“我们使用了防火墙”、“我们使用了网路脆弱扫描工具”、“我们使用了 SSL 技术”、“我们每个季度都会进行渗透测试”……所以,“我们的套用是安全的”。现实真是如此吗?让我们一起来看一下 Web 套用安全的全景图。
图 2: 信息安全全景信息安全全景
在企业 Web 套用的各个层面,都会使用不同的技术来确保全全性。为了保护客户端机器的安全,用户会安装防病毒软体;为了保证用户数据传输到企业 Web 伺服器的传输安全,通信层通常会使用 SSL(安全套接层)技术加密数据;企业会使用防火墙和 IDS(入侵诊断系统)/IPS(入侵防御系统)来保证仅允许特定的访问,不必要暴露的连线埠和非法的访问,在这里都会被阻止;即使有防火墙,企业依然会使用身份认证机制授权用户访问 Web 套用。
但是,即便有防病毒保护、防火墙和 IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟 Web 套用的目的是为用户提供服务,保护措施可以关闭不必要暴露的连线埠,但是 Web 套用必须的 80 和 443 连线埠,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。这里需要注意的是,Web 套用是由软体构成的,那幺,它一定会包含缺陷(bugs),这些 bug 就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏 Web 套用中的重要信息。
信息安全全景