熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> Java編程 >> Java高級技術 >> 正文

基於服務器的Java安全產品

2013-11-23 19:41:45  來源: Java高級技術 

  如果您認為Java的設計可以保證Java小程序的安全與友善的話您應該再好好想一想對數字簽名的偽造以及難以駕馭的ActiveX控制功能的出現極大地降低了Java的安全性
  
    任何人只要擁有一個合法的E-mail地址就可以獲得一個類數字簽名(Class Digital Signature)而獲得一個類簽名所需的不過是一個信用調查它一般可以由一個像Equifax這樣的信用報告公司來提供
    動機不良的人可以通過偽造的駕駛執照護照和信用卡來獲得假的身份在信用報告公司的數據庫中的每一個假身份都可以用來獲得一個類數字身份證(Class Digital ID)而這只需每年花美元就可以辦到
    這真是一幕可怕的情景但是先不要把你的企業網與Internet斷開對遭遇到Internet上的攻擊性軟件的危險性的評估是非常復雜的一方面現在已知的惡意的Java小程序和ActiveX組件只有種(相比之下世界上有約種已知的計算機病毒)而且Java小程序的應用環境中包含有很多嚴格的內建安全措施
    另一方面對Java的安全性問題又不能掉以輕心Internet上的惡意代碼可以成為工業間諜活動的一種重要形式——如果它可以被執行無論是經過數字認證了的Java小程序還是ActiveX組件都可以在你的本地機上執行任何它們的主人希望執行的操作這些帶有簽名的Java小程序或ActiveX組件甚至可以訪問你的文件服務器
    盡管我們經常將病毒斥之為某個在其孩提時代受到過父母虐待的程序員的一種惡意發洩但是一個在Internet上傳播的Java小程序或ActiveX組件比起它來可能要危險得多因為你的競爭對手利用它們可以有機會在網上窺探改動或刪除你的文件病毒可以改變你的主引導扇區刪除或修改文件並且顯示騷擾信息但埋藏在Internet上的 Web頁面中的惡意程序不會只進行像病毒所進行的這種破壞它會將它窺探到的東西向其Web服務器主機匯報
    如果您擔心您的與Internet相連的企業網會成為一條競爭對手窺探您的核心數據的管道並想為此而加強保護措施的話您可能會購買安全工具以將非法入侵者拒之門外為此我們對這類安全性產品進行了評測評測的重點主要是那些承諾可以在服務器上識別並消除惡意的Java小程序javascriptVBScript和ActiveX組件的產品它們是
    eSafe技術公司(eSafe Technologies)的eSafe Protect Enterprise
    Finjan公司的SurfinGate
    Security-軟件公司(Security- Software)的SafeGate (Beta版)
    Trend Micro公司的Interscan AppletTrap(Bate版)
    一些客戶端的產品也可以消除病毒與惡意Java小程序的威脅但我們覺得如果能夠在網關服務器上將那些具有潛在毀滅性的或是企圖進行非法查詢的外部軟件拒之門外就再好不過了因為這樣那些惡意代碼便無法靠近客戶機了
    在評測中我們發現Security-軟件公司的SafeGate 提供了針對惡意代碼的最佳保護它的速度非常快可以保證客戶機的安全非常易於管理並且其性價比也是最高的因此它獲得了我們的編輯選擇獎所有產品都在安全性方面達到了要求
  
  Security-軟件公司的SafeGate (Beta)
  
    SafeGate完全基於服務器的架構及其高水准的安全特性給我們留下了深刻的印象它檢查我們的HTTP流量中的Java小程序ActiveX組件javascript和VBScript並對其進行過濾它還對通過Java的ZIPJAR和CAB文件進行解壓並檢查其文件內容從而使得隱藏在其中的惡意代碼難以蒙混過關我們喜歡它對網絡數據包所進行的實時的基於內核的處理這種處理方式可以幫助它迅速找出有害代碼它可以迅速地校驗帶有簽名的ActiveX信用證和小應用程序而且它一般只需要不到一秒種的時間就可以完成對每個Java小程序(無論有害的還是無害的)的檢查更令人稱道的是它絲毫也不會影響客戶機的處理速度
    對於封裝在HTML文件中的javascript程序SafeGate也提供了優秀靈活的安全手段它使用的基於加密和密碼規則的認證方式的內部安全特性起到了錦上添花的作用該產品使不受歡迎的Internet代碼遠離我們的客戶機而這正是我們希望它做的
    SafeGate的安裝過程不費吹灰之力由於我們用不著訪問每一個客戶機或使用登錄腳本來安裝客戶機組件因此安裝過程被簡化了許多我們可以選擇在每台客戶機上加載一個通告程序(Notifier)組件它可以讓SafeGate在客戶機打開一個窗口並通過該窗口告知使用者某個當前的浏覽器操作正在被終止因為它隱含著一個惡意程序
    SafeGate由套組件構成運行於Windows NT之上的網關內容檢查服務中央控制中心管理控制台策略管理器用戶界面和偵聽監視器版中還包含有一個用於管理私人信用證書的管理工具我們按類型對進入的文件進行了過濾(例如動態鏈接庫可執行文件和OLE控制等)我們可以根據幾條原則選擇將未經簽名的Java小程序未經簽名的ActiveX組件和javascript堵住SafeGate上的一個薄弱點在於——它需要你預先裝入Microsoft IE 因為它要使用IE中的加密API動態鏈接庫但是Windows NT Server與IE之間的組合並沒有達到其應該達到的性能
    我們很喜歡SafeGate直觀的用戶界面SafeGate的拖放能力使得像輸入授權認證證書這樣的管理工作非常便捷在我們的測試中我們使用策略管理器來為個人用戶和被命名的工作組用戶生成並編輯安全規劃偵聽監視器可以顯示SafeGate的偵聽日志並使我們可以對破壞安全性的操作和網關檢查報告進行跟蹤在我們安裝了網關用戶界面之後我們很快發現它對於檢驗內容檢查服務的操作和連通性非常有用它可以使我們實時地看到被分析的內容然而網關界面只能記錄很短的內容因此控制中心和偵聽監視器還是我們用來了解通過的和被拒絕的對象情況的主要信息來源
    SafeGate使用微軟的數據訪問對象(Data Access ObjectDAO)技術來存儲安全規劃通過選擇ODBC(Open Database Connectivity開放式數據庫連接)選項並使用NT服務器的ODBC管理器來生成數據庫式連接我們可以很方便地將Microsoft SQL Server 作為SafeGate的存儲數據庫來使用
    另外借助於Check Point公司的企業級安全連接開放平台(Open PlatFORM for Security Enterprise Connectivity)APISafeGate可以與Check Point軟件技術公司的FireWall-防火牆產品配合使用在這一模式下SafeGate自己的基於內核的檢查引擎要讓位於FireWall-的數據包檢查進程而後者的運行速度要比SafeGate自己的代碼檢查器慢
  
  Trend Micro公司的InterScan AppletTrap(Beta版)
  
    我們很喜歡Trend Micro公司的InterScan AppletTrap因為它發現可疑代碼的方法極具創造性它非常出色地完成了保護我們的客戶機免受攻擊的任務並且在易於管理方面與SafeGate幾乎不相上下它的界面也非常直觀但缺乏像SafeGate那樣的拖放界面與SafeGate一樣我們所測試的InterScan AppletTrap還只是一個Bate版的產品
    我們發現AppletTrap並不是一個單純的服務器端軟件它包含了客戶機與服務器兩個部分每一個Java小程序都運行在客戶機上可配置的沙箱環境中我們通過測試證明了這種環境是安全的我們為工作組用戶與個人用戶分別設定了不同的安全策略AppletTrap會拒絕對某些目錄的訪問禁止對磁盤的讀寫並終止那些打開的窗口數超過了一定數量的小應用程序但是這種占用客戶機的處理能力來檢測每一個可疑的小應用程序的做法使我們難以認同我們更欣賞那種由服務器來殺死不良代碼的設計方式
    AppletTrap是一個很少有多余成分的HTTP代理服務器並且具有在Trend Micro公司自己的保護性Java代碼中封裝Java小程序的獨特能力被封裝的Java小程序(Trend Micro公司把那些被封裝了的Java小程序稱為被工具化的)被發往客戶機在那裡封裝保護性代碼首先建立起一個環境使那些可疑的Java小程序可以安全地在我們所配置的安全策略的限制范圍內運行其結果是運行每個Java小程序的平均時間增加了在可疑的Java小程序運行時一旦它違背了由用戶配置的安全策略的規則保護性代碼就會中止程序的運行AppletTrap讓我們來決定是讓用戶能夠繼續運行Java小程序還是中止Java小程序中的被激活的線程AppletTrap通過這種方式將安全性工作的工作負擔在客戶機與服務器之間平均地進行分配
    當某個Java小程序違反了我們所建立的安全規則時AppletTrap會記錄下這一有害程序或javascript代碼的身份並將該信息存入其數據庫中我們可以選擇是讓AppletTrap不加通知地中止Java小程序的運行還是在中止它之前向用戶詢問是否繼續運行這一小應用程序一旦客戶機用該Java小程序的身份更新了數據庫服務器就會阻止繼之而來的任何客戶機對含有該Java小程序的Web頁面的訪問企圖美中不足的是盡管我們可以對Java小程序運用這些安全策略對ActiveX組件我們卻無法這樣做
    在服務器上AppletTrap會擋住已知的惡意Java小程序以及那些沒有合法證書的Java小程序服務器組件通過對Java小程序的大小校驗以及其它特性進行鑒別並與其數據庫中儲存的已知的惡意代碼的特征進行比較來決定是否阻擋它這一過程平均要花/秒的時間由於AppletTrap使用其自帶的保護性代碼來對原始小應用程序進行封裝毀壞了原始小應用程序所攜帶的數字簽名AppletTrap隨機地在小應用程序中插入其數字ID以便使代碼可以在客戶機上運行
    AppletTrap服務器可以周期性地訪問Trend Micro公司的Web站點()並自動地更新其數據庫中存放的已知惡意程序的信息我們所測試的其它產品也都擁有類似的自動更新惡意程序代碼列表的功能
    我們通過AppletTrap的基於
From:http://tw.wingwit.com/Article/program/Java/gj/201311/27309.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.