【IT168 评论】在过去的六个月的时间里,甲骨文对其Java不断的进行改进,用以保证Java的安全性,但是对于企业来说,Java的风险从来都没有消失过。近日一份国外的安全报告显示,很多企业大都安装过时的软件或者长时间不做更新的软件版本,这给企业的安全留下了隐患。
这份报告中指出,超过80%的企业电脑安装了Java。Java 6 是企业环境中最常见,也是最主要的Java形式,但是目前大多数公司不对Jave进行更新。
企业开始对Java 6进行更新。大多数公司在他们的系统上运行Java 6时不会经常进行安全更新。因为甲骨Java6 的公共更新期限终结。这意味着,今后开发者将无法获得免费的 Java 6 更新,要么升级至 Java 7,要么付费获得额外的产品支持。不过,Java 7版本中,甲骨文加强安保工作,重点采样端点系统,用以保证企业安全。
不过有一个问题是,只有3%的企业端点系统运行Java 7更新21,这些端点属于只有0.25%的受访机构,这似乎表明,组织具有较大的端点数量更有可能在他们的系统中安装有最新版本的Java。
另一个问题是,许多企业系统上运行多个版本的Java。约42%的系统有两个以上的Java版本安装在同一时间,约20%以上有3个三个版本。平均而言,企业和组织有超过50个不同版本的Java安装在他们的环境中,而大约有5%的企业有超过100个版本。
Java旧版本的安全隐患
这个问题主要源于Java安装和更新过程中对旧版本的处理。
Java 7的程序更新将尝试删除现有的Java 6,但一个干净的安装不会删除旧版本的Java 6,比如说, Java 5的版本在Java 7的安装或更新过程中就不会被删除。
93%的企业有至少5年以上的Java系统能够版本。5%的企业版本是5-10年之间。
系统上同时安装有多个版本的Java会引发安全问题,就如同病毒攻击非常喜欢针对老旧的版本侵入该计算机。一旦出现这种情况,新的Java版本的安全性就得不到保障。
企业为何不愿意进行Java更新
为什么很多企业不愿意对Java进行更新?那是因为有不同的Java版本的系统上增加的易用性,因为客户可以运行遗留应用程序。但是从安全角度来看,这是一个噩梦。安装引入另一套已知的漏洞,攻击者可以针对每个版本进行恶意攻击。
在大多数情况下,这种企业内部环境中的Java版本碎片并没有引起重视,因为许多公司不了解或不跟踪他们已经安装了多少个版本。
企业应该如何保证Java安全
企业和组织应获得新的Java版本,对他们的运行环境进行评估。下一步制定安全策略,认真考虑他们是否需要Java。
有些公司可能会发现,一个特定的Java版本需要运行遗留应用程序在某些电脑上。一些人可能会发现某些网站需要Java工作;一些人可能会发现,只需要自己的服务器上,而不是在桌面上的Java。
无论他们个人的Java需求,组织应创建一个Java部署策略和执行。他说,如果他们的政策是没有Java,那么就应该使用的工具来阻止它的运行,如果只需要在特定机器上的Java,那么他们应该删除这些机器上的Java残余。