應(yīng)用威脅被忽視 部署安全“守門員”

責(zé)任編輯:editor004

2014-03-05 10:49:22

摘自:中關(guān)村在線

不論是大型企業(yè),還是中小企業(yè),在網(wǎng)絡(luò)技術(shù)快速發(fā)展,設(shè)備快速更迭的今天,網(wǎng)絡(luò)安全管理都在威脅對抗中變得越來越復(fù)雜。在具體使用過程中,管理員可以利用實(shí)現(xiàn)基于角色(崗位)的訪問控制,以及基于SSL協(xié)議的安全加密傳輸通道,確保存取訪問和傳輸過程的安全

不論是大型企業(yè),還是中小企業(yè),在網(wǎng)絡(luò)技術(shù)快速發(fā)展,設(shè)備快速更迭的今天,網(wǎng)絡(luò)安全管理都在威脅對抗中變得越來越復(fù)雜。為了確保企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定,就需要制定多樣化、有針對性的安全防護(hù)策略,否則即使看似固若金湯的網(wǎng)絡(luò),也可能由于網(wǎng)絡(luò)設(shè)備或業(yè)務(wù)上的不當(dāng)應(yīng)用而引發(fā)出新的安全漏洞,而這恰恰容易成為黑客探測或攻擊的入口。

提升企業(yè)網(wǎng)絡(luò)安全 應(yīng)用威脅更需重視

應(yīng)用威脅被忽視

我們常常聽到企業(yè)網(wǎng)受到黑客攻擊的事件,而其中更不乏一些菜鳥級黑客。記得就曾經(jīng)有一位技術(shù)并不高超的黑客,利用網(wǎng)上購買的黑客軟件侵入了國內(nèi)某通信公司充值中心數(shù)據(jù)庫,修改竊取充值卡數(shù)據(jù)密碼并向他人進(jìn)行銷售,在半年時(shí)間里造成了數(shù)以百萬計(jì)的資金損失。

提升企業(yè)網(wǎng)絡(luò)安全 應(yīng)用威脅更需重視

基于應(yīng)用層的黑客行為常常被忽視

而這樣案例在IT安全領(lǐng)域,不得不說是引人深思的:在長達(dá)半年的時(shí)間里面,耗費(fèi)千萬巨資,由多臺防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全架構(gòu),竟然連一條報(bào)警信息都沒有發(fā)出過。

對于運(yùn)營商這樣的大型企業(yè)用戶,他們的網(wǎng)絡(luò)安全措施無疑應(yīng)該是比較完善的。不過也應(yīng)看到,由于網(wǎng)絡(luò)技術(shù)的不斷演進(jìn),傳統(tǒng)的安全防護(hù)手段還主要停留在保障網(wǎng)絡(luò)設(shè)備“底層”安全的層面上。一些安全措施在具體的應(yīng)用層上還沒有實(shí)施監(jiān)控,用戶與應(yīng)用資源之間,以及整個(gè)訪問過程和行為還都有不受控制的隱患。

根據(jù)Gartner的研究數(shù)據(jù)表明,當(dāng)前75%的攻擊行為已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)移到了應(yīng)用層,當(dāng)黑客在應(yīng)用層發(fā)動(dòng)攻擊時(shí),或是內(nèi)部人員非法存取數(shù)字資源時(shí),網(wǎng)絡(luò)防火墻和入侵檢測產(chǎn)品發(fā)揮的作用往往是極其有限。

對一些特定行業(yè)用戶的安全需求來說,傳統(tǒng)的安全手段已無法滿足控制“人”的操作行為,只能依靠應(yīng)用系統(tǒng)自身攜帶的安全功能。但許多企業(yè)的網(wǎng)絡(luò)安全部署,雖然利用了身份認(rèn)證及粗粒度的權(quán)限控制措施,卻沒有考慮到訪問過程和訪問行為的安全。因此,只依賴傳統(tǒng)安全設(shè)備,或是應(yīng)用系統(tǒng)自帶防護(hù)功能,都不能滿足用戶對業(yè)務(wù)應(yīng)用系統(tǒng)防護(hù)的高安全等級要求,更難符合信息安全等級保護(hù)的更高要求。

部署安全“守門員”

為了排除網(wǎng)絡(luò)中的各個(gè)隱患,是不是需要為每套新上線的業(yè)務(wù)系統(tǒng)都單獨(dú)配備安全防護(hù)?或是對已經(jīng)部署的業(yè)務(wù)系統(tǒng)來一次安全代碼“大換血”呢?當(dāng)然,如果你的企業(yè)有足夠的時(shí)間和資金的話,是可以展開這項(xiàng)浩大工程的。不過,最好的方式是在業(yè)務(wù)系統(tǒng)和訪問者之間增加一名“守門員”,來阻止非法用戶的侵入,保護(hù)企業(yè)賴以生存的核心數(shù)據(jù)資料。

提升企業(yè)網(wǎng)絡(luò)安全 應(yīng)用威脅更需重視

上網(wǎng)行為管理網(wǎng)關(guān)能夠基于應(yīng)用進(jìn)行安全防護(hù)

那么具體如何實(shí)現(xiàn)呢?針對應(yīng)用層威脅的特點(diǎn),并確保行業(yè)用戶可以遵循國家信息安全等級保護(hù)的要求,可以部署滿足用戶應(yīng)用安全防護(hù)要求的上網(wǎng)行為管理設(shè)備。如現(xiàn)在就有通過前置主機(jī)的方式,采用應(yīng)用業(yè)務(wù)邏輯與安全防護(hù)邏輯分離的設(shè)計(jì)思路,在應(yīng)用服務(wù)器前以透明接入方式部署的上網(wǎng)行為管理網(wǎng)關(guān)等設(shè)備的方案推出。

其最大優(yōu)勢是在不改變現(xiàn)有應(yīng)用的前提下,通過身份認(rèn)證、訪問控制、安全審計(jì)、安全傳輸、防攻擊等功能和技術(shù),在應(yīng)用層實(shí)現(xiàn)對業(yè)務(wù)應(yīng)用系統(tǒng)訪問的全過程、系統(tǒng)化的安全管理控制。

提升企業(yè)網(wǎng)絡(luò)安全 應(yīng)用威脅更需重視

部署基于應(yīng)用識別的網(wǎng)絡(luò)安全管控設(shè)備

因此,可以部署這樣的網(wǎng)關(guān)便于進(jìn)行系統(tǒng)故障隔離,保證業(yè)務(wù)應(yīng)用人員和應(yīng)用軟件專注于業(yè)務(wù)處理上,全面提高了企業(yè)的工作效率。另外,如果該系統(tǒng)支持針對使用第三方CA證書的行業(yè)用戶,提供數(shù)字證書、用戶名/口令字、IP地址及USB KEY等多因子身份認(rèn)證方式,就更加豐富了防護(hù)的手段了。

在具體使用過程中,管理員可以利用實(shí)現(xiàn)基于角色(崗位)的訪問控制,以及基于SSL協(xié)議的安全加密傳輸通道,確保存取訪問和傳輸過程的安全。在易用性方面,通過為用戶提供細(xì)致的權(quán)限分工及透明的應(yīng)用,實(shí)現(xiàn)了用戶應(yīng)用流程不變、操作習(xí)慣不變。而如果該設(shè)備支持特有的知識庫自學(xué)習(xí)功能,則可進(jìn)一步輔助系統(tǒng)安全管理員制定安全策略,減少安全運(yùn)維管理的工作負(fù)擔(dān)。

綜上所述,一臺好的上網(wǎng)行為管理網(wǎng)關(guān)能夠很好地解決既有應(yīng)用系統(tǒng)與應(yīng)用安全防護(hù)機(jī)制之間的兼容問題,可以保證在不改變應(yīng)用及應(yīng)用系統(tǒng)的前提下,提高應(yīng)用的安全保證能力。因此,在金融、通信、能源、交通、政府等關(guān)鍵領(lǐng)域的行業(yè)用戶都應(yīng)該行動(dòng)起來,調(diào)整自身的網(wǎng)絡(luò)安全治理策略,關(guān)注和消除在應(yīng)用層可能出現(xiàn)的“安全短板”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號