如果您认为Java的设计可以保证Java小程序的安全与友善的话，您应该再好好想一想。对数字签名的伪造以及难以驾驭的ActiveX控制功能的出现极大地降低了Java的安全性。 　　 　　　　任何人只要拥有一个合法的E－mail地址就可以获得一个1类数字签名（Class 1 Digital Signature），而获得一个1类签名所需的不过是一个信用调查，它一般可以由一个像Equifax这样的信用报告公司来提供。 　　　　动机不良的人可以通过伪造的驾驶执照、护照和信用卡来获得假的身份。在信用报告公司的数据库中的每一个假身份都可以用来获得一个2类数字身份证(Class 2 Digital ID)，而这只需每年花20美元就可以办到。 　　　　这真是一幕可怕的情景，但是先不要把你的企业网与Internet断开。对遭遇到Internet上的攻击性软件的危险性的评估是非常复杂的。一方面，现在已知的恶意的Java小程序和ActiveX组件只有250种(相比之下，世界上有约15000种已知的计算机病毒)，而且，Java小程序的应用环境中包含有很多严格的内建安全措施。 　　　　另一方面，对Java的安全性问题又不能掉以轻心。Internet上的恶意代码可以成为工业间谍活动的一种重要形式——如果它可以被执行，无论是经过数字认证了的Java小程序还是ActiveX组件都可以在你的本地机上执行任何它们的主人希望执行的操作。这些带有签名的Java小程序或ActiveX组件甚至可以访问你的文件服务器。 　　　　尽管我们经常将病毒斥之为某个在其孩提时代受到过父母虐待的程序员的一种恶意发泄，但是，一个在Internet上传播的Java小程序或ActiveX组件比起它来可能要危险得多，因为你的竞争对手利用它们可以有机会在网上窥探、改动或删除你的文件。病毒可以改变你的主引导扇区，删除或修改文件并且显示骚扰信息，但埋藏在Internet上的 Web页面中的恶意程序不会只进行像病毒所进行的这种破坏，它会将它窥探到的东西向其Web服务器主机汇报。 　　　　如果您担心您的与Internet相连的企业网会成为一条竞争对手窥探您的核心数据的管道并想为此而加强保护措施的话，您可能会购买安全工具以将非法入侵者拒之门外。为此，我们对这类安全性产品进行了评测，评测的重点主要是那些承诺可以在服务器上识别并消除恶意的Java小程序、javascript、VBScript和ActiveX组件的产品。它们是： 　　　　eSafe技术公司(eSafe Technologies)的eSafe Protect Enterprise 1.21； 　　　　Finjan公司的SurfinGate 4.0； 　　　　Security－7软件公司(Security－7 Software)的SafeGate 2.1(Beta版)； 　　　　Trend Micro公司的Interscan AppletTrap(Bate版)。 　　　　一些客户端的产品也可以消除病毒与恶意Java小程序的威胁，但我们觉得如果能够在网关服务器上将那些具有潜在毁灭性的或是企图进行非法查询的外部软件拒之门外就再好不过了，因为这样那些恶意代码便无法靠近客户机了。 　　　　在评测中，我们发现Security－7软件公司的SafeGate 2.1提供了针对恶意代码的最佳保护。它的速度非常快，可以保证客户机的安全，非常易于管理并且其性价比也是最高的，因此它获得了我们的编辑选择奖。所有产品都在安全性方面达到了要求。 　　 　　Security－7软件公司的SafeGate 2.1(Beta) 　　 　　　　SafeGate完全基于服务器的架构及其高水准的安全特性给我们留下了深刻的印象。它检查我们的HTTP流量中的Java小程序、ActiveX组件、javascript和VBScript并对其进行过滤。它还对通过Java的ZIP、JAR和CAB文件进行解压并检查其文件内容，从而使得隐藏在其中的恶意代码难以蒙混过关。我们喜欢它对网络数据包所进行的实时的、基于内核的处理，这种处理方式可以帮助它迅速找出有害代码。它可以迅速地校验带有签名的ActiveX信用证和小应用程序，而且它一般只需要不到一秒种的时间就可以完成对每个Java小程序(无论有害的还是无害的)的检查。更令人称道的是，它丝毫也不会影响客户机的处理速度。 　　　　对于封装在HTML文件中的javascript程序，SafeGate也提供了优秀灵活的安全手段。它使用的基于加密和密码规则的认证方式的内部安全特性起到了锦上添花的作用。该产品使不受欢迎的Internet代码远离我们的客户机，而这正是我们希望它做的。 　　　　SafeGate的安装过程不费吹灰之力。由于我们用不着访问每一个客户机或使用登录脚本来安装客户机组件，因此安装过程被简化了许多。我们可以选择在每台客户机上加载一个“通告程序”(Notifier)组件，它可以让SafeGate在客户机打开一个窗口，并通过该窗口告知使用者某个当前的浏览器操作正在被终止，因为它隐含着一个恶意程序。 　　　　SafeGate由4套组件构成：运行于Windows NT之上的网关内容检查服务、中央控制中心管理控制台、策略管理器用户界面和侦听监视器。在2.1版中还包含有一个用于管理私人信用证书的管理工具。我们按类型对进入的文件进行了过滤(例如动态链接库、可执行文件和OLE控制等)，我们可以根据几条原则选择将未经签名的Java小程序、未经签名的ActiveX组件和javascript堵住。SafeGate上的一个薄弱点在于——它需要你预先装入Microsoft IE 4.0，因为它要使用IE中的加密API动态链接库，但是，Windows NT Server与IE之间的组合并没有达到其应该达到的性能。 　　　　我们很喜欢SafeGate直观的用户界面。SafeGate的拖放能力使得像输入授权认证证书这样的管理工作非常便捷。在我们的测试中，我们使用策略管理器来为个人用户和被命名的工作组用户生成并编辑安全规划。侦听监视器可以显示SafeGate的侦听日志，并使我们可以对破坏安全性的操作和网关检查报告进行跟踪。在我们安装了网关用户界面之后，我们很快发现它对于检验内容、检查服务的操作和连通性非常有用，它可以使我们实时地看到被分析的内容。然而，网关界面只能记录很短的内容，因此控制中心和侦听监视器还是我们用来了解通过的和被拒绝的对象情况的主要信息来源。 　　　　SafeGate使用微软的数据访问对象(Data Access Object，DAO)技术来存储安全规划。通过选择ODBC(Open Database Connectivity，开放式数据库连接)选项并使用NT服务器的ODBC管理器来生成数据库式连接，我们可以很方便地将Microsoft SQL Server 6.5作为SafeGate的存储数据库来使用。 　　　　另外，借助于Check Point公司的企业级安全连接开放平台(Open PlatFORM for Security Enterprise Connectivity)API，SafeGate可以与Check Point软件技术公司的FireWall－1防火墙产品配合使用。在这一模式下，SafeGate自己的基于内核的检查引擎要让位于FireWall－1的数据包检查进程，而后者的运行速度要比SafeGate自己的代码检查器慢。 　　 　　Trend Micro公司的InterScan AppletTrap(Beta版) 　　 　　　　我们很喜欢Trend Micro公司的InterScan AppletTrap，因为它发现可疑代码的方法极具创造性。它非常出色地完成了保护我们的客户机免受攻击的任务，并且在易于管理方面与SafeGate几乎不相上下。它的界面也非常直观，但缺乏像SafeGate那样的拖放界面。与SafeGate一样，我们所测试的InterScan AppletTrap还只是一个Bate版的产品。 　　　　我们发现AppletTrap并不是一个单纯的服务 [1] [2] 下一页