[贴图] 转贴：Web信誉服务有效解决Web安全_IT项目管理，软件开发版_国内最热门的项目管理经验交流论坛_国内PMP聚集社区

项目管理者联盟 | 中国工程管理网 | 中国研发管理网

会员中心

资料库

适合敏捷开发项目
敏捷项目管理最佳实践

重视项目商业分析
商业价值与需求分析能力

产品管理国际认证
全球产品管理最佳实践

单项目管理经典指南
年轻项目经理首选

北京 | 直播 | 录播

大型复杂项目全球标准
定位高级项目管理层

链接战略与项目
实现组织资源投资回报

信息系统项目管理师
系统集成项目管理工程师

计划 | 报名 | 经验

论坛
	价值源于交流与分享

会员区：

功能区：公告建议 | 帖子搜索 | 管理团队 | 荣誉版主 | 帮助手册

论
坛
导
航
区

项目型组织	项目管理	工程项目	科技项目	项目化管理	管理软件	资格认证	职业休闲
EPM体系与流程	综合集成管理	总承包管理	IT软件开发	项目型制造	P3E/P6	PMP \| PgMP	职业发展探讨
组织与人力资源	进度,范围,成本	国际工程	生物制药	专业服务	微软PROJECT	IPMP \| PRINCE2	管理学堂
项目管理信息化	团队建设与沟通	房地产	汽车设计开发	生活项目	PowerOn专版	软考项目管理	英语角\|读书版
多项目与大项目	质量与风险	监理与咨询	手机数码	文体娱乐		注册建造师	房车吃游
PMO建设与管理	采购与合同	工程设计				项目管理硕士	闲聊版\|商务版

俱乐部：北京 | 大连 | 福州 | 广州 | 杭州 | 南京 | 山东 | 上海 | 深圳 | 四川 | 天津 | 武汉 | 西安 | 郑州 | 申请成立

TOP榜：精华 | 最新 | 最热 | 会员

版面信息

说明：失败的IT项目比比皆是，进度延迟，预算超支，客户需求多变，成员加班抱怨...IT项目（软件开发.，信息系统实施等）寻求新生

	精华区		发表帖子
	投票区		发起投票
	资料区		上传资料

本版版主

camer
登录：2013/7/2
次数：867
注册：2003/3/3
发帖：2745

dorothy
登录：2016/12/15
次数：804
注册：2004/9/6
发帖：993

steveli2008
登录：2009/5/26
次数：464
注册：2003/5/12
发帖：1026

zhf_karen
登录：2015/6/2
次数：346
注册：2005/6/13
发帖：469

俱乐部导航

北京	大连	福州	广州	杭州
南京	山东	上海	深圳	四川
天津	武汉	西安	郑州

联盟·近期活动

社区热点

精彩专题

如何做好项目沟通计划

软件项目质量管理

国际工程索赔与反索赔

社区圈子

集团企业生态体.
圈主：ETPPM
行业：综合应用

HG信用盘0出租
圈主：de123
行业：综合应用

生态系统体系下.
圈主：ETPPM
行业：综合应用

西安IT项目管理
圈主：muzud
行业：IT软件

房地产项目管理
圈主：13935823
行业：房地产

联系社区管理员

咨询电话 010-82273401/11
斑竹申请 admin@mypm.net

版权所有 © 2003-2004
京ICP证070584号
BBS业务许可2007第353号
最佳显示模式：1024*768像素

[贴图] 转贴：Web信誉服务有效解决Web安全 [发表于 2007/9/7]

状态开放帖 浏览量 1343

复制该帖链接收藏本帖 [回复] [引用]
Web 2.0 一词已在 Google 产生上亿次的点阅率，最早提出web 2.0 的人是Tim O’Reilly，他是一家专门出版计算机信息书籍的美国公司的CEO，“Web 2.0”是在他构思一个会议标题时所创造出的一个专门用语。指的是可进行高度互动的社交性质网站服务，如豆瓣、MySpace、Secondlife、YouTube、Flickr、del.icio.us等社交网络网站均属于这类网站。这些网站的设计能让真实世界中彼此不认识的消费者在在线进行互动。这个现象已经让许多消费者逐渐习惯集体合作的社交网站的概念，在这个空间中，彼此不认识的使用者惯常地相互共享链接、照片、影片以及其它信息。据 National Cyber Security Alliance 的统计，57％知道有潜在安全风险的社交网络网站使用者依然会将重要的信息透漏给他人。因此，这些网站自然就容易成为社交工程攻击的目标。此外，正如 CNet 所言：“急于增加Web 2.0功能，安全性反而在事后才想到。”安全弱点加上 Web 2.0 使用者的安全意识不足，使这类网站成为极适合 Web威胁繁衍的沃土。 “看一眼就中毒”，这可不是危言耸听，最近的例子是上个月底意大利有逾千个网站遭入侵，只要使用者浏览这些网站便会触发一连串的恶意程序下载行动。这些遭入侵的合法网站涵盖旅游业、汽车制造业、电影与音乐、税捐与就业服务、某些意大利议会以及饭店的网站。只要使用者进入上述任何一个网站，他们的计算机便会被导向另一个内含恶意 JavaScript 的 IP 地址，并开始连锁下载木马程序，根据趋势科技统计，单日便造成超过四万四千台计算机被入侵，这个内嵌于网站上的 HTML 中的恶意程序会利用所谓的 “iFrame” 安全弱点进行散播。而这些恶意程序代码可能植入键盘侧录程序窃取使用者密码，或将计算机转变为 Proxy 服务器供其它各种攻击活动使用。在 Web 1.0时代，能在他们的个人网页以外的位置编写程序代码或内容的使用者并不多，而大多数网站的内容都是由少数一些编辑与开发人员所掌控。Web2.0 时代，网络上一些流量极高的网站 (包括 MySpace、YouTube 等) 均无条件开放给任何人使用，只要他们拥有浏览器及参与意愿。原为信息精英专属的 Web 现已普及至全球各个角落。现在使 Web 2.0 得以丰富体验的 JavaScript ，已落入网络罪犯手中成为威力强大的自动化武器。对在线计算机使用者而言，虽然 Web 2.0 的发展令人相当兴奋且具革命性意义，但却可能使一般消费者与企业组织面临更广泛的 Web威胁。业内优秀企业趋势科技曾表示：以“异步 Javascript 与 XML (AJAX)”的 Web 2.0 技术而言，是为让网页更趋近于应用程序而设计的程序语言。但也同时增加了黑客可利用的安全漏洞，同时 Web 2.0 的互动特性也让使用者更容易遭受社交工程技巧的攻击。Web 2.0 架构正逐渐发展成可能遭利用的动态作业平台，因此新一代的安全防护解决方案必须更加重视保护网站的防御机制。举例来说，Web 信誉评级技术已成为防堵新兴起的 Web 2.0威胁的新防线。若以 HTML 制作网页，使用者必须重新加载网页才能检查更新的数据集，但 AJAX 能不断与服务器进行数据交换，让使用者的要求能获得更迅速的响应。以 Google Maps 为例，使用 AJAX 可大幅缩短加载时间，并进一步强化与应用程序的互动效果 (例如缩小或放大检视目前的位置)。由于 AJAX 结合了多种不断改良的语言，因此也为黑客创造出更广泛的攻击面。目前 AJAX 已被用于 XSS 与 XSRF 攻击。然而，静态网址过滤技术 (基本上包含定期更新一份“已知网址黑名单”) 并无法迅速辨识可能透过 XSS、XSRF、Syndication 或其它方式散播至一般正常网站的 Web威胁。强大的 AJAX 程序代码加上能发布在任何网站的自由弹性，使得 Web 1.0 时代合法网站与恶意网站之间的区别愈来愈模糊难辨。在这种情况下，唯有针对网站信誉，采取更周全的查核才能有效辨识恶意网站。“网站信誉”检查必须配合网址过滤数据库来进行，然而每天新增将近 5000 个网域意味着必须采取额外的措施来辅助这个重要组件。由于 Web 攻击手法令人难以察觉，且往往都锁定特定对象，因此一般看似正常的网站可能在不知情的情况下遭恶意程序代码挟持。大多数 URL 过滤与内容筛检解决方案都只能被动防御已知的 Web威胁，先进的网站信誉评级服务并不是假定目前存在固定数量的“有害网站”，而是动态汇集、监视以及评估一份完整的注册网域名称清单，这份清单储存在趋势科技的信誉数据库，目前所含的资料已超过 3 亿条。先进的网站信誉检查技术会依据这份网域名称清单，针对检查网域名称注册人信息 (注册 IP 地址时必须提供的公开信息) 作检查，以确认网站的合法性。在监控如网站注册人与网站主机位置等信息一段时间之后，便能产生有关特定网域可靠性的参考信息。举例来说，经常变换位置可能是网站安全性的重要指标，因为黑客会频频变更 IP 地址的实体位置以躲避侦测。此外，新网站若吸引异常高数量的点击率也会触发红色警戒，因为这可能是病毒产生的流量传输至特定网站的迹象。其它指标如地理位置，也能作为特定网站的可靠性或合法性的参考信息，并且应在评估网站信誉时纳入考虑。当然，确认网站的信誉还包括参考其它已知网络钓鱼、网站嫁接以及其它恶意网址的数据库来检查网站。为了对付来自Web的新形威胁，趋势科技化被动为主动，不坐等新攻击手法出现，而是主动上网找出可能威胁来源，并以信誉评级方式，依危险程度将网站分为红、黄、绿灯等不同级别，并将可能带有恶意程序的网站透过实时更新的数据库提供用户最新的危险网页名单，让用户没有接触恶意网站的机会。
>>> 由论坛统一发布的广告：

楼主

crystal98

职务无
军衔三等兵
来自北京
发帖 20篇
注册 2007/2/10
PM币 90
经验 46点

Re:[贴图] 转贴：Web信誉服务有效解决Web安全 [回复于 2007/9/10] [回复] [引用]
没那么玄乎，安全上网靠自居。,不过我觉得要是继续发展下去的话，还是有一定意义的。

1楼

dulang530

职务无
军衔三等兵
来自北京
发帖 18篇
注册 2007/1/13
PM币 65
经验 39点

Re:[贴图] 转贴：Web信誉服务有效解决Web安全 [回复于 2007/9/11] [回复] [引用]
到顶了没。

2楼

andy1125

职务无
军衔三等兵
来自北京
发帖 26篇
注册 2006/9/12
PM币 -155
经验 25点

Re:[贴图] 转贴：Web信誉服务有效解决Web安全 [回复于 2007/9/12] [回复] [引用]
不得不顶

3楼

jianan521

职务无
军衔无军衔
来自北京
发帖 7篇
注册 2007/1/29
PM币 -201
经验 -32点

共1页 97 [ 第1页 ] 8:

！您尚未登录，不能回复主题。现在登录注册

建设运营：共创时网络