BSBY_f008
思科防火墙第一品牌【众诚鑫,王先生,13724320505】经过多年的系统建设与服务实践,众诚鑫科技建立了一套完善的项目管理体系和服务管理体系,打造出一支优秀的技术、市场和管理团队,并通过ISO 9001质量管理体系认证。公司的技术人员、服务人员都经过严格的岗位培训和专业培训,并积累了丰富的工作经验;优秀的人才团队不仅保证了公司的服务质量,也推动了公司业务良性发展。
对于大部分来说,通常人们都会觉得应用安全是非常可靠的。Web应用安全全景编辑当讨论起Web应用安全,我们经常会听到这样的回答:
“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了 SSL 技术”、“我们每个季度都会进行渗透测试”……所以,“我们的应用是安全的”。现实真是如此吗?让我们一起来看一下 Web应用安全的全景图。
2: 信息安全全景
在企业 Web 应用的各个层面,都会使用不同的技术来确保安全性。为了保护客户端机器的安全,用户会安装防病毒软件 为了保证用户数据传输到企业 Web 服务器的传输安全,通信层通常会使用 SSL(安全套接层)技术加密数据 企业会使用防火墙和 IDS(入侵诊断系统)/IPS(入侵防御系统)来保证仅允许特定的访问,不必要暴露的端口和非法的访问,在这里都会被阻止 即使有防火墙,企业依然会使用身份认证机制授权用户访问 Web 应用。
但是,即便有防病毒保护、防火墙和 IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟 Web 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是 Web 应用必须的 80 和 443 端口,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。这里需要注意的是,Web 应用是由软件构成的,那么,它一定会包含缺陷(bugs),这些 bug 就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏 Web 应用中的重要信息。
因此可以看出,企业的回答,并不能真正保证企业的应用安全:
a.网络脆弱性扫描工具,由于它仅仅用来分析网络层面的漏洞,不了解应用本身,所以不能彻底提高Web应用安全性
b.防火墙可以阻止对重要端口的访问,但是 80 和 443 端口始终要开放,我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击
c.SSL 可以加密数据,但是它仅仅保护了在传输过程中数据的安全性,并没有保护Web应用本身
d.每个季度的渗透测试,无法满足处于不断变更之中的应用。
只要访问可以顺利通过企业的防火墙,Web应用就毫无保留的呈现在用户面前。只有加强Web应用自身的安全,才是真正的Web应用安全解决之道
公司名称:深圳市众诚鑫科技有限公司
应用安全:http://www.zcxtec.com http://www.zcxtec.com.cn http://www.zcxtec.cn
负责人:王先生 
电话:0755-82840597     
手机:13724320505
13631600109 
传真:0755-82840507 
邮箱:wangbinliang@zcxtec.com                   
Q 
Q:2230716125       
地址:深圳市福田区车公庙天安数码城天济大厦4栋A座302
本文出处:http://www.zcxtec.com/news/601.shtml