Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持。
问:我们刚完成一个WEB应用程序的构建,我想知道你推荐使用哪些安全设备来保护它的正常运行。
答:在对你想要尝试保护的数据和设备充分了解前,我是不可能对你所需要的外围网络和应用程序数据安全设备做出详细具体的建议的。你可以参照一些基本步骤来为任何一种WEB应用程序所必需的安全特性准备一个简短的采购清单。
首先,将WEB应用程序所要使用到的数据进行分类是非常重要的,它将会存储在哪?它是如何进行存取和处理的?下一步,识别及评估这些数据以及处理这些数据的系统及应用程序的风险,这个过程被称做威胁建模,应该在应用程序设计过程中实现。通过从一个攻击者的角度来分析一个WEB应用程序,你将会对如下问题有更好的理解:
1.它是如何受到攻击的?
2.它为什么会受攻击?
3.如何最大程度上减轻任何可识别的风险?
这个过程也可以帮助完善文档材料来识别和证明这个WEB应用程序的安全需求。
这些WEB应用程序的安全需求需要和整个组织全局性的安全策略相统一,这个全局性的安全策略定义了如何合法地保护这些数据的目标,基于此策略来决定如何最好地保护WEB应用程序,以防止受到任何可识别的威胁和降低敏感信息的风险。有一点我是非常肯定的,那就是如果重写部分应用程序的代码,逻辑及功能可以去除部分的漏洞,这样的努力应该通过附加的安全设备来进行补充,但是你的政策和策略必须明确一点,那就是你需要这些设备用来保护你的哪些数据以及用来防范哪些威胁。
当完成一个WEB应用程序后,你在查看用于减轻威胁的设备时,记得复查下它们用来保护防范哪种类型的威胁。有一些设备同时提供多种威胁的防护,比如病毒,间谍软件和恶意软件,而其它设备可能会着重于一种特定威胁,比如对即时聊天通讯上进行安全保护。你需要多加关注各家厂商在一种或多种安全领域所用到的这些技术覆盖的深度和方法。对应用程序数据带来多种攻击的一个常见问题是,它们经常在合法的客户端请求和响应上进行反复尝试,SQL注入是一个很经典的例子,因此传统的外围保护技术,比如包过滤防火墙已经不再有足够的保护能力。
性能和可扩展性是另两个重要的考量点,某些安全设备可能受限于每小时可扫描的事务量,而另一些设备则可能有网络限制或仅对很小范围内的一些应用程序协议提供保护,我认为,何时选择一个安全设备应该先回答如下的关键问题:
1.基于公司层面的安全策略目标和需求而言,它需要达到哪些目的?
2.它对于现有网络的适应性如何?就目前所所拥有的技术力量能否正确有效地使用它?

3.它将会对现存设备及用户造成什么影响,会造成怎么样的损失,比如设备重新采购,配置,人员培训所带来的花费等。
4.它会提供哪些额外的服务?
很明显地,用于防护和处理数据的所有设备需要正确地安装。安装过程需要遵循一个包括四个步骤的安全生命周期:即安全、监控、测试和改进。这是一个持续的过程,一旦按照此流程完成,它将会在一个固定的保护周期中,不停地在这四个步骤中循环。在任何一台设备连接上生产网络前,确保它已经被加固过,打过补丁,同时进行进一步的安全配置。
配置期间请确保参考你们自己的安全策略,用来保证这个设备被正确地配置以完成相应的任务,并且符合公司的安全方针。既然花了时间在选择和安装网络防护设备上,那么实施一个渗透测试是非常重要的,它可以确保这些设备的确按计划提供了这些保护。通过模拟这样的攻击,你可以评估你的站点是否还存在潜在的漏洞。
记住,你必须将基于渗透测试的结果所作的任何变更记录下来供以后参考,而且要确保配置没有被错误地改动,同时也必须做好对所有网络安全设备的物理访问控制和逻辑访问控制。如果仅限于依靠一些使用计量表类的安全设备,想达到保障应用程序安全是不可能的。你必须在各层次都建立防护措施:物理,网络,应用程序。通过使用这种威胁建模的流程可以保证在WEB应用程序层面也是安全的,在增加了它们的强壮性外,也减少了对外围安全设备的依赖。
asp攻击是什么意思?
ASP攻击Microsoft Active Server Pages(ASP)是服务器端脚本编写环境,使用它可以创建和运行动态、交互的Web服务器应用程序。 使用ASP可以组合HTML页 、脚本命令和 ActiveX 组件以创建交互的Web页和基于Web的功能强大的应用程序。 现在很多网站特别是电子商务方面的网站,在服务器上大都用ASP来实现。 以至于现ASP在网站应用上很普遍。 ASP是开发网站应用的快速工具,但是有些网站管理员只看到ASP的快速开发能力,却忽视了ASP安全问题。 ASP从一开始就一直受到众多漏洞,后门程序的困扰,包括查看ASP源程序密码验证问题,IIS漏洞等等都一直使ASP网站开发人员心惊肉跳。
“千山鸟飞绝,万径人踪灭”我的感悟是:
“千山鸟飞绝,万径人踪灭。 ”绝:绝迹。 人踪:人的踪迹。 灭:消失,没有了。 千山:虚指所有的山。 万径:虚指所有的路。 这两行的意思是:所有的山上,都看不到飞鸟的影子,所有的小路,都没有人的踪影。 写雪景而前三句不见“雪”字,纯用空中烘托之笔、一片空灵。 待结句出“雪”而回视前三句,便知“千山”、“万径”、渔翁,已全覆盖于深雪之中,而那雪还在纷纷扬扬,飞洒不休。 要不然,“千山”何故“鸟飞绝”?“万径”何故“人踪灭”? 用“千山”、“万径”反衬“寒江”、“孤舟” 这首《江雪》与其另作《渔翁》,都以渔翁“自寓”,反映了柳宗元在长期流放过程中交替出现的两种心境。 他有时不甘屈服,力图有所作为;有时又悲观愤懑,寻求精神上的解脱。 《渔翁》中的渔翁,超尘绝俗,悠然自得,正是后一心境的外化。 《江雪》中的渔翁,特立独行,凌寒傲雪,独钓于众人不钓之时,正是前一种心情的写照。
用什么杀毒软件杀毒和杀木马的能力强
卡巴斯基不错,杀毒能力很强。 给你介绍下卡巴斯基。 卡巴斯基安全部队2011是最新安全技术及防护的集合体,在为用户提供干净的上网环境的同时,打造安全的家庭网络,保护用户隐私和在线财产的安全; 针对病毒以及其他恶意软件的实时主动防御保护;安全浏览器和网页工具栏保障在线浏览及交易安全; 先进的防火墙技术抵御黑客攻击; 安全键盘和反钓鱼功能保障账号及隐私安全; 独特的可用于运行可疑程序或浏览可疑网站的安全堡垒; 可灵活设置的上网管理功能; 智能的反垃圾邮件和反广告保护模块; 操作系统和应用程序漏洞扫描功能; 提高计算机性能和安全级别的系统优化功能; 遭受恶意软件攻击后用于恢复系统的应急磁盘; 自动扫描和更新功能;产品特色彻底保护网银及网上交易 45 项国际专利 全面抵御各种网络威胁; 全球安全网络 瞬间清除各类新生威胁; 安全浏览器 实时保护网银及交易安全; 安全键盘 确保网银及各类账号的安全; 安全堡垒 一键进入安全运行模式; 超酷的桌面小工具 让安全看得见特色功能卡巴斯基安全部队2011采用了先进的安全保护技术,能够给用户带来无与伦比的安全体验,保护你计算机免遭恶意软件以及黑客攻击的侵害。 1、前摄式保护防御各类互联网威胁功能强化! 阻止各种已知和未知的恶意软件感染您的计算机 2、安全浏览器带给您前所未有的在线安全体验,提供更好的网上银行保护全新功能! 使用安全浏览器,可以保护用户不受恶意网站的侵害。 卡巴斯基实验室会定期自动更新数据库,使得安全浏览器可以自动拦截恶意网站 3、全方位保护您的数字身份安全功能强化! 智能反钓鱼保护和安全键盘能够保证您网上购物、在线银行交易以及社交网络的数字身份安全 4、全面、高效的上网管理功能功能强化! 上网管理功能能够阻止、限制和记录应用程序的启动和对网络的访问,保护未成年人的在线安全 5、安全信誉评级服务能够阻止具有威胁性的软件对您的系统造成危害功能强化! 利用卡巴斯基实验室的云安全数据库,安全信誉评级服务会基于自动风险评估系统为每个程序指定权限和对系统资源的访问限制 6、系统监控技术全新功能! 领先的系统监控技术可以实时监控和分析系统中的程序活动,及时准确地发现危险行为。 一旦发现任何威胁,就会提示用户对恶意程序篡改的的系统设置进行恢复 7、用于模拟运行可疑程序或网站的安全堡垒功能强化! 安全堡垒允许用户在一个隔离的环境中运行可疑程序或访问可疑网站,不会对系统本身造成危害 8、用于清除复杂感染的专用工具功能强化! 卡巴斯基安全部队2011的安装光盘具有应急启动磁盘的功能,如果需要,您可以使用它恢复您的系统。 此外,如果您下载了卡巴斯基实验室的产品,还可以利用产品创建自己的应急磁盘 9、简单易用的Windows小工具全新功能! 利用Windows小工具查看您的计算机保护状态,快速访问可定义的安全功能和设置
发表评论