减少Java安全更新带来的风险

Mike Chapple, CISSP，University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿，是《信息安全》杂志的技术编辑。

为崂山等地区用户提供了全套网页设计制作服务，及崂山网站建设行业解决方案。主营业务为成都做网站、网站设计、崂山网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

据安全供应商Sourcefire称，91%的攻击者都是通过Java进入网络，并且Java可能牵连主要服务，例如Microsoft Office、Adobe Reader等。特别是Adobe的软件，在过去几年被黑客大量滥用，针对它的攻击数量遥遥领先。从合规的角度来看，如果企业不从其环境移除Java或者至少锁定它，企业是否面临违反HIPAA和PCI DSS等问题?

Mike Chapple：对于试图破坏企业系统和网络安全性的攻击者来说，Java的确是第一选择。一直以来，该平台都有需要修补的安全漏洞，世界各地的信息安全企业都知道安装Java补丁是一个噩梦。通常情况下，企业需要安装Java安全更新来避免威胁，但如果企业选择更新的话，关键应用程序将停止运行。

从合规的角度来看，并没有具体规定要从环境移除Java。然而，我们面临的挑战是，大多数法规要求企业在合理时间内部署供应商提供的安全补丁。这也给安全管理员带来进退两难的局面：运行有漏洞不合规版本的Java，还是升级和中断应用程序。这并不是一个容易的决策。

如果你能够从环境移除Java，这一定会为你节省的一些麻烦。如果这不可能实现的话，另一种办法是补偿控制。例如，PCI DSS允许你记录不能遵守该标准的情况，并部署采用额外的安全机制的补偿控制来填补这个空白。你将需要证明这种补偿控制是足够的，但这是可以实现的。

如果Java更新是不可能的，你可以尝试隔离它。而虚拟化Java应用程序或在锁定的机器(不太可能暴露Java)运行它也许可以作为另一种选择。另外，可能有办法从需要Java的业务流程移除持卡人数据，并将该应用程序拖出持卡人环境的范围。在这种情况下，笔者建议在投资于技术和设计工作之前，与QSA坐下来好好谈谈一些场景。

当前文章：减少Java安全更新带来的风险
新闻来源：http://www.hantingmc.com/qtweb/news12/24012.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联