应用安全是后端数据保护“要塞”

• 　　美国风险投资公司Kleiner Perkins Caufield & Byers合伙人Ted Schlein在座谈会上指出：“你会意识到我们将不得不使用不同的技术工具来打败对手。这不是你的技术员所能解决的问题，技术工程师也必须加入其中，这样才能确保你的后端存储设备的安全。”
  
  　　这几年大多数公司企业都在边界网络安全(Perimeter Security)方面投入了大量资金，黑客也开始将目标瞄准了Web应用的漏洞，进一步盗取企业数据库和后端存储系统中的机密数据。
  
  　　Schlein表示：“每年我们国家数据丢失所造成的损失约在1800亿美元到2000亿美元之间。”他解释说，许多网络犯罪人已经可以成功地避过防火墙等边界网络安全措施。“这将是一套全新的体系和架构——企业IT部门不用再为这些潜在的网络安全问题而烦恼了，因为网络操作人员可以控制住网络安全。”
  
  　　位于纽约的美国证券集中保管结算公司(Depository Trust and Clearing Corporation，DTCC)主要向金融用户提供结算服务，目前这家公司正在采取措施来解决网络安全的问题。
  
  　　该公司首席信息安全官James Routh表示：“我们有很多在安全方面有着过人技术的开发人员，我们为他们提供了足够的支持和鼓励。”
  
  　　在软件犯罪方面，黑客们惯用的手法包括跨站脚本攻击(Cross Site Scripting)和SQL Injection (资料隐码)，通过这种方法犯罪人可以利用软件代码中的漏洞来读取用户的登陆信息。
  
  　　Gotham Digital Science公司目前正在内部IT架构中进行漏洞测试。该公司的网络安全专家Brian Holyfield也认为，Web应用确实是企业IT架构的软肋。
  
  　　他表示：“这是一个重大的安全隐患。当我们为用户作渗透测试的时候80%的时间都是花费在Web应用，可想而知真正的黑客在攻击的时候也都是将大部分时间花在应用上的。”
  
  　　为了解决这个问题，DTCC在它的软件源代码中运行了九种不同的测试软件，其中包括用于检查数据库漏洞的Application Security AppDetective软件，和WhiteHat公司提供的扫描Web应用工具。
  
  　　Routh表示：“我们从三年前就开始这项工作了，因为统计数据表明应用要比边界网络更容易受到黑客的攻击。对于打包软件，我们要求厂商提供有关静态代码分析(Static code analysis)、动态代码分析(Dynamic code analysis)和手动代码分析(manual code analysis)的文件记录。”
  
  　　动态代码是指那些正在应用的软件，而静态代码是指仍处于测试阶段的软件。Routh表示，DTCC还使用了一家名为Veracode的厂商提供的服务，来对大量代码代码进行扫描找出存在的漏洞。
  
  　　Kleiner Perkins投资公司是Fortify Software公司的投资方之一，而这家公司也是此次大会的赞助商。Kleiner Perkins投资公司的合伙人Schlein表示，厂商和用户都有责任来弥补软件安全方面的不足。他说：“目前大多数软件都不是来自于厂商的，而是来自于全球1000强企业的。”
  
  　　虽然美国联邦政府已经使用Common Criteria(CC)标准，但是Schlein认为华盛顿州还应该在加密源代码方面树立更好的榜样。他解释说：“我希望未来可以颁布一项法令，规定联邦政府不能购买第三方软件，或者不能生产专门针对自己应用的软件，而且规定这些软件都是不能通过安全审计的。”

  （出处：http://www.hackhome.com/）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 应用安全是后端数据保护“要塞” 相关文章：
• ·Web2.0时代的核心应用：Ajax简介
• ·rundll32的作用及应用方法
• ·cmd-c:\boot\bootsect.exe /nt60 c: 提示bootsect.exe 不是有效的win32应用程序。请高
• ·在桌面应用中使用JAVA DB
• ·PKI技术及应用开发指南
• ·网站的首页应该怎么设置？
• ·F5应用流量管理解决方案
• ·用C#创建PDA应用程序的柱形图控件
• ·Tomcat中用web.xml控制Web应用详解
• ·Apache的ReWrite的应用大全
• 应用安全是后端数据保护“要塞” 相关软件
• ·windowsxp全攻略－应用篇
• ·统一加速器 V3.0 个人应用版
• ·注册表应用
• ·统一加速器 V3.31 个人应用版(正式版)
• ·全国司法统一考试应试考典5.0
• ·全国专业技术人员计算机应用能力考试模拟 V2.1
• ·《巧管家》应收应付款管理系统 V3.6
• ·电脑报2003增刊--热门软件与网络应用方案集锦
• ·vc++6.0 用户界面制作技术与应用实例
• ·连锁反应汉化版

上一篇:R and R打造全新时尚女性独特魅力

下一篇:让DVD刻录速度更快一些的技巧

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐