随着网络安全形势日渐严峻,安全漏洞也频繁发生,而发放补丁是解决网络安全漏洞的常用方法,补丁是用于修补程序漏洞的代码片段程序,用于对操作系统或应用程序实现附加功能或修补安全漏洞。
人们日渐意识到,通过网络服务器和应用程序下载并安装补丁是维护网站安全的关键,尤其是发现软件漏洞存在巨大安全隐患时。而近年来一些软件漏洞因疏于安装补丁,成为了黑客主要的攻击目标,这也再次强调了安装补丁的重要性。话虽如此,任何运维人员想要为一直运行的设备安装补丁都不是一件简单的事,而且成本也不低。
漏洞指的是计算机系统(操作系统和应用程序)的缺陷,攻击者可以通过这些缺陷进行非法入侵,实施恶意行为。但并非所有漏洞都具有相应的补丁,此时运维人员应当对其它补救办法有所了解,例如修改系统配置、对用户进行培训,以减少系统漏洞的暴露。
为缓解问题,运维人员应为减少暴露系统漏洞而制定系统的记录程序,及时安装补丁。这些步骤固然关键,但也不能忽视补丁以外的其它风险。
网络应用安全风险
网络应用方面,各运维人员面对的挑战不尽相同。风险大小很大程度上取决于其所从事的行业、安全方面的投入、软件开发人员的经验及其使用的方法和技术。除运维人员以外,一些常见的内外部因素,也可能对网络应用程序的安全风险带来影响。其中包括:
上市时间短促
迫于管理、市场和营销团队的压力,急于发布程序和不断增加功能设置导致对程序安全缺陷进行检测的时间被压缩,缺陷没有充分暴露出来。
遗留应用程序
老的应用程序在前期开发阶段就有可能存在潜在安全漏洞,而新版本并未修复老版本的问题。
网络依赖
关键任务流程对互联网服务依赖程度强,从而增加应用程序暴露安全漏洞的危险。
标准化缺失
无论是内部设计、外包设计还是两者共同完成的网络应用程序,由于人为错误,有时都无法做到标准化。
安全意识缺乏
在软件开发生命周期,安全问题偶尔会被忽视或不够重视。
是什么让网络应用程序漏洞如此普遍?其中一种理论认为是网络应用程序代码不成熟所致。例如,黑客可以利用网络程序的解释和验证漏洞(可能是软件开发生命周期的一部分)入侵其界面。还有理论认为,网络应用程序使用的协议和服务越多(如:HTTP, HTTPS和SOAP),黑客可利用的漏洞越多。虽然人们已经努力寻找网络协议漏洞的解决方案、增强防火墙和IDS/IPS系统,可在网络应用程序方面却并未能做到如此细致的保护。