我有一个只支持公司内部网的网络服务器,不支持外部互联网。大约有 100 个不同的用户将连接到此服务器上的 Web 应用程序,并且他们都有自己的登录帐户。目前,由于一些设计缺陷,Web 应用程序不支持 HTTPS,这需要时间来修复。所以我有两个选择:1)延迟安装应用程序,直到它支持 HTTPS。2)只需安装这个东西,因为它只在内部网络上运行,没有很大的风险。及时,它可以被修补并移动到安全的服务器上。
Web 应用程序管理的数据具有隐私元素,因为它主要是客户信息。(但没有信用卡或银行账户数据。)不过,它仍然被视为敏感信息。但不够敏感,无法不惜一切代价进行防御。虽然会有一两个用户对计算机黑客有一定的技术知识,但大多数用户不是 IS 专家,而只是普通用户。(所有用户都使用普通用户帐户,而不是管理员帐户。用户安装其他软件几乎是不可能的。)
那么,当我在安全性较低的连接上内部安装此应用程序时,是否存在很大风险?
添加在: 我们不支持 WLAN。访问者可以插入网络,但仍无法访问 Intranet 环境。我不是这个主题的专家,但据我了解,机器需要成为我们域的一部分才能访问 Intranet 环境。(这个已经测试过了!)由于用户不能安装额外的软件,他们很难安装额外的黑客工具。每个系统也有一个很好的病毒扫描程序,它会保持最新状态。此外,所有传出 Internet 连接都必须通过一个额外的代理服务器,该服务器会进行一些额外的检查。用户知道他们对外部站点的 Internet 行为受到监控。尽管任何计算机都可能被黑客入侵,但系统不够灵敏,无法进入恐慌模式并确保一切安全。最坏的情况是黑客删除了所有数据,这意味着我们必须恢复备份。或者,他会得到一份客户名单、他们的工作和一些财务信息,但没有提及银行账户或其他账户信息。
附加组件2:我问这个只是因为常规管理员此时不可用。(由于荷兰恶劣的天气条件,他发生了事故。这并不严重,但他需要一段时间才能恢复。)该应用程序是新的,安装后将没有数据。有人告诉我,他可能需要长达 2 个月的时间才能恢复到足以继续他的工作,所以决定主要是在没有他的支持的情况下安装它,这样它就可以已经使用或等到他回来,这可能会耽误事情只要他不在,或者直到我们找到并培训了合格的替代者。
我们如何知道是否存在大风险?
我们不知道您的边界路由器有多安全,我们不知道是否有人可以走进来并将她的笔记本电脑直接插入中央交换机,我们不知道是否有一个开放的 WLAN 可以用来嗅探密码,我们不知道那些“具有一定技术知识的两个用户”是否有造成伤害的动机——总而言之:我们不知道任何可以评估的依据。
一些一般性建议:您始终必须假设您的服务与攻击者之间没有任何关系。如果涉及密码,如果涉及任何类型的敏感信息,则应加密所有连接。
有一些方法可以保护 HTTP 服务,即使它本身不支持加密。一种可能性是将它放在一个反向代理后面,该代理在前面讲 HTTPS,在后面讲 HTTP(当然,必须在同一台机器上)。
另一种可能性是使用某种 VPN 甚至 SSH 通过安全通道隧道传输更高级别的协议(在本例中为 HTTP)。
您可以使用反向代理。代理将具有用于客户端连接的 SSL 证书,并将使用未加密的 HTTP 连接连接到您的应用程序。
你还没有说你在什么操作系统上。如果这是在 windows 域环境中,域和服务器隔离将加密流量并防止非域机器看到系统。有关详细信息,请参阅此解决方案加速器。在非 Windows 环境中,可以通过 IPsec 设置类似的功能,但实现起来更加复杂。
对于内部网络,如果您不想为通配符证书(或服务器专用证书)付费,只需创建一个自签名证书。由于它是您的公司,因此用户接受证书应该不是什么大问题。并且根据您的网络的工作方式(以及您的管理员友好性),您甚至可以将其推送给用户,这样他们就不会被打扰。
如果您正在处理任何类型的敏感信息,您应该通过 HTTPS 进行处理。
这是两者之间的平衡
无论是在金钱、公司声誉、个人责任等方面。您可以通过添加一个日志系统来解决大部分问题,该系统监控谁做了什么,可能还有 IP 地址。还监视成功的登录尝试,不仅被拒绝。
是的,它可能很麻烦,但会针对一些威胁提供一些保护。这不是一个 100% 安全的解决方案,但会让您保持足够的警觉,以便掌握系统并了解它的使用方式。毕竟,如果用户需要提供一个包含 unicode 中文字符和标点符号的 16 字符长的密码,他们可能只是将其保存在便利贴上。或者在浏览器缓存上。或者在桌面上的 PASSWORD.TXT 文件中。
所以,平衡损失和收益,不要忘记通知/告诉你的主管。有他们的书面批准,只是为了避免指责。
因为您的网站提供了您提到的敏感数据,所以应该对其进行加密。设计缺陷属于什么类型?是否可以为 https 实施重定向规则以暂时克服设计缺陷?