隨著防火牆和補丁管理已逐漸走向規範化,各類網路設施應該是比以往更完全。那麼Web網站安全中需要澄清哪些誤解呢?一起來看看吧!
一、“Web網站使用了SSL加密,所以很安全”
單靠SSL加密無法保障網站的安全。網站啟用SSL加密後,表明該網站傳送和接收的資訊都經過了加密處理,但是SSL無法保障儲存在網站裡的資訊的安全。許多網站採用了128位SSL加密,但還是被黑客攻破。此外,SSL也無法保護網站訪問者的隱私資訊。這些隱私資訊直接存在網站伺服器裡面,這是SSL所無法保護的。
二、“Web網站使用了防火牆,所以很安全”
防火牆有訪問過濾機制,但還是無法應對許多惡意行為。許多網上商店、拍賣網站和BBS都安裝了防火牆,但依然脆弱。防火牆通過設定“訪客名單”,可以把惡意訪問排除在外,只允許善意的訪問者進來。但是,如何鑑別善意訪問和惡意訪問是一個問題。訪問一旦被允許,後續的安全問題就不是防火牆能應對了。
三、“漏洞掃描工具沒發現任何問題,所以很安全”
自1990年代初以來,漏洞掃描工具已經被廣泛使用,以查詢一些明顯的網路安全漏洞。但是,這種工具無法對網站應用程式進行檢測,無法查詢程式中的`漏洞。
漏洞掃描工具生成一些特殊的訪問請求,傳送給Web網站,在獲取網站的響應資訊後進行分析。該工具將響應資訊與一些漏洞進行對比,一旦發現可疑之處即報出安全漏洞。目前,新版本的漏洞掃描工具一般能發現網站90%以上的常見安全問題,但這種工具對網站應用程式也有很多無能為力的地方。
四、“網站應用程式的安全問題是程式設計師造成的”
程式設計師確實造成了一些問題,但有些問題程式設計師無法掌控。
比如說,應用程式的原始碼可能最初從其它地方獲得,這是公司內部程式開發人員所不能控制的。或者,公司可能會請一些離岸的開發商作一些定製開發,與原有程式整合,這其中也可能會出現問題。或者,一些程式設計師會拿來一些免費程式碼做修改,這也隱藏著安全問題。再舉一個極端的例子,可能有兩個程式設計師來共同開發一個程式專案,他們分別開發的程式碼都沒有問題,安全性很好,但整合在一起則可能出現安全漏洞。
很現實地講,軟體總是有漏洞的,這種事每天都在發生。安全漏洞只是眾多漏洞中的一種。加強員工的培訓,確實可以在一定程度上改進程式碼的質量。但需要注意,任何人都會犯錯誤,漏洞無可避免。有些漏洞可能要經過許多年後才會被發現。
五、“我們每年會對Web網站進行安全評估,所以很安全”
一般而言,網站應用程式的程式碼變動很快。對Web網站進行一年一度的安全評估非常必要,但評估時的情況可能與當前情況有很大不同。網站應用程式只要有任何改動,都會出現安全問題的隱患。
網站喜歡選在節假日對應用程式進行升級,聖誕節就是很典型的一個旺季。網站往往會增加許多新功能,但卻忽略了安全上的考慮。如果網站不增加新功能,這又會對經營業績產生影響。網站應該在程式開發的各個階段都安排專業的安全人員。
