隨著Web 2.0時代的到來，Web應用已經無處不在，Web應用安全問題也逐漸凸顯出來。根據(jù)SANS TOP20統(tǒng)計數(shù)據(jù)及OWASP TOP10應用安全漏洞統(tǒng)計數(shù)據(jù)顯示，2005年是網絡安全的一個分水嶺，2005年之前，網絡安全問題主要是反映在操作系統(tǒng)及網絡層的相關漏洞等方面。隨著微軟對安全問題的重視以及SDL在微軟開發(fā)過程中的普及應用，2005年以后網絡安全問題開始轉向應用安全領域，特別是Web應用相關的安全漏洞問題表現(xiàn)得尤為突出。

通過上網搜索我們不難發(fā)現(xiàn)，近段時間，涉及個人隱私的Web泄密事件在全國各地時有發(fā)生。

《羊城晚報》12月7日報道：近日，有網友將一份涉及廣州番禺某樓盤8000多位業(yè)主信息的文檔上傳到國內一著名網站中，引起社會關注。盡管通過這些信息，未必就能找到業(yè)主本人，但仍有業(yè)主因信息被泄露不堪滋擾。

《燕趙都市報》12月3日報道：河北唐山一些新樓盤還未交房，已有不少業(yè)主頻繁收到推銷裝修服務的電話、短信。

《齊魯晚報》11月30日報道：山東省煙臺很多市民收到一條陌生號碼發(fā)來的短信，短信發(fā)送者自稱是國家稅務總局的工作人員，通知車主國家的汽車消費稅率下調，按規(guī)定要退給車主一部分汽車消費稅，要車主按照對方提供的操作程序接受退稅。當記者按照短信中提供的號碼給對方打去電話報出車牌時，對方竟然能詳細說出該車牌號的車型、車主姓名、購車時間以及車主的身份證號碼。

只要在國內某著名網站鍵入關鍵字"業(yè)主資料"，立馬就會顯示出海量信息。其中，包括北京、上海的一些樓盤業(yè)主名單文件也赫然在列。其中一份《華都大廈業(yè)主名單》除了標示了業(yè)主的住址、電話外，還在表格外標注了電話有無人接聽等信息。通過進一步搜索，甚至還能發(fā)現(xiàn)有網民在網絡上從事業(yè)主資料買賣的交易記錄。例如：某網民留下這樣的信息： "求深圳樓盤的業(yè)主資料，我們做美容美體的，想在店面周圍的小區(qū)里面宣傳一下，要入住了的小區(qū)。"下面就有人回應稱："深圳各區(qū)的業(yè)主資料我們都有，在此不能一一列舉，需要的話您可以加我們QQ，選擇您需要的資料。"回復之后，還跟著一大串深圳樓盤的名錄……

為何如此機密的資料都能被獲取和隨意傳播？這不得不讓人聯(lián)想到相關企業(yè)內部資料泄密的問題。

盡管我們的互聯(lián)網生活已經陷入了Web應用漏洞造成的安全陰影中，但當前大多數(shù)企業(yè)用戶卻對Web應用的安全風險沒有引起足夠的重視。以瀏覽器來說，當前瀏覽器的交互性應用，使得瀏覽器已經變成了眾多應用的承載者。政府、軍隊和軍工單位、金融機構、電信運營商、房產物業(yè)公司等企、事業(yè)單位、政府機構的信息系統(tǒng)的瀏覽器端通常都含有大量的用戶信息，由于監(jiān)管不嚴或者措施滯后，易導致大量用戶信息非正常地散發(fā)或泄露于互聯(lián)網，如果不做好瀏覽器防護措施，這些部門與企業(yè)掌管的大量個人敏感信息就極有可能被第三方輕易竊取，后患無窮！企業(yè)必須充分認識到各種Web應用的風險，并采取必要的手段來避免危險的安全攻擊。到底有沒有好的辦法阻止類似事件再次發(fā)生呢？首先我們來看一下當前網頁內信息保護的途徑：

第一種，在網頁上加上Javascript控制腳本，但是這純粹是利用腳本技術控制瀏覽器的形態(tài)，用戶只需要在本地處理一下進程就可以破解這種控制方式。

第二種，利用 Flash播放器技術顯示數(shù)據(jù)，達到防復制的效果，但可以使用緩存、打印、截屏來獲取結果。

第三種，利用插件的形式禁用瀏覽器的某些功能，瀏覽器端可以使用卸載插件軟件惡意卸載。

我們認為，以上幾種方法只能部分地解決網頁上信息泄露、再次使用或擴散等問題，而且這幾種技術本身的安全性、防攻擊和防破壞能力有限，還不能從根本上解決網頁信息泄露的問題。對于企業(yè)的Web安全防護需要視具體情況具體分析，但主要應遵循以下原則：

(1)不能影響Web應用的正常運行及使用；

(2)Web安全防護不能影響Web服務的性能及可用性；

(3)Web安全防護不要對現(xiàn)有系統(tǒng)進行太多變更；

(4)盡量不要在Web服務器上安裝插件，以免影響Web服務器的穩(wěn)定性及安全性；

(5)需要在安全性和業(yè)務連續(xù)性保證方面取得一個較好的平衡點。

本來瀏覽器防護技術就是互聯(lián)網安全領域里一項全新的課題，國內外針對此項技術研發(fā)出的產品更可謂鳳毛麟角。然而，在充分考察了企業(yè)的Web安全防護主要遵循原則，排除當前通常網頁內信息保護途徑的缺陷之后，我們驚喜的發(fā)現(xiàn)：一直致力于數(shù)據(jù)信息泄露防護領域的虹安，推出的DLP瀏覽器數(shù)據(jù)防護系統(tǒng)，簡稱"BDP"（Browser Data Protect）在Web泄露方面取得的成就給了我們新的啟示。虹安研發(fā)的瀏覽器數(shù)據(jù)泄露防護系統(tǒng)，是一個增強Web應用數(shù)據(jù)呈現(xiàn)安全性的工具。通過積極安全模式，控制Web應用系統(tǒng)數(shù)據(jù)在瀏覽器端呈現(xiàn)后的使用權限；包括授權認證，瀏覽器響應策略，控制隱藏表單數(shù)據(jù)域，COOKIE保護，禁止網頁復制，打印等操作。方便的解決各種B/S架構的應用系統(tǒng)，如各類OA系統(tǒng)、CRM、ERP等，服務器數(shù)據(jù)經過客戶端瀏覽器呈現(xiàn)時的信任和泄露問題。不僅使瀏覽器自身的防護能力和抗攻擊性得到大大地加強，還不會影響原有系統(tǒng)穩(wěn)定性和安全性。

一方面，我們關注互聯(lián)網應用如何變得更加豐富與便捷。另一方面，在豐富與便捷的背后卻也引發(fā)了不堪重負的Web信息泄露問題。瀏覽器又在互聯(lián)網應用與現(xiàn)代企業(yè)的辦公環(huán)節(jié)中扮演著不可或缺的角色，因此，專業(yè)的DLP瀏覽器數(shù)據(jù)防護系統(tǒng)理所當然成為掌管大量個人敏感信息的社會公共部門與各企、事業(yè)單位的必然選擇。對致力于Web應用安全領域的企業(yè)而言，如何打造出更有效的網頁數(shù)據(jù)防泄露產品也是一種技術方向的指引。