監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

應(yīng)用程序安全是保護(hù)數(shù)據(jù)安全的關(guān)鍵

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

如果企業(yè)希望保護(hù)他們的數(shù)據(jù)并避免令人尷尬的數(shù)據(jù)侵入,那么他們需要將關(guān)注點(diǎn)從網(wǎng)絡(luò)轉(zhuǎn)移到軟件安全性上來(lái),特別是源代碼和基于Web的應(yīng)用程序。昨天晚上用戶和安全專家們?cè)谶@里的一個(gè)網(wǎng)絡(luò)犯罪討論會(huì)上發(fā)出這樣的警告。

"我們需要開(kāi)始使用不同的工具來(lái)同敵人做斗爭(zhēng)",風(fēng)險(xiǎn)投資公司Kleiner Perkins Caufield &Byers的一名合伙人Ted Schlein,在一個(gè)專題小組討論上警告說(shuō),"你的網(wǎng)絡(luò)管理員不一定能解決這個(gè)問(wèn)題,需要讓工程師也加入--這種整體的方式能夠保護(hù)你的后端存儲(chǔ)"。

根據(jù)這家風(fēng)險(xiǎn)資本公司的說(shuō)法,過(guò)去幾年中,大部分企業(yè)都把資源浪費(fèi)在了邊界安全上,而黑客們則越來(lái)越盯住基于Web的應(yīng)用程序的漏洞,黑客以此為途徑竊取數(shù)據(jù)庫(kù)和后端存儲(chǔ)系統(tǒng)中敏感數(shù)據(jù)。

"數(shù)據(jù)丟失每年都要花費(fèi)這個(gè)國(guó)家1800億美元到2000億美元",他表示,邊界安全,如防火墻,容易被網(wǎng)絡(luò)罪犯輕易繞過(guò),"這是不對(duì)稱的規(guī)則和架構(gòu)--企業(yè)IT不能趕上威脅的腳步,因?yàn)閿?shù)據(jù)安全掌握在網(wǎng)絡(luò)運(yùn)營(yíng)人員手中"。

位于紐約的證券托管結(jié)算公司(DTCC)為金融部門提供清算和結(jié)算服務(wù),這家公司也在采取措施應(yīng)對(duì)這種挑戰(zhàn)。

"我們?cè)诎踩矫嬗幸粋€(gè)‘超級(jí)開(kāi)發(fā)員'團(tuán)隊(duì)",該公司的首席信息安全員James Routh解釋道,"我們?yōu)檫@個(gè)團(tuán)隊(duì)提供非常多的支持。"

黑客在軟件犯罪上使用的典型技術(shù)包括跨站腳本和SQL注入,通過(guò)軟件源碼的漏洞,這些技術(shù)讓這些罪犯可以得到其他人的登錄信息。

Gotham Digital Science公司的網(wǎng)絡(luò)安全專家Brian Holyfield在企業(yè)IT架構(gòu)上進(jìn)行漏洞測(cè)試,他也同意基于Web的應(yīng)用程序確實(shí)有致命的弱點(diǎn)。

"這是一個(gè)主要威脅",他說(shuō),"當(dāng)我們對(duì)我們的客戶進(jìn)行滲透測(cè)試時(shí),80%的情況下我們都通過(guò)這些應(yīng)用程序進(jìn)去了,因此你必須想想真正的黑客也在利用這80%的概率。"

DTCC解決這個(gè)問(wèn)題的方法是在其軟件源代碼上運(yùn)行大約9個(gè)不同的測(cè)試產(chǎn)品。這些產(chǎn)品包括Application Security的AppDetective(用于檢查數(shù)據(jù)庫(kù)漏洞),以及來(lái)自WhiteHat的一個(gè)工具(用于掃描Web應(yīng)用程序)。

"我們?cè)谌昵熬烷_(kāi)始了這項(xiàng)工作,因?yàn)閿?shù)據(jù)威脅的趨勢(shì)顯示應(yīng)用程序比起網(wǎng)絡(luò)邊界更普遍地受到攻擊",Routh解釋道,"對(duì)于打包軟件,我們要求廠商提供靜態(tài)代碼分析,動(dòng)態(tài)代碼分析和人工代碼分析的資料。"

"動(dòng)態(tài)代碼"是指那些已經(jīng)完成并且正在運(yùn)行的軟件的代碼,而"靜態(tài)代碼"是指那些仍然還處于測(cè)試階段的軟件的代碼。Routh表示,DTCC也使用該公司的一項(xiàng)名為Veracode的服務(wù)來(lái)掃描大量代碼和發(fā)現(xiàn)漏洞。

曾投資于Fortify Software公司的Kleiner Perkins公司的經(jīng)理Schlein說(shuō),維護(hù)軟件安全的責(zé)任需要廠商和用戶共同承擔(dān)。"世界上大部分的軟件并不是來(lái)自軟件廠商,而是來(lái)自財(cái)富1000強(qiáng)的企業(yè)"。

雖然美國(guó)聯(lián)邦政府使用公共準(zhǔn)則的安全標(biāo)準(zhǔn),Schlein還是認(rèn)為華盛頓的政府需要在源代碼上樹(shù)立一個(gè)更好的表率。他解釋道:"我認(rèn)為需要通過(guò)一部法案來(lái)命令聯(lián)邦政府不得購(gòu)買來(lái)自第三方的軟件,或不得開(kāi)發(fā)未經(jīng)過(guò)安全審查的自用軟件"。(比特網(wǎng))

發(fā)布:2007-04-22 09:10    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動(dòng)態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開(kāi)發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉(cāng)庫(kù)管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營(yíng)銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開(kāi)發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開(kāi)發(fā)