了解了web系统的安全威胁,那么我们应该怎样防范这些安全威胁呢?

1.时刻准备应战

Web应用系统所面临的威胁是非常严峻的。不管攻击的一方是采用单一形式的攻击,还是采用混合多种手段的混合攻击,作为防护一 方,你需要考虑如下几个问题:

(1)在攻击发起前,能否先于攻击者发现系统存在的漏洞?

(2)在攻击过程中,能否快速地发现、响应和控制?

(3) 安全运维团队的能力和效率怎样?

  决定上述问题的关键是——时间。攻防双方,哪一个占据了时间上的优势和主动,哪一方将获得最终的成功。

(4).是否以更为主动式的防御来取代完全被动的防御?

如果你可以在攻击者发起攻击之前,采取主动式的防御机制,先于攻击者发现系统的漏洞并有效修复,那么无疑减小了系统的攻击面,降低了系统面临的风险,从而客观上延后了系统可能遭到攻击的时间。然而,如果你的防御仍旧是静态和被动的,不能实现事先的检查和防护,那么等于将战场的主动权交给了你的对手——攻击者,什么时候开始这场攻防战,你的对手说了算。

3.2 安全防护设备是否能够对攻击行为进行针对性的防护以及彼此配合?

如果对攻击的发现来自于Web服务器资源枯竭的告警,甚至是客户的投诉,那么就太晚了。特别对于一些提供在线交易的Web系统,业务的可获得性和连续性至关重要,攻击需要被尽早发现和处理。这些挑战最终需要安全设备来解决。

首先,不同类型的安全防护设备的检测和控制原理是不同的,这是由攻击者攻击手段的不同决定的,因此,不要指望在一个设备上同时实现对应用层攻击和网络层攻击的防护。

其次,是采用在线式还是旁路式来进行防护,对于不同的攻击,取得的效果可能就存在差别。在线式防御的响应速度快,对于应用层攻击的防护效果好。

最后,在面临诸如混合攻击的复杂攻击情况下,设备间的协同配合就显得非常重要。如何实现快速调度不同设备的防护能力,是

解决复杂攻击的关键。自动化程度越高,响应时间越短,效率越高。反之,如果设备间的协同和调度仍通过人工来进行,那么你的响应时间可能是几个小时。

3.3 安全运维团队是否处于24x7的工作状态以及是否足以应对最

严酷环境下的攻防对抗?

攻击者的时间表是24x7,不管是深夜,还是节假日,他们随时都可能发起进攻。这样一来,维护人员能否在攻击发生后的第一时间到现场进行对抗性操作直接影响到防护的成败。同时,你的维护团队是否真的可以熟练操作和调度安全设备来完成严酷攻防对抗场景下的工作也是一个决定成败的重要因子。坏消息是,不要指望一般的系统维护人员同时具备安全攻击的应对能力,事实上,专业的安全专家总是最稀缺的资源。如果你的运维团队不能在第一时间发现攻击并熟练操作和调度安全设备,直接的后果就是你对攻击的响应时间可能又是几个小时。因此,你需要的是一支专业化和全天候的安全应急团队。

关于web软件信息安全问题防护资料的整理(三)的更多相关文章

  1. 关于web软件信息安全问题防护资料的整理(二)

    想要做好软件的安全防护,首先就得了解web系统的安全威胁,那么web系统都存在哪些威胁呢? 应用层攻击.网络层攻击和混合攻击. 传统被动.单点以及彼此孤立的防护手段已不能应对越来越严峻的安全威胁. 改 ...

  2. 关于web软件信息安全问题防护资料的整理 (一)

    之前意识到了安全问题的重要性,于是就在网上找了一下安全问题的解决办法(主要是web应用以及政府网站方面的),问了一下同学的公司是怎么保证安全的,跟我说用的是shiro安全机制这个貌似好多公司都在用,网 ...

  3. 关于web软件信息安全问题资料的整理(四)

    整理出了几点解决方案 1.修护漏洞.对于防护的一方来看,如果先于攻击一方发现Web系统中存在的漏洞,尽早修复它们,就可以防患于未然,获得最低的防护成本.漏洞的修复方式并不是一定要依靠修改网页代码才可以 ...

  4. 从Facebook数据泄露事件看大数据时代的个人信息安全问题

    进入21世纪后,互联网开始大规模普及,线上业务和线上服务也开始逐渐走入人们的生活.尤其在智能手机和移动互联网诞生以后,人们对网络的依赖更是与日俱增.然而,伴随而来的则是涉及个人隐私的信息安全问题.个人 ...

  5. 开源 java CMS - FreeCMS2.3 Web页面信息採集

    原文地址:http://javaz.cn/site/javaz/site_study/info/2015/23312.html 项目地址:http://www.freeteam.cn/ Web页面信息 ...

  6. nginx 隐藏版本号与WEB服务器信息

    nginx不仅可以隐藏版本信息,还支持自定义web服务器信息 先看看最终的隐藏结果吧 具体怎么实现呢,其实也很简单,请往下看 1 官网下载最新稳定版 wget http://nginx.org/dow ...

  7. 一步一步实现web程序信息管理系统之一----登陆界面实现

    一步一步实现web程序信息管理系统 在web程序中特别是信息管理系统,登陆功能必须有而且特别重要.每一个学习程序开发或以后工作中,都会遇到实现登陆功能的需求.而登陆功能最终提供给客户或展现给客户的最基 ...

  8. 一步一步实现web程序信息管理系统之三----登陆业务逻辑实现(验证码功能+参数获取)

    本篇紧接着上一篇文章[一步一步实现web程序信息管理系统之二----后台框架实现跳转登陆页面] 验证码功能 一般验证码功能实现方式为,前端界面访问一个url请求,后端服务代码生成一个图片流返回至浏览器 ...

  9. 一步一步实现web程序信息管理系统之二----后台框架实现跳转登陆页面

    SpringBoot springboot的目的是为了简化spring应用的开发搭建以及开发过程.内部使用了特殊的处理,使得开发人员不需要进行额外繁锁的xml文件配置的编写,其内部包含很多模块的配置只 ...

随机推荐

  1. iOS_UIImage_Gif的合成

    /** 1. 数据获取 2. 创建Gif文件 3. 配置Gif属性 4. 单帧添加到gif */ github地址: https://github.com/mancongiOS/UIImage.git ...

  2. Android抓包方法(二)之Tcpdump命令+Wireshark

    Android抓包方法(二) 之Tcpdump命令+Wireshark 前言 做前端测试,基本要求会抓包,会分析请求数据包,查看接口是否调用正确,数据返回是否正确,问题产生是定位根本原因等.学会抓包分 ...

  3. 在jfinal中使用druid,并配置查看权限

    首先导入druid包,然后配置configPlugin @Override public void configPlugin(Plugins me) { /**配置druid数据连接池插件**/ Dr ...

  4. 在Elasticsearch中查询Term Vectors词条向量信息

    这篇文章有点深度,可能需要一些Lucene或者全文检索的背景.由于我也很久没有看过Lucene了,有些地方理解的不对还请多多指正. 更多内容还请参考整理的ELK教程 关于Term Vectors 额, ...

  5. 使用laravel一分钟搭建CURD后台页面

    配置即一切 一切皆于需求,后台从0开始搭建,但是写了一两个页面后发现太多的是对单表的增删改查操作,于是就想到了,能不能做一个快速搭建的后台.想到一句话,配置即一切.如果一个CURD后台能只进行配置就自 ...

  6. 基于HT for Web 3D呈现Box2DJS物理引擎

    上篇我们基于HT for Web呈现了A* Search Algorithm的3D寻路效果,这篇我们将采用HT for Web 3D来呈现Box2DJS物理引擎的碰撞效果,同上篇其实Box2DJS只是 ...

  7. C#串口通信—向串口发送数据,同步接收返回数据

    最近写C#串口通信程序,系统是B/S架构.SerialPort类有一个DataReceived事件,用来接收串口返回的数据,但这种方式在C/S架构下很好用,但B/S就不好处理了.所以写了一个同步模式接 ...

  8. Access数据导入SQLServer2008R2

    环境:office Access 2010+SQLServer2008R2+Windows Server 2008R2 方式:Transact-SQL 方法: 1. 在SQL SERVER里查询acc ...

  9. The Amazing ProgressBar Control(转)

    好久没写博客了,今天就先转一篇,随后可以再写些~~~ 直接把原文粘过来,就不再进行翻译和个人说明了,因为效果很COOL~ The Amazing ProgressBar Control A progr ...

  10. 开启MySQL日志

    找到my.ini(Linux下是my.cnf)文件,在文件里加入下面两行: log="F:/mysqllog/mysql.log" log-bin="F:/mysqllo ...