據《晶報》12月14日報道:一份“深圳千萬富豪名單”驚現網絡,引起市民強烈關注。該文檔共62頁,涉及1400多位市民。文檔以個人資產多少排列,從2000萬以上開始排列遞減到500萬以上,內容包括“富豪”的姓名、住址、手機號碼。記者隨機抽取了多個電話進行調查,發現除個別電話停機或無人接聽外,大部分名單無誤。 這份“富豪榜”于12月8日發布,目前,仍可在百度文庫下載,只是需要20個積分。即便是不能下載,但也絲豪不影響文檔內容的查閱,因而瀏覽量和下載量仍在繼續攀升。截至12月13日,已瀏覽了227次,下載129次。
只要在國內某著名網站鍵入關鍵字“業主資料”,立馬就會顯示出海量信息。其中,包括北京、上海的一些樓盤業主名單文件也赫然在列。其中一份《華都大廈業主名單》除了標示了業主的住址、電話外,還在表格外標注了電話有無人接聽等信息。通過進一步搜索,甚至還能發現有網民在網絡上從事業主資料買賣的交易記錄。例如:某網民留下這樣的信息: “求深圳樓盤的業主資料,我們做美容美體的,想在店面周圍的小區里面宣傳一下,要入住了的小區。”下面就有人回應稱:“深圳各區的業主資料我們都有,在此不能一一列舉,需要的話您可以加我們QQ,選擇您需要的資料。”回復之后,還跟著一大串深圳樓盤的名錄……
為何如此機密的資料都能被獲取和隨意傳播?這不得不讓人聯想到相關企業內部資料泄密的問題。
隨著Web 2.0時代的到來,Web應用已經無處不在,Web應用安全問題也逐漸凸顯出來。根據SANS TOP20統計數據及OWASP TOP10應用安全漏洞統計數據顯示,2005年是網絡安全的一個分水嶺,2005年之前,網絡安全問題主要是反映在操作系統及網絡層的相關漏洞等方面。隨著微軟對安全問題的重視以及SDL在微軟開發過程中的普及應用,2005年以后網絡安全問題開始轉向應用安全領域,特別是Web應用相關的安全漏洞問題表現得尤為突出。
盡管我們的互聯網生活已經陷入了Web應用漏洞造成的安全陰影中,但當前大多數企業用戶卻對Web應用的安全風險沒有引起足夠的重視。以瀏覽器來說,當前瀏覽器的交互性應用,使得瀏覽器已經變成了眾多應用的承載者。政府、軍隊和軍工單位、金融機構、電信運營商、房產物業公司等企、事業單位、政府機構的信息系統的瀏覽器端通常都含有大量的用戶信息,由于監管不嚴或者措施滯后,易導致大量用戶信息非正常地散發或泄露于互聯網,如果不做好瀏覽器防護措施,這些部門與企業掌管的大量個人敏感信息就極有可能被第三方輕易竊取,后患無窮!企業必須充分認識到各種Web應用的風險,并采取必要的手段來避免危險的安全攻擊。到底有沒有好的辦法阻止類似事件再次發生呢?首先我們來看一下當前網頁內信息保護的主要途徑:
第一種,在網頁上加上Javascript控制腳本,但是這純粹是利用腳本技術控制瀏覽器的形態,用戶只需要在本地處理一下進程就可以破解這種控制方式。
第二種,利用 Flash播放器技術顯示數據,達到防復制的效果,但第三方可以使用緩存、打印、截屏來獲取結果。
第三種,利用插件的形式禁用瀏覽器的某些功能,但瀏覽器端可以使用卸載插件軟件惡意卸載,仍不能有效防止信息泄露。
我們認為,以上幾種方法只能部分地解決網頁上信息泄露、再次使用或擴散等問題,而且這幾種技術本身的安全性、防攻擊和防破壞能力有限,不能從根本上解決網頁信息泄露的問題。對于企業的Web安全防護需要視具體情況具體分析,但主要應遵循以下原則:
(1)不能影響Web應用的正常運行及使用;
(2)Web安全防護不能影響Web服務的性能及可用性;
(3)Web安全防護不要對現有系統進行太多變更;
(4)盡量不要在Web服務器上安裝插件,以免影響Web服務器的穩定性及安全性;
(5)需要在安全性和業務連續性保證方面取得一個較好的平衡點。
本來瀏覽器防護技術就是互聯網安全領域里的一項全新課題,國內外針對此項技術研發出的產品更可謂鳳毛麟角。然而,在充分考察了企業的Web安全防護主要遵循原則,排除當前通常網頁內信息保護途徑的缺陷之后,虹安推出的DLP瀏覽器數據防護系統,簡稱“BDP”(Browser Data Protect)在Web泄露方面取得的成就給了我們新的啟示。虹安研發的瀏覽器數據泄露防護系統,是一個增強Web應用數據呈現安全性的工具。通過積極安全模式,控制Web應用系統數據在瀏覽器端呈現后的使用權限;包括授權認證,瀏覽器響應策略,控制隱藏表單數據域,COOKIE保護,禁止網頁復制,打印等操作。方便的解決各種B/S架構的應用系統,如各類OA系統、CRM、ERP等,服務器數據經過客戶端瀏覽器呈現時的信任和泄露問題。不僅使瀏覽器自身的防護能力和抗攻擊性得到大大地加強,還不會影響原有系統穩定性和安全性。
一方面,我們關注互聯網應用如何變得更加豐富與便捷。另一方面,在豐富與便捷的背后卻也引發了不堪重負的Web信息泄露問題。瀏覽器又在互聯網應用與現代企業的辦公環節中扮演著不可或缺的角色,因此,專業的DLP瀏覽器數據防護系統理所當然成為掌管大量個人敏感信息的社會公共部門與各企、事業單位的新選擇。
