧。

安全防护 策略先行

在WEB应用程序安全问题上保持前瞻性和主动性应当成为IT的头等大事。如果WEB应用程序遭受破坏，企业往往会遭受极大损失。对于大型企业，丢失的不仅仅是金钱，更重要的是声誉的丧失。重要WEB应用程序经常遭受攻击会使客户和公司的CEO不满。不管是否可以避免攻击，IT往往会遭受谴责，虽然这未必公平。

在CIO和CFO们谈到“安全”时，他们往往会为高额费用而震惊。但是，企业未必需要将大把的金钱用于强化WEB应用程序。要赢得WEB安全的保卫战，企业需要打“组合拳”：将相关解决安全问题的最佳方法和工具结合起来。

你不必请一位资深的CISSP来加固你的WEB应用程序，也不必花太多金钱。但成功地强化企业的WEB应用确实需要花费时间、努力和一些交涉技巧(你对安全的担忧和关注在项目经理眼中也许就是在大惊小怪)。在固化企业的WEB应用程序时,你需要综合利用过程、工具、优化及最佳方法。一般说来，这些策略就是关于网络、与应用程序和过程相关的性质等。

由外而内：网络层防护是安全防护的先头部队

WEB应用的最佳方法应从网络层开始，从WEB应用程序的开发到投入使用的整个过程中，都要将安全性作为头等大事。而在网络层的防护中，主要有以下几种形式：

如果你是安全专家，可能会觉得此方法有点儿小儿科。但是，并非人人都是安全专家，而且即使最好的安全专家有时也会犯困。将WEB服务器放在DMZ 不会从技术上使WEB应用或网站更安全，但是一旦WEB服务器被成功攻击或破坏，该方法可以保护基础架构的其余部分免受攻击。

如果企业网站或WEB应用程序在自己的服务器上，那么，外围防御每天都会遭受各种扫描。你无法阻止攻击者探测外围的开放服务，但你可以在攻击者成功损害了一台WEB服务器后，使他难以造成更大的危害。将面向外部的WEB服务器放在DMZ中的要旨在于，将攻击者限制在一个较小的范围内，在一台服务器被攻克后，这样做可以限制其危害。例如，如果你将所有进入的连接都进行地址转换，使其到达内部网络，那么黑客就可以成功地利用未打补丁的漏洞或使用SQL注入实现特权提升，从而可以无限制地访问内部网络。

减少WEB应用程序攻击面的最简捷的方法之一就是保证丢弃所有进入WEB服务器群端口的连接。如果你暴露了一个WEB应用，就没有理由在WEB服务器上允许RDP，也没有理由允许ICMP。暴露WEB服务器上的其它TCP/UDP服务可能需要测试或诊断，但除却TCP的80端口或44 端口，没有理由允许任何进入的连接到达WEB服务器。安全管理专家应经常检查防火墙的规则的异常情况，特别是如果企业有几个人在管理防火墙，经常审查就尤其重要了。

脆弱的WEB应用程序会将企业暴露在不必要的风险中。将WEB服务器部署在Linux而非Windows上未必会更安全。配置错误的Apache部署与配置错误的IIS一样脆弱。同样的理论也适用于底层的操作系统。

事实上，如果你仅仅固化WEB服务器自身却没有强化底层的操作系统，那么你就不可能覆盖攻击WEB应用程序的所有漏洞。正如企业应当过滤防火墙上所有不必要的协议一样，移除那些对于WEB应用程序非必需的系统服务也非常重要。

例如，Windows Server 2008的默认部署包含50个正在运行的服务，而Windows Server Core的默认部署仅包含 6个服务。虽然IIS会增加少量服务，但是借助用于部署WEB服务器的方法来进行简单优化，就可以极大地减少WEB应用程序的攻击面。当然，在Linux中，禁用一些不必要的正在运行的进程从而强化底层操作系统，也可以达到同样的优化目的。花时间从服务器中清除不必要的服务是改善WEB应用程序安全状况的最简捷步骤。

不管企业的变更控制过程如何严格，业务的自然过程(无论是否受到控制)都会产生新漏洞。这些漏洞有可能是防火墙变化的结果，也可能是更新WEB应用程序或底层操作系统、新发现的零日漏洞、错误配置的结果。

新发现漏洞的原因并不重要，因为最重要的问题是能够发现并解决安全问题。不幸的是，你不能依靠某个安全专家甚至不能依靠某个安全团队，去发现WEB应用程序环境中的漏洞。在一个WEB应用程序投入使用时，发现新漏洞的责任最好交给可以主动发现安全问题并在问题发时生发出警告的自动化工具。

没有什么可以替代一个健全的漏洞扫描器，我们也没有理由不去使用这种工具，因为这种扫描器便宜且易于部署。

从网络和操作系统的观点看，许多问题都会把WEB服务器置于风险中。但管理员做的最糟糕的事情之一就是部署了IIS等产品后，就觉得“完活”了。保障IIS的安全本身就身就是一项艰巨的任务，不过，为使WEB 应用程序成为一个难以攻克的目标，你不必成为一个IIS权威。你只需要理解哪个WEB应用程序服务器的默认配置会增加风险，以及如何快速解决这些问题就可以了。

攻击者非常熟悉IIS，所以他们知道默认的IIS站点是放在c:\inetpub\wwwroot目录下。在IIS中，WEB应用程序运行在用以隔离应用程序从而实现更好安全的应用程序池中。不过，狡猾的攻击者知道默认的应用程序运行在网络服务(Network Service)账户下。网络服务(Network Service)账户拥有的权利超过了用户给予应用程序池的权利。所以，禁用默认配置并创建一个由新账户保障其安全的新应用程序池是最简单有效的安全建议。攻击者还知道，默认情况下，应用程序池运行在iUSR_Host_Name账户下。如果攻击者可以发现WEB服务器的主机名，就可以知道答案并关闭iUSR账户，并通过发送假冒的认证请求而攻克WEB服务器。

为保障IIS服务器的安全，管理员应当做的事情有很多，但是保留WEB服务器的默认设置是一个很容易避免的安全问题。

由内而外：数据本源防护是WEB信息安全的强力后盾

虽然网络层防护是WEB信息安全防护的第一线，但是想要以上那些手段和形式充分发挥效果，后者至少保证“后院不起火”，那么本源的，对于数据层的安全防护就是关键。而面对现代多样的安全威胁和防护需求，采用国际先进的多模加密技术进行防护无疑是最佳的选择。

多模加密技术采用对称算法和非对称算法相结合的技术，在保证了数据本源得到高质量加密防护的同时，其多模的特性能让用户自主地选择加密模式，从而能更灵活地应对各种防护需求。而正是这种灵活性，使得它可以配合现代多样的WEB防护需求达到里外双重防护的效果。而作为这项技术使用的典型代表，山丽的防水墙系列也充分利用的多模加密技术的特性，试图为企业打造从里到外，具有针对性的WEB防护体系。

总体而说，WEB应用程序的安全并不是一个那么难的目标。虽然许多安全项目的成功存在于安全专家的手中，实现强健的WEB应用程序的安全要求企业各方的协同努力。而客观的讲，虽然WEB的信息安全是针对网络层，但是只要那些威胁的对象还是数据本身，采用具有针对性的加密软件进行本源防护总是在防护过程中最好的助力！

高血压患者吃什么药效果好

经间期出血的中药治疗

七个月宝宝消化不好怎么调理