如果您認為Java的設計可以保證Java小程序的安全與友善的話
您應該再好好想一想
對數字簽名的偽造以及難以駕馭的ActiveX控制功能的出現極大地降低了Java的安全性
任何人只要擁有一個合法的E-mail地址就可以獲得一個
類數字簽名(Class
Digital Signature)
而獲得一個
類簽名所需的不過是一個信用調查
它一般可以由一個像Equifax這樣的信用報告公司來提供
動機不良的人可以通過偽造的駕駛執照
護照和信用卡來獲得假的身份
在信用報告公司的數據庫中的每一個假身份都可以用來獲得一個
類數字身份證(Class
Digital ID)
而這只需每年花
美元就可以辦到
這真是一幕可怕的情景
但是先不要把你的企業網與Internet斷開
對遭遇到Internet上的攻擊性軟件的危險性的評估是非常復雜的
一方面
現在已知的惡意的Java小程序和ActiveX組件只有
種(相比之下
世界上有約
種已知的計算機病毒)
而且
Java小程序的應用環境中包含有很多嚴格的內建安全措施
另一方面
對Java的安全性問題又不能掉以輕心
Internet上的惡意代碼可以成為工業間諜活動的一種重要形式——如果它可以被執行
無論是經過數字認證了的Java小程序還是ActiveX組件都可以在你的本地機上執行任何它們的主人希望執行的操作
這些帶有簽名的Java小程序或ActiveX組件甚至可以訪問你的文件服務器
盡管我們經常將病毒斥之為某個在其孩提時代受到過父母虐待的程序員的一種惡意發洩
但是
一個在Internet上傳播的Java小程序或ActiveX組件比起它來可能要危險得多
因為你的競爭對手利用它們可以有機會在網上窺探
改動或刪除你的文件
病毒可以改變你的主引導扇區
刪除或修改文件並且顯示騷擾信息
但埋藏在Internet上的 Web頁面中的惡意程序不會只進行像病毒所進行的這種破壞
它會將它窺探到的東西向其Web服務器主機匯報
如果您擔心您的與Internet相連的企業網會成為一條競爭對手窺探您的核心數據的管道並想為此而加強保護措施的話
您可能會購買安全工具以將非法入侵者拒之門外
為此
我們對這類安全性產品進行了評測
評測的重點主要是那些承諾可以在服務器上識別並消除惡意的Java小程序
javascript
VBScript和ActiveX組件的產品
它們是
eSafe技術公司(eSafe Technologies)的eSafe Protect Enterprise
Finjan公司的SurfinGate
Security-
軟件公司(Security-
Software)的SafeGate
(Beta版)
Trend Micro公司的Interscan AppletTrap(Bate版)
一些客戶端的產品也可以消除病毒與惡意Java小程序的威脅
但我們覺得如果能夠在網關服務器上將那些具有潛在毀滅性的或是企圖進行非法查詢的外部軟件拒之門外就再好不過了
因為這樣那些惡意代碼便無法靠近客戶機了
在評測中
我們發現Security-
軟件公司的SafeGate
提供了針對惡意代碼的最佳保護
它的速度非常快
可以保證客戶機的安全
非常易於管理並且其性價比也是最高的
因此它獲得了我們的編輯選擇獎
所有產品都在安全性方面達到了要求
Security-
軟件公司的SafeGate
(Beta)
SafeGate完全基於服務器的架構及其高水准的安全特性給我們留下了深刻的印象
它檢查我們的HTTP流量中的Java小程序
ActiveX組件
javascript和VBScript並對其進行過濾
它還對通過Java的ZIP
JAR和CAB文件進行解壓並檢查其文件內容
從而使得隱藏在其中的惡意代碼難以蒙混過關
我們喜歡它對網絡數據包所進行的實時的
基於內核的處理
這種處理方式可以幫助它迅速找出有害代碼
它可以迅速地校驗帶有簽名的ActiveX信用證和小應用程序
而且它一般只需要不到一秒種的時間就可以完成對每個Java小程序(無論有害的還是無害的)的檢查
更令人稱道的是
它絲毫也不會影響客戶機的處理速度
對於封裝在HTML文件中的javascript程序
SafeGate也提供了優秀靈活的安全手段
它使用的基於加密和密碼規則的認證方式的內部安全特性起到了錦上添花的作用
該產品使不受歡迎的Internet代碼遠離我們的客戶機
而這正是我們希望它做的
SafeGate的安裝過程不費吹灰之力
由於我們用不著訪問每一個客戶機或使用登錄腳本來安裝客戶機組件
因此安裝過程被簡化了許多
我們可以選擇在每台客戶機上加載一個
通告程序
(Notifier)組件
它可以讓SafeGate在客戶機打開一個窗口
並通過該窗口告知使用者某個當前的浏覽器操作正在被終止
因為它隱含著一個惡意程序
SafeGate由
套組件構成
運行於Windows NT之上的網關內容檢查服務
中央控制中心管理控制台
策略管理器用戶界面和偵聽監視器
在
版中還包含有一個用於管理私人信用證書的管理工具
我們按類型對進入的文件進行了過濾(例如動態鏈接庫
可執行文件和OLE控制等)
我們可以根據幾條原則選擇將未經簽名的Java小程序
未經簽名的ActiveX組件和javascript堵住
SafeGate上的一個薄弱點在於——它需要你預先裝入Microsoft IE
因為它要使用IE中的加密API動態鏈接庫
但是
Windows NT Server與IE之間的組合並沒有達到其應該達到的性能
我們很喜歡SafeGate直觀的用戶界面
SafeGate的拖放能力使得像輸入授權認證證書這樣的管理工作非常便捷
在我們的測試中
我們使用策略管理器來為個人用戶和被命名的工作組用戶生成並編輯安全規劃
偵聽監視器可以顯示SafeGate的偵聽日志
並使我們可以對破壞安全性的操作和網關檢查報告進行跟蹤
在我們安裝了網關用戶界面之後
我們很快發現它對於檢驗內容
檢查服務的操作和連通性非常有用
它可以使我們實時地看到被分析的內容
然而
網關界面只能記錄很短的內容
因此控制中心和偵聽監視器還是我們用來了解通過的和被拒絕的對象情況的主要信息來源
SafeGate使用微軟的數據訪問對象(Data Access Object
DAO)技術來存儲安全規劃
通過選擇ODBC(Open Database Connectivity
開放式數據庫連接)選項並使用NT服務器的ODBC管理器來生成數據庫式連接
我們可以很方便地將Microsoft SQL Server
作為SafeGate的存儲數據庫來使用
另外
借助於Check Point公司的企業級安全連接開放平台(Open PlatFORM for Security Enterprise Connectivity)API
SafeGate可以與Check Point軟件技術公司的FireWall-
防火牆產品配合使用
在這一模式下
SafeGate自己的基於內核的檢查引擎要讓位於FireWall-
的數據包檢查進程
而後者的運行速度要比SafeGate自己的代碼檢查器慢
Trend Micro公司的InterScan AppletTrap(Beta版)
我們很喜歡Trend Micro公司的InterScan AppletTrap
因為它發現可疑代碼的方法極具創造性
它非常出色地完成了保護我們的客戶機免受攻擊的任務
並且在易於管理方面與SafeGate幾乎不相上下
它的界面也非常直觀
但缺乏像SafeGate那樣的拖放界面
與SafeGate一樣
我們所測試的InterScan AppletTrap還只是一個Bate版的產品
我們發現AppletTrap並不是一個單純的服務器端軟件
它包含了客戶機與服務器兩個部分
每一個Java小程序都運行在客戶機上可配置的沙箱環境中
我們通過測試證明了這種環境是安全的
我們為工作組用戶與個人用戶分別設定了不同的安全策略
AppletTrap會拒絕對某些目錄的訪問
禁止對磁盤的讀寫並終止那些打開的窗口數超過了一定數量的小應用程序
但是
這種占用客戶機的處理能力來檢測每一個可疑的小應用程序的做法使我們難以認同
我們更欣賞那種由服務器來
殺死
不良代碼的設計方式
AppletTrap是一個很少有多余成分的HTTP代理服務器
並且具有在Trend Micro公司自己的保護性Java代碼中封裝Java小程序的獨特能力
被封裝的Java小程序(Trend Micro公司把那些被封裝了的Java小程序稱為
被工具化的
)被發往客戶機
在那裡
封裝保護性代碼首先建立起一個環境
使那些可疑的Java小程序可以安全地在我們所配置的安全策略的限制范圍內運行
其結果是運行每個Java小程序的平均時間增加了
秒
在可疑的Java小程序運行時
一旦它違背了由用戶配置的安全策略的規則
保護性代碼就會中止程序的運行
AppletTrap讓我們來決定是讓用戶能夠繼續運行Java小程序還是中止Java小程序中的被激活的線程
AppletTrap通過這種方式將安全性工作的工作負擔在客戶機與服務器之間平均地進行分配
當某個Java小程序違反了我們所建立的安全規則時
AppletTrap會記錄下這一有害程序或javascript代碼的身份並將該信息存入其數據庫中
我們可以選擇是讓AppletTrap不加通知地中止Java小程序的運行還是在中止它之前向用戶詢問是否繼續運行這一小應用程序
一旦客戶機用該Java小程序的身份更新了數據庫
服務器就會阻止繼之而來的任何客戶機對含有該Java小程序的Web頁面的訪問企圖
美中不足的是
盡管我們可以對Java小程序運用這些安全策略
對ActiveX組件我們卻無法這樣做
在服務器上
AppletTrap會擋住已知的惡意Java小程序以及那些沒有合法證書的Java小程序
服務器組件通過對Java小程序的大小
校驗以及其它特性進行鑒別
並與其數據庫中儲存的已知的惡意代碼的特征進行比較來決定是否阻擋它
這一過程平均要花
/
秒的時間
由於AppletTrap使用其自帶的保護性代碼來對原始小應用程序進行封裝
毀壞了原始小應用程序所攜帶的數字簽名
AppletTrap隨機地在小應用程序中插入其數字ID以便使代碼可以在客戶機上運行
AppletTrap服務器可以周期性地訪問Trend Micro公司的Web站點()
並自動地更新其數據庫中存放的已知惡意程序的信息
我們所測試的其它產品也都擁有類似的自動更新惡意程序代碼列表的功能
我們通過AppletTrap的基於
From:http://tw.wingwit.com/Article/program/Java/gj/201311/27309.html
