隨著Web 2.0時(shí)代的到來，Web應(yīng)用已經(jīng)無處不在，Web應(yīng)用安全問題也逐漸凸顯出來。根據(jù)SANS TOP20統(tǒng)計(jì)數(shù)據(jù)及OWASP TOP10應(yīng)用安全漏洞統(tǒng)計(jì)數(shù)據(jù)顯示，2005年是網(wǎng)絡(luò)安全的一個(gè)分水嶺，2005年之前，網(wǎng)絡(luò)安全問題主要是反映在操作系統(tǒng)及網(wǎng)絡(luò)層的相關(guān)漏洞等方面。隨著微軟對安全問題的重視以及SDL在微軟開發(fā)過程中的普及應(yīng)用，2005年以后網(wǎng)絡(luò)安全問題開始轉(zhuǎn)向應(yīng)用安全領(lǐng)域，特別是Web應(yīng)用相關(guān)的安全漏洞問題表現(xiàn)得尤為突出。

通過上網(wǎng)搜索我們不難發(fā)現(xiàn)，近段時(shí)間，涉及個(gè)人隱私的Web泄密事件在全國各地時(shí)有發(fā)生。

《羊城晚報(bào)》12月7日報(bào)道：近日，有網(wǎng)友將一份涉及廣州番禺某樓盤8000多位業(yè)主信息的文檔上傳到國內(nèi)一著名網(wǎng)站中，引起社會(huì)關(guān)注。盡管通過這些信息，未必就能找到業(yè)主本人，但仍有業(yè)主因信息被泄露不堪滋擾。

《燕趙都市報(bào)》12月3日報(bào)道：河北唐山一些新樓盤還未交房，已有不少業(yè)主頻繁收到推銷裝修服務(wù)的電話、短信。

《齊魯晚報(bào)》11月30日報(bào)道：山東省煙臺很多市民收到一條陌生號碼發(fā)來的短信，短信發(fā)送者自稱是國家稅務(wù)總局的工作人員，通知車主國家的汽車消費(fèi)稅率下調(diào)，按規(guī)定要退給車主一部分汽車消費(fèi)稅，要車主按照對方提供的操作程序接受退稅。當(dāng)記者按照短信中提供的號碼給對方打去電話報(bào)出車牌時(shí)，對方竟然能詳細(xì)說出該車牌號的車型、車主姓名、購車時(shí)間以及車主的身份證號碼。

只要在國內(nèi)某著名網(wǎng)站鍵入關(guān)鍵字"業(yè)主資料"，立馬就會(huì)顯示出海量信息。其中，包括北京、上海的一些樓盤業(yè)主名單文件也赫然在列。其中一份《華都大廈業(yè)主名單》除了標(biāo)示了業(yè)主的住址、電話外，還在表格外標(biāo)注了電話有無人接聽等信息。通過進(jìn)一步搜索，甚至還能發(fā)現(xiàn)有網(wǎng)民在網(wǎng)絡(luò)上從事業(yè)主資料買賣的交易記錄。例如：某網(wǎng)民留下這樣的信息： "求深圳樓盤的業(yè)主資料，我們做美容美體的，想在店面周圍的小區(qū)里面宣傳一下，要入住了的小區(qū)。"下面就有人回應(yīng)稱："深圳各區(qū)的業(yè)主資料我們都有，在此不能一一列舉，需要的話您可以加我們QQ，選擇您需要的資料。"回復(fù)之后，還跟著一大串深圳樓盤的名錄……

為何如此機(jī)密的資料都能被獲取和隨意傳播？這不得不讓人聯(lián)想到相關(guān)企業(yè)內(nèi)部資料泄密的問題。

盡管我們的互聯(lián)網(wǎng)生活已經(jīng)陷入了Web應(yīng)用漏洞造成的安全陰影中，但當(dāng)前大多數(shù)企業(yè)用戶卻對Web應(yīng)用的安全風(fēng)險(xiǎn)沒有引起足夠的重視。以瀏覽器來說，當(dāng)前瀏覽器的交互性應(yīng)用，使得瀏覽器已經(jīng)變成了眾多應(yīng)用的承載者。政府、軍隊(duì)和軍工單位、金融機(jī)構(gòu)、電信運(yùn)營商、房產(chǎn)物業(yè)公司等企、事業(yè)單位、政府機(jī)構(gòu)的信息系統(tǒng)的瀏覽器端通常都含有大量的用戶信息，由于監(jiān)管不嚴(yán)或者措施滯后，易導(dǎo)致大量用戶信息非正常地散發(fā)或泄露于互聯(lián)網(wǎng)，如果不做好瀏覽器防護(hù)措施，這些部門與企業(yè)掌管的大量個(gè)人敏感信息就極有可能被第三方輕易竊取，后患無窮！企業(yè)必須充分認(rèn)識到各種Web應(yīng)用的風(fēng)險(xiǎn)，并采取必要的手段來避免危險(xiǎn)的安全攻擊。到底有沒有好的辦法阻止類似事件再次發(fā)生呢？首先我們來看一下當(dāng)前網(wǎng)頁內(nèi)信息保護(hù)的途徑：

第一種，在網(wǎng)頁上加上Javascript控制腳本，但是這純粹是利用腳本技術(shù)控制瀏覽器的形態(tài)，用戶只需要在本地處理一下進(jìn)程就可以破解這種控制方式。

第二種，利用 Flash播放器技術(shù)顯示數(shù)據(jù)，達(dá)到防復(fù)制的效果，但可以使用緩存、打印、截屏來獲取結(jié)果。

第三種，利用插件的形式禁用瀏覽器的某些功能，瀏覽器端可以使用卸載插件軟件惡意卸載。

我們認(rèn)為，以上幾種方法只能部分地解決網(wǎng)頁上信息泄露、再次使用或擴(kuò)散等問題，而且這幾種技術(shù)本身的安全性、防攻擊和防破壞能力有限，還不能從根本上解決網(wǎng)頁信息泄露的問題。對于企業(yè)的Web安全防護(hù)需要視具體情況具體分析，但主要應(yīng)遵循以下原則：

(1)不能影響Web應(yīng)用的正常運(yùn)行及使用；

(2)Web安全防護(hù)不能影響Web服務(wù)的性能及可用性；

(3)Web安全防護(hù)不要對現(xiàn)有系統(tǒng)進(jìn)行太多變更；

(4)盡量不要在Web服務(wù)器上安裝插件，以免影響Web服務(wù)器的穩(wěn)定性及安全性；

(5)需要在安全性和業(yè)務(wù)連續(xù)性保證方面取得一個(gè)較好的平衡點(diǎn)。

本來瀏覽器防護(hù)技術(shù)就是互聯(lián)網(wǎng)安全領(lǐng)域里一項(xiàng)全新的課題，國內(nèi)外針對此項(xiàng)技術(shù)研發(fā)出的產(chǎn)品更可謂鳳毛麟角。然而，在充分考察了企業(yè)的Web安全防護(hù)主要遵循原則，排除當(dāng)前通常網(wǎng)頁內(nèi)信息保護(hù)途徑的缺陷之后，我們驚喜的發(fā)現(xiàn)：一直致力于數(shù)據(jù)信息泄露防護(hù)領(lǐng)域的虹安，推出的DLP瀏覽器數(shù)據(jù)防護(hù)系統(tǒng)，簡稱"BDP"（Browser Data Protect）在Web泄露方面取得的成就給了我們新的啟示。虹安研發(fā)的瀏覽器數(shù)據(jù)泄露防護(hù)系統(tǒng)，是一個(gè)增強(qiáng)Web應(yīng)用數(shù)據(jù)呈現(xiàn)安全性的工具。通過積極安全模式，控制Web應(yīng)用系統(tǒng)數(shù)據(jù)在瀏覽器端呈現(xiàn)后的使用權(quán)限；包括授權(quán)認(rèn)證，瀏覽器響應(yīng)策略，控制隱藏表單數(shù)據(jù)域，COOKIE保護(hù)，禁止網(wǎng)頁復(fù)制，打印等操作。方便的解決各種B/S架構(gòu)的應(yīng)用系統(tǒng)，如各類OA系統(tǒng)、CRM、ERP等，服務(wù)器數(shù)據(jù)經(jīng)過客戶端瀏覽器呈現(xiàn)時(shí)的信任和泄露問題。不僅使瀏覽器自身的防護(hù)能力和抗攻擊性得到大大地加強(qiáng)，還不會(huì)影響原有系統(tǒng)穩(wěn)定性和安全性。

一方面，我們關(guān)注互聯(lián)網(wǎng)應(yīng)用如何變得更加豐富與便捷。另一方面，在豐富與便捷的背后卻也引發(fā)了不堪重負(fù)的Web信息泄露問題。瀏覽器又在互聯(lián)網(wǎng)應(yīng)用與現(xiàn)代企業(yè)的辦公環(huán)節(jié)中扮演著不可或缺的角色，因此，專業(yè)的DLP瀏覽器數(shù)據(jù)防護(hù)系統(tǒng)理所當(dāng)然成為掌管大量個(gè)人敏感信息的社會(huì)公共部門與各企、事業(yè)單位的必然選擇。對致力于Web應(yīng)用安全領(lǐng)域的企業(yè)而言，如何打造出更有效的網(wǎng)頁數(shù)據(jù)防泄露產(chǎn)品也是一種技術(shù)方向的指引。