“我們使用了防火牆”、“我們使用了網路脆弱掃描工具”、“我們使用了 SSL 技術”、“我們每個季度都會進行滲透測試”……所以,“我們的套用是安全的”。現實真是如此嗎?讓我們一起來看一下 Web 套用安全的全景圖。
圖 2: 信息安全全景信息安全全景
在企業 Web 套用的各個層面,都會使用不同的技術來確保全全性。為了保護客戶端機器的安全,用戶會安裝防病毒軟體;為了保證用戶數據傳輸到企業 Web 伺服器的傳輸安全,通信層通常會使用 SSL(安全套接層)技術加密數據;企業會使用防火牆和 IDS(入侵診斷系統)/IPS(入侵防禦系統)來保證僅允許特定的訪問,不必要暴露的連線埠和非法的訪問,在這裡都會被阻止;即使有防火牆,企業依然會使用身份認證機制授權用戶訪問 Web 套用。
但是,即便有防病毒保護、防火牆和 IDS/IPS,企業仍然不得不允許一部分的通訊經過防火牆,畢竟 Web 套用的目的是為用戶提供服務,保護措施可以關閉不必要暴露的連線埠,但是 Web 套用必須的 80 和 443 連線埠,是一定要開放的。可以順利通過的這部分通訊,可能是善意的,也可能是惡意的,很難辨別。這裡需要注意的是,Web 套用是由軟體構成的,那么,它一定會包含缺陷(bugs),這些 bug 就可以被惡意的用戶利用,他們通過執行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 套用中的重要信息。
信息安全全景