B/S與C/S結構安全的相對比較

關於網路安全軟體B/S、C/S兩種結構的優劣，近兩年來出現過一些技術性的爭論，但目前業內人士已經基本達成共識，B/S結構的優越性得到了普遍的認可，B/S結構是否能成為C/S結構的終結者還有待時間的驗證。
何為C/S、B/S結構
C/S結構軟體（即客戶機/伺服器模式）分為客戶機和伺服器兩層，客戶機不是毫無運算能力的輸入、輸出設備，而是具備了一定的數據處理和數據存儲能力；通過把應用軟體的計算和數據合理地分配在客戶機和伺服器兩端，可以有效地降低網路通信量和伺服器運算量。由於伺服器連接數量和數據通信量的限制，這種結構的軟體適於在用戶數目不多的區域網內使用。
B/S結構軟體（瀏覽器/伺服器模式）是隨著Internet技術的興起，對C/S結構的一種改進。在這種結構中，軟體應用的業務邏輯完全在應用伺服器端實現，用戶表現完全在Web伺服器實現，客戶端只需要瀏覽器即可進行業務處理，是一種全新的軟體系統構造技術。這種結構已經成為當今應用軟體的首選體系結構。
B/S入侵檢測軟體的優越性
目前網路安全領域備受矚目的入侵檢測軟體也有B/S和C/S兩大類，由於B/S軟體先天的優越性，使得採用這種結構的入侵檢測軟體逐步受到用戶的歡迎，表現出愈來愈強的市場競爭力，其優越性主要體現在下面幾個方面。
B/S與C/S安全性比較
很多用戶在提到B/S架構設計的系統後, 第一個疑惑就是,.這個軟體安全嗎?為什麼用戶會有這樣的疑惑,因為B/S架構放在internet上後,只要有IE瀏覽器的電腦都可以訪問這個系統.而C/S架構只有安裝了特定Client軟體的用戶才可以使用本系統，所以一直以來我們的用戶都在擔心著B/S的安全問題．而業內一些C/S的支持者也一直把B/S的安全問題作為一個不休的話題一直在討論著．只能說這樣的討論非常無聊，我並不反對Ｃ／Ｓ有很多優點．但是從安全形度分析，Ｂ／Ｓ遠遠高於Ｃ／Ｓ．
１　前面我們講到＂C/S架構只有安裝了特定Client軟體的用戶才可以使用本系統＂，正因為在用戶的電腦上安裝了Client所以這個系統就面臨著程序被分析，數據被截取的安全隱患，因為所有的數據必須從ＳＥＲＶＥＲ讀到ＣＬＩＥＮＴ然後進行操作，而Ｂ／Ｓ所有的數據操作全部在ＳＥＲＶＥＲ上進行在ＣＬＩＥＮＴ只是ＰＯＳＴ一個ＨＴＭＬ代碼．
２　目前很多傳統的Ｃ/Ｓ系統還是採用２層結構也就是說所有的ＣＬＩＥＮＴ直接讀取ＳＥＲＶＥＲ中的數據，在ＣＬＩＥＮＴ端包括了數據的用戶名＼密碼等致命的信息，難道這樣的系統安全嗎？如果這樣的系統放在ＩＮＴＥＲＮＥＴ上，那麼這個ＳＥＲＶＥＲ面向任何連接上ＩＮＴＥＲＮＥＴ的用戶都是開放的，而Ｂ／Ｓ架構的系統，在ＣＬＩＥＮＴ上沒有任何信息．面向用戶開放的也只是ＷＥＢＳＥＲＢＥＲ，而真正保存我們數據的信息全部在ＤＡＴＡＳＥＲＶＥＲ上，這個ＤＡＴＡＳＥＲＶＥＲ完全可以不放在ＩＮＴＥＲＮＥＴ上，也只能讓我們指定的ＷＥＢＳＥＲＶＥＲ來訪問．
３　當然現在也流行一種３層架構的Ｃ／Ｓ系統，但是我想問的是，你做的中間件要比microsoft 寫的iis 更安全嗎？目前有很多截數據包分析的各種手段，bs 可以使用https 加密來解決。但是你的C/S 伺服器有考慮過這問題嗎？你說你加密了數據，你加密的比https 還好嗎？ 你沒有加密，那就是明文的，隨便找一個sniff 監聽軟體就可以把數據截下來。
更低的布署成本
傳統的C/S結構入侵檢測系統需要在管理主機上安裝客戶端軟體及第三方資料庫（SQL Server 2000、Access 2000等），如果用戶需要在多台主機上管理設備則需要大量的重複安裝工作，而B/S結構的入侵檢測軟體避免了這些麻煩，開機即可運行無需安裝資料庫軟體，簡化了用戶端的環境要求，用戶也無須為了使用這種軟體而安裝任何資料庫軟體或單獨的設備，只需具備IE瀏覽器即可操作。如此顯著的易用性大大降低了入侵檢測系統在一個用戶網路中的布署成本，成為這類入侵檢測軟體最吸引用戶的因素之一.
在目前國內的入侵檢測產品已經有少數技術領先的廠家開始採用B/S結構，榕基網安就是其中比較有代表性的一個。榕基RJ－IDS入侵檢測系統問世於2005年，其基於WEB2.0模式的B/S軟體結構有著採用C/S結構的入侵檢測軟體無法比擬的優勢，目前已經陸續應用於電力、電信、金融等大型行業。
更高的數據安全性
C/S結構軟體在保護數據的安全性方面有著先天的弊端。由於C/S結構軟體的數據分布特性，客戶端所發生的火災、盜搶、地震、病毒等都將成為可怕的數據殺手。另外，對於集團公司內部網路中常見的多級應用，C/S結構的軟體必須安裝多個伺服器，並在多個伺服器之間進行數據同步。如此一來，每個數據點上的數據安全性都將影響到整個應用的數據安全性。所以，對於集團公司多級的大型應用來講，C/S結構軟體的安全性是令人無法接受的。
由於B/S結構數據集中存放於總部的資料庫伺服器，客戶端不保存任何業務數據和資料庫連接信息，也無需進行數據同步，所以上述安全問題也就不必擔心了。對於所安裝的入侵檢測系統採用C/S軟體結構的用戶，還需要一台裝有Windows操作系統的PC機來安裝客戶端和資料庫作為控制台，在日常的應用中，這樣的控制台的安全性難以保證，容易因內部人員濫用以及外部攻擊而失去起碼的安全保障，而對於採用了B/S結構的入侵檢測軟體來說，這個問題也不存在。所以從數據安全的角度看來，入侵檢測系統採用B/S結構尤其重要，榕基網路入侵檢測系統正是通過更為先進的B/S軟體結構為用戶的系統帶來更可靠的數據安全性。
避免了數據的不一致性
在很多採用C/S結構的入侵檢測軟體的用戶系統中，尤其是大型集團用戶，往往採用先將大量數據儲存在客戶端，然後再進行數據同步的模式。相關的伺服器每天必須同步完畢之後，管理中心才可得到最終的數據。局部網路的臨時故障就可能造成個別客戶端資料庫不能進行同步，即使同步上來，各客戶端也不是一個時點上的數據，數據永遠無法一致，不能用於決策。而對於榕基網路入侵檢測系統這樣的B/S結構軟體來講，其數據是集中存放的，客戶端發生的事件報警都直接進入到管理中心資料庫，不存在數據一致性的問題。
更好的數據實時性
在集團級應用里，C/S結構的入侵檢測系統使得網路管理者不可能隨時看到當前網路攻擊事件的發生情況，看到的都是事後數據；而類似榕基網路入侵檢測系統這樣的採用B/S結構的軟體則不同，它可以使網管員實時地看到當前發生的所有事件，便於進行快速決策，能夠更有效避免企業的損失。榕基網路入侵檢測系統還採用了非常先進的WEB2.0模式下的Ajax（Asynchronous JavaScript + XML）技術，可以更好的實現數據的實時自動更新。
更好的數據溯源性
由於B/S結構的數據是集中存放的，所以管理中心可以直接追溯到各資產的原始數據，也就是說看到的結果可溯源。大部分C/S結構的軟體則不同，為了減少數據通信量，僅僅上傳中間報表數據，在管理中心不可能查到客戶端的原始數據。
其他
除去應用布署的便利性，數據的安全性、一致性以外，B/S結構的軟體還有很多優越性，在實際應用中會使用戶能夠獲得切身體驗。比如C/S結構軟體僅適用於區域網內部用戶或寬頻用戶（1兆以上），而B/S結構軟體可以適用於任何網路結構甚至包括28.8K撥號入網方式，特別適於寬頻不能到達的地方。當然，不同網路安全廠商的B/S結構軟體在應用層面的設計上也各具特點，力求使用戶的使用過程簡化，塑造人性化的應該環境。以榕基入侵檢測系統為例，RJ－IDS的用戶端採用WEB界面，十分符合用戶的日常操作習慣，操作簡單方便。在系統維護功能的設計上，RJ－IDS為用戶考慮的更為周到，簡化了系統的規則升級、軟體升級、日誌維護、磁碟維護，一切維護功能經一次配置後可以由系統自動完成。榕基網路入侵檢測系統在系統的網頁瀏覽過程中還具備關聯特性，用戶可以在閱讀報告的過程中在關聯網頁中自由切換，隨時看到自己希望了解的相關信息，從而避免了C/S模式下靜態報告的缺陷。
展望
當前國內網路安全產品市場的現狀已經表明，正如技術專家們所預計的那樣，B/S結構的入侵檢測軟體產品正在大踏步地走向行業市場，採用C/S結構的同類產品在更先進的競爭者面前已經開始遠離人們的視線；而對於同樣採用B/S軟體結構的入侵檢測產品製造商來說，如何使檢測技術更先進，使應用更便利，使性能價格比更具競爭力，使銷售渠道更具活力，都是需要考慮的問題。一切工作都剛剛開始，但無論哪些廠商能夠在競爭中取得領先地位，B/S結構在應用領域大行其道的時代即將來臨了。