关于web软件信息安全问题防护资料的整理(三)
了解了web系统的安全威胁,那么我们应该怎样防范这些安全威胁呢?
1.时刻准备应战
Web应用系统所面临的威胁是非常严峻的。不管攻击的一方是采用单一形式的攻击,还是采用混合多种手段的混合攻击,作为防护一 方,你需要考虑如下几个问题:
(1)在攻击发起前,能否先于攻击者发现系统存在的漏洞?
(2)在攻击过程中,能否快速地发现、响应和控制?
(3) 安全运维团队的能力和效率怎样?
决定上述问题的关键是——时间。攻防双方,哪一个占据了时间上的优势和主动,哪一方将获得最终的成功。
(4).是否以更为主动式的防御来取代完全被动的防御?
如果你可以在攻击者发起攻击之前,采取主动式的防御机制,先于攻击者发现系统的漏洞并有效修复,那么无疑减小了系统的攻击面,降低了系统面临的风险,从而客观上延后了系统可能遭到攻击的时间。然而,如果你的防御仍旧是静态和被动的,不能实现事先的检查和防护,那么等于将战场的主动权交给了你的对手——攻击者,什么时候开始这场攻防战,你的对手说了算。
3.2 安全防护设备是否能够对攻击行为进行针对性的防护以及彼此配合?
如果对攻击的发现来自于Web服务器资源枯竭的告警,甚至是客户的投诉,那么就太晚了。特别对于一些提供在线交易的Web系统,业务的可获得性和连续性至关重要,攻击需要被尽早发现和处理。这些挑战最终需要安全设备来解决。
首先,不同类型的安全防护设备的检测和控制原理是不同的,这是由攻击者攻击手段的不同决定的,因此,不要指望在一个设备上同时实现对应用层攻击和网络层攻击的防护。
其次,是采用在线式还是旁路式来进行防护,对于不同的攻击,取得的效果可能就存在差别。在线式防御的响应速度快,对于应用层攻击的防护效果好。
最后,在面临诸如混合攻击的复杂攻击情况下,设备间的协同配合就显得非常重要。如何实现快速调度不同设备的防护能力,是
解决复杂攻击的关键。自动化程度越高,响应时间越短,效率越高。反之,如果设备间的协同和调度仍通过人工来进行,那么你的响应时间可能是几个小时。
3.3 安全运维团队是否处于24x7的工作状态以及是否足以应对最
严酷环境下的攻防对抗?
攻击者的时间表是24x7,不管是深夜,还是节假日,他们随时都可能发起进攻。这样一来,维护人员能否在攻击发生后的第一时间到现场进行对抗性操作直接影响到防护的成败。同时,你的维护团队是否真的可以熟练操作和调度安全设备来完成严酷攻防对抗场景下的工作也是一个决定成败的重要因子。坏消息是,不要指望一般的系统维护人员同时具备安全攻击的应对能力,事实上,专业的安全专家总是最稀缺的资源。如果你的运维团队不能在第一时间发现攻击并熟练操作和调度安全设备,直接的后果就是你对攻击的响应时间可能又是几个小时。因此,你需要的是一支专业化和全天候的安全应急团队。
关于web软件信息安全问题防护资料的整理(三)的更多相关文章
- 关于web软件信息安全问题防护资料的整理(二)
想要做好软件的安全防护,首先就得了解web系统的安全威胁,那么web系统都存在哪些威胁呢? 应用层攻击.网络层攻击和混合攻击. 传统被动.单点以及彼此孤立的防护手段已不能应对越来越严峻的安全威胁. 改 ...
- 关于web软件信息安全问题防护资料的整理 (一)
之前意识到了安全问题的重要性,于是就在网上找了一下安全问题的解决办法(主要是web应用以及政府网站方面的),问了一下同学的公司是怎么保证安全的,跟我说用的是shiro安全机制这个貌似好多公司都在用,网 ...
- 关于web软件信息安全问题资料的整理(四)
整理出了几点解决方案 1.修护漏洞.对于防护的一方来看,如果先于攻击一方发现Web系统中存在的漏洞,尽早修复它们,就可以防患于未然,获得最低的防护成本.漏洞的修复方式并不是一定要依靠修改网页代码才可以 ...
- 从Facebook数据泄露事件看大数据时代的个人信息安全问题
进入21世纪后,互联网开始大规模普及,线上业务和线上服务也开始逐渐走入人们的生活.尤其在智能手机和移动互联网诞生以后,人们对网络的依赖更是与日俱增.然而,伴随而来的则是涉及个人隐私的信息安全问题.个人 ...
- 开源 java CMS - FreeCMS2.3 Web页面信息採集
原文地址:http://javaz.cn/site/javaz/site_study/info/2015/23312.html 项目地址:http://www.freeteam.cn/ Web页面信息 ...
- nginx 隐藏版本号与WEB服务器信息
nginx不仅可以隐藏版本信息,还支持自定义web服务器信息 先看看最终的隐藏结果吧 具体怎么实现呢,其实也很简单,请往下看 1 官网下载最新稳定版 wget http://nginx.org/dow ...
- 一步一步实现web程序信息管理系统之一----登陆界面实现
一步一步实现web程序信息管理系统 在web程序中特别是信息管理系统,登陆功能必须有而且特别重要.每一个学习程序开发或以后工作中,都会遇到实现登陆功能的需求.而登陆功能最终提供给客户或展现给客户的最基 ...
- 一步一步实现web程序信息管理系统之三----登陆业务逻辑实现(验证码功能+参数获取)
本篇紧接着上一篇文章[一步一步实现web程序信息管理系统之二----后台框架实现跳转登陆页面] 验证码功能 一般验证码功能实现方式为,前端界面访问一个url请求,后端服务代码生成一个图片流返回至浏览器 ...
- 一步一步实现web程序信息管理系统之二----后台框架实现跳转登陆页面
SpringBoot springboot的目的是为了简化spring应用的开发搭建以及开发过程.内部使用了特殊的处理,使得开发人员不需要进行额外繁锁的xml文件配置的编写,其内部包含很多模块的配置只 ...
随机推荐
- 基于HTML5的WebGL结合Box2DJS物理应用
上篇我们基于HT for Web呈现了A* Search Algorithm的3D寻路效果,这篇我们将采用HT for Web 3D来呈现Box2DJS物理引擎的碰撞效果,同上篇其实Box2DJS只是 ...
- Maven提高篇系列之(二)——配置Plugin到某个Phase(以Selenium集成测试为例)
这是一个Maven提高篇的系列,包含有以下文章: Maven提高篇系列之(一)——多模块 vs 继承 Maven提高篇系列之(二)——配置Plugin到某个Phase(以Selenium集成测试为例) ...
- CentOS matplotlib 安装
sudo yum install freetype-devel sudo yum install libpng-devel sudo pip install matplotlib
- 【转载】Lucene.Net无障碍学习和使用:搜索篇
在上一篇中,我们初步理解了索引的增删改查基本操作.本文着重介绍一下常用的搜索,以及搜索结果的排序和分页.本文的搜索主要是基于前一篇介绍的文本文件的索引,建议下载最后改进的demo对照着看阅读本文,同时 ...
- 用纯css画个三角形
用纯css画个三角形以下是源代码: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" " ...
- 如何显示二进制流的图片(利用img控件)
之前在http://www.cnblogs.com/JsonZhangAA/p/5568575.html博文中是利用的image控件来显示的二进制流图片,我现在想的是能 通过普通的<img id ...
- LeetCode5:Longest Palindromic Substring
题目: Given a string S, find the longest palindromic substring in S. You may assume that the maximum l ...
- jquery属性选择器
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...
- jquery内容选择器(匹配包含指定选择器的元素)
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...
- 删除div
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...