Web 现在已经成为了一个大众可以参与的媒介——用户可以贡献内容,可以交流,甚至可以建立网页。对于这种大家熟知的连接方法的热衷程度以及用户参与热情的下滑趋势,表明新一轮的许多IT专业人士还尚未完全掌握的安全威胁问题又摆在了人们面前。
多年以来,Web一直是一个相对单方面的体验,其特征是由动态的HTML网页在一个单向的客户端服务器环境中提供的网络体验,用户直接参与的情况较少。无论在以前还是现在,安全威胁都是实实在在存在的。但Web2.0 却是一个全新的产物。Web2.0 是一个可以供大家参与的客户端服务器环境,提供P2P网络,AJAX下 的应用,社会网络,书签,媒体共享网站,博客、维客(wikis)以及RSS Feed等。
可信的已知网络与因特网之间的界线正在快速消失,致使企业完全暴露在新一代的安全威胁之下;其威胁程度,与新一代的威胁相比,旧一代的威胁似乎就显得小巫见大巫了。比如电子邮件,几年前,SMTP 是病毒和其它恶意内容的主要承载体。但在Web2.0中,SMTP 就不再是恶意内容的主要承载体了。相反,电子邮件只会把毫无戒备的用户指引到一个网站上去,这样就能够利用更多的动态DTTP而进行更恶毒的行为实施。
网络攻击者可以采用许多技术来达到他们的目的。现在他们还可以采用的一种技术是通过利用DNS协议把一个恶意网站伪装成一个正规的网站,这样他们就能够通过用户的浏览器获得进入用户企业网络的权力,而且基本上是可以进入用户所有能够进入的信息。非常可怕的 一种可能性。
Web 2.0 在定义上是一种动态的、社会性和协作性的网络。正是 由于用户能够提供数据,才成就了今天许多Web2.0 的应用和服务——比如Google Earth的效果非常好,是因为用户可以和它互动;MySpace 里面的会员越多,网站才会变得越好;del.icio.s.com 能够运行也是因为用户可以在上面交换和共享他们的书签;Blogosphere可以允许用户在上面开博客。也正是由于这种用户的协作和开放致使网络攻击快速滋生,变得越来越频繁。今天,用户在许多地方来共享信息——电子邮件在过去就是其中的一个地点。
在这种开放的环境中,要监控企业数据的泄漏情况和不受欢迎的内容的侵入,就成为一项非常艰巨的任务。网络的危险性大大增加。仅通过一个电子邮件而泄漏的企业信息其影响范围和时间是有限的(只要删除,就会永远消失)。但是,如果在blogosphere上造成敏感数据的泄漏,其结果将是对企业造成非常严重的和长期的破坏。博客是存放在可以搜寻到的档案中, 任何对数据感兴趣的人只要通过手指就可以把信息传递到其它成千上万个网站中。
像以前一样,这里的挑战就是在用户的期望和企业的安全中进行平衡。用户要求不受任何限制的连接——如电子邮件 、即时通讯、视频远程会议等——而且能够接入到基于 Web的应用。越来越多的企业在把他们的关键任务的数据(比如CRM系统)外包给基于Web托管的基础架构上。这些应用能够降低IT部门的管理成本,减少传统的、本地托管的应用所带来的诸多麻烦。但是,黑客们却很快地利用了Web应用的这些弱点。
