完美世界有声小说全集,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

減少Java安全更新帶來(lái)的風(fēng)險(xiǎn)

Mike Chapple, CISSP，University of Notre Dame的IT安全專(zhuān)家。他曾擔(dān)任國(guó)家安全局和美國(guó)空軍的信息安全研究員。Mike經(jīng)常為SearchSecurity.com撰稿，是《信息安全》雜志的技術(shù)編輯。

為嶗山等地區(qū)用戶(hù)提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及嶗山網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)、嶗山網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶(hù)提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶(hù)的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

據(jù)安全供應(yīng)商Sourcefire稱(chēng)，91%的攻擊者都是通過(guò)Java進(jìn)入網(wǎng)絡(luò)，并且Java可能牽連主要服務(wù)，例如Microsoft Office、Adobe Reader等。特別是Adobe的軟件，在過(guò)去幾年被黑客大量濫用，針對(duì)它的攻擊數(shù)量遙遙領(lǐng)先。從合規(guī)的角度來(lái)看，如果企業(yè)不從其環(huán)境移除Java或者至少鎖定它，企業(yè)是否面臨違反HIPAA和PCI DSS等問(wèn)題?

Mike Chapple：對(duì)于試圖破壞企業(yè)系統(tǒng)和網(wǎng)絡(luò)安全性的攻擊者來(lái)說(shuō)，Java的確是第一選擇。一直以來(lái)，該平臺(tái)都有需要修補(bǔ)的安全漏洞，世界各地的信息安全企業(yè)都知道安裝Java補(bǔ)丁是一個(gè)噩夢(mèng)。通常情況下，企業(yè)需要安裝Java安全更新來(lái)避免威脅，但如果企業(yè)選擇更新的話(huà)，關(guān)鍵應(yīng)用程序?qū)⑼Ｖ惯\(yùn)行。

從合規(guī)的角度來(lái)看，并沒(méi)有具體規(guī)定要從環(huán)境移除Java。然而，我們面臨的挑戰(zhàn)是，大多數(shù)法規(guī)要求企業(yè)在合理時(shí)間內(nèi)部署供應(yīng)商提供的安全補(bǔ)丁。這也給安全管理員帶來(lái)進(jìn)退兩難的局面：運(yùn)行有漏洞不合規(guī)版本的Java，還是升級(jí)和中斷應(yīng)用程序。這并不是一個(gè)容易的決策。

如果你能夠從環(huán)境移除Java，這一定會(huì)為你節(jié)省的一些麻煩。如果這不可能實(shí)現(xiàn)的話(huà)，另一種辦法是補(bǔ)償控制。例如，PCI DSS允許你記錄不能遵守該標(biāo)準(zhǔn)的情況，并部署采用額外的安全機(jī)制的補(bǔ)償控制來(lái)填補(bǔ)這個(gè)空白。你將需要證明這種補(bǔ)償控制是足夠的，但這是可以實(shí)現(xiàn)的。

如果Java更新是不可能的，你可以嘗試隔離它。而虛擬化Java應(yīng)用程序或在鎖定的機(jī)器(不太可能暴露Java)運(yùn)行它也許可以作為另一種選擇。另外，可能有辦法從需要Java的業(yè)務(wù)流程移除持卡人數(shù)據(jù)，并將該應(yīng)用程序拖出持卡人環(huán)境的范圍。在這種情況下，筆者建議在投資于技術(shù)和設(shè)計(jì)工作之前，與QSA坐下來(lái)好好談?wù)勔恍﹫?chǎng)景。

當(dāng)前名稱(chēng)：減少Java安全更新帶來(lái)的風(fēng)險(xiǎn)
瀏覽路徑：http://fisionsoft.com.cn/article/dppcgep.html

新聞中心

其他資訊