隨著對Web2.0開發和部署的日益深化,企業、開發人員和用戶都對基于Web 的應用抱有很高的期望.Web2.0確實包括了許多優點,包括一些新型的應用程序、成本節約和更精簡的架構等.但Web2..0也帶來了些許不太令人喜愛的東西:新的安全性威脅
保護Web2.0服務及其用戶避免在線的網絡攻擊應當成為任何利用下一代Web技術企業的重要目標.為此,筆者推薦如下九條增強Web2.0安全性的錦囊妙計,而且保證其簡易可行
1.檢查Web應用程序的漏洞:那些自己創建Web2.0應用程序、鏈接、工具的企業通常并沒有進行嚴格的測試,有的甚至是草率的.應當鼓勵開發人員設計更聰明的程序,并要檢查其程序中漏洞,用以避免被潛在的攻擊者所利用
2.保持計算機的最新:此處指的是使計算機軟件能夠及時更新.一定要保障激活微軟的Windows更新、Mac OS更新、即時通信(IM)程序、VoIP應用程序以及其它Web2.0程序的及時更新.這是防范Web2.0漏洞和在線攻擊的最簡易方法之一
3.安裝防御工具:企業可以考慮部署內容監視和過濾技術,可以使用URL過濾器、應用程序過濾器、應用程序控制和其它的能夠阻止Web2.0威脅的工具.企業應當建立Web2.0技術使用的可接受策略,并采取措施管理博客所帶來的威脅.還應當決定如何應對知識產權、商業秘密以及Web2.0應用程序所引起的其它法律問題
4.禁止示例代碼的使用.Web2.0的開發人員,迫于盡快開發應用程序的壓力,經常求助于示例代碼,以應對特定的程序設計難題.這種做法隱藏的問題是,這種共享的代碼可能會包括安全漏洞,而開發人員可能并沒有認識到
5.將安全邏輯建立在服務器上:為了提高裝載和執行速度,許多基于Web的應用程序將安全性交給客戶端.這種方法中存在問題是,攻擊者們能夠通過其自己設計的軟件繞過客戶端,并進而直接攻擊未受保護的服務器.管理員應當考慮到這種方案的后果,應當認識到安全性永遠高于速度,因此請將安全機制建立在服務器上吧
6.像攻擊者那樣思考:開發或修改Web2.0應用程序的企業需要像攻擊者那樣思考.這意味著企業需要研究最新的攻擊方法和許多大型企業正用來保障其Web2.0應用程序安全的方法措施
7.先下手為強:由于經常在Web2.0中發現漏洞,因此及時更新是至關重要的.用戶不應當指望Web 2.0廠商和服務供應商發出警告,用戶必須保持前瞻性.這意味著管理員必須定期檢查應用程序和相關工具的漏洞,并研究主要安全廠商所發布的公告
8.執行安全審核:安全審核總是一個好主意,不過Web2.0應用程序的日益漫延造就了一些新的并通常是隱藏的漏洞,安全審核變得更加關鍵
9.對單位的職工進行教育:雇員特別是IT工作人員,需要清楚地知道由Web2.0引起的安全威脅.可以采取雇員手冊、標語、時事通訊、網站、交互式游戲等方式來教育工作人員,使每個人都警惕并防范Web2.0的危險
雖然Web2.0的安全性有待于進一步提高,但企業在實施過程中完全可以采取多樣化的技術手段來使其更加穩健,更加安全.
