分享
 
 
 

应用安全大有可为:目的、挑战、总结

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

提到网络安全,以前人们想到的是防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字,现在大家逐步认识到需要安全集成。

然而目前的安全集成还处在初级阶段,往往只是产品的叠加,相互间缺乏标准的通信接口,更为重要的是这些安全产品还不能与应用紧密地结合起来。因此,用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用的安全解决方案。

值得一提的是,从2004年下半年至2005年,国家相关部门、专家学者以及众多安全厂商都对安全管理本身等提出了各自的看法与实践过程。然而在欣喜之余,我们更应该考虑:信息安全,究竟是为了什么?众多应用安全事件,如文后附表所示。

因此,我们不仅需要建立更为稳固与可靠的信息安全管理体系,有效利用现有安全措施和资源,同时我们也需要从另外一种角度――应用层面来思考安全。

应用安全:最终目的

目前,企业必须要支持各种各样的用户群体,这些用户群体需要访问各种重要程度和敏感程度不同的企业信息。我们需要网络足够的安全,但网络安全为日益增长并更加复杂的用户组管理安全的、经过精心处理的资源进行完全的安全防护就显得力不从心了。这也正是目前应用级别的安全对整个企业的安全策略至关重要的原因。那么应用安全的最终目的是什么呢?

其最终目的是实现企业业务应用程序的安全基础架构,这一架构不仅仅要在简化IT业务管理的复杂性同时提升业务效率,更要保障现有的应用基础措施以及业务资产得到充分的保护;前提是所有的业务应用系统必须按照所制定的应用安全规范:定义-设计-开发-部署-维护,进入一个安全的D4M(Define-Design-Develop-Deploy-Maintain)过程。

应用安全:挑战

从概念上,应用安全的目标非常简单:一是不让攻击者访问到任何受保护的资源,二是实施合法用户能够访问业务资源的安全策略并保证这些策略能够被确切得以执行。

很遗憾,达到这些目标实际上非常的困难。

集中式应用框架是解决第一个问题的良方,其通过统一的框架将所有相关业务应用程序所涉及的元素形成统一战线;在此框架中前端的客户端向后端的表现层服务器以事先约定好的约定(Contract)提交相关上下文信息,然后由表现层服务器以服务形式通过各种适配器以及连接器向与之相连接的后台资源服务器、数据库服务器、业务应用服务器等请求服务并将结果以同样的约定(Contract)返回,从而使得攻击者即使利用网络层的种种漏洞突破安全防线也难于侵入部署于后端的重要服务器资源。最为关键的是,如何在提交上下文信息并得到最终结果的业务应用过程中,将整个环节与安全服务系统相连接并贯穿始终?这一系统将与每个应用子系统、每个服务、每个资源都密切相关。不仅如此,部署并集成这一系统高昂的成本将成为CIO们顾虑的又一个问题。

第二个目标也会导致问题,因为在业务应用中安全策略的实施将面临千变万化的场景,也就是说业务逻辑与业务策略之间并不存在简单的一一对应关系;不仅如此,安全管理员、软件开发人员、业务流程优化专家等对业务策略以及安全策略都会有各自完全不同的理解,在业务系统部署之后才来讨论如何统一理解并制定安全策略是一个不可能被完成的任务。除非能够从业务系统定义初期开始就考虑安全策略以及业务策略,并将这一做法持续直至业务系统部署上线并进入正常的运营维护过程。当然,这对业务系统的设计与开发等提出了更为严峻的挑战。CEO和CIO们面对分布式应用模式与集中式计算模式应该转变思路参照应用安全模型以确保最终的业务应用系统能够以更高效率为客户安全的提供服务并得以战胜竞争对手。

应用安全:总结

总而言之,安全是一个持续性的螺旋上升的过程,其与业务应用之间的关系密不可分。当我们发现业务应用系统的复杂程度以及所带来的风险已经远远不是单独的一个进化速度滞后于病毒、漏洞等威胁的增长速度的UTM统一威胁管理方案或者单独的一个网络安全解决方案所能够应对之时,我们必须该换种眼光,换个思路来思考业务应用与安全之间的辩证关系。

表 众多应用安全事件

数据小偷 已知蠕虫攻击 拒绝服务攻击 商业间谍 Cookie欺骗攻击

信用卡大盗 0-Day蠕虫攻击 金融数据泄漏 数据库特权混用 非法修改参数

钓鱼攻击 恶意移动代码 专利数据泄漏 缓冲区溢出 暴力破解攻击

目录遍历攻击 会话劫持攻击 跨站脚本攻击 命令注入攻击 非法编码攻击

数据破坏攻击 非法修改表单 木马 病毒 ……

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有