網絡應用安全四大發展趨勢
信息安全的核心在于“信息數據”的安全,而在數據處理中,應用才是關鍵。隨著網絡的快速發展,網絡應用類別越來越多,應用復雜度也越來越高,人們逐漸發現,單純解決數據的訪問和傳輸的安全已經無法很好地保障信息安全,必須高度重視維護關鍵應用的安全,從數據的產生、計算和存儲等多個角度來思考和解決。因此,對于“網絡應用”安全的關注度也逐漸升溫。目前,網絡應用安全呈獻出以下幾大發展趨勢。
趨勢一:Web應用安全市場成為必爭之地
如今,越來越多的企業用戶已將核心業務系統轉移到網絡上,Web瀏覽器成為業務系統的窗口。在此背景下,如何保障企業的應用安全,尤其是Web應用安全成為新形勢下信息安全保障的關鍵所在。Gartner的一份分析報告指出,在調查的企業數據中心中,92%的Web應用有安全缺陷;80%存在跨站攻擊;高達62%存在SQL注入風險;而參數篡改和Cookies毒化也分別達到60%和37%。同時,專門針對應用層進行攻擊的手段越來越多,越來越難以防范。
從技術的角度看,Web應用的安全主要涉及兩個方面:服務器端和客戶端。服務器端的安全隱患主要有腳本安全、SQL注入、盜鏈、DoS/DDoS攻擊。而客戶端的安全隱患主要是Cookie、證書、可執行代碼的限制、安全選項設置不當等。
目前已經有相當多的安全廠商提出了自己的Web應用安全解決方案。
趨勢二:加強應用本身的安全是網絡應用安全的關鍵
網絡應用之所以不安全,其中很關鍵的一點是應用程序本身不安全,給網絡攻擊留下了可乘之機。有幾家安全廠商已經將注意力到應用程序開發過程中,提出了所謂的代碼級解決方案,確保應用服務本身的安全漏洞盡量少,盡可能地消除程序的安全漏洞帶來的可乘之機。
趨勢三:身份管理成為應用訪問控制主流技術
基于身份的應用管理包括身份識別、權限控制、行為審計等多方面。網絡邊界正在逐漸變得模糊,移動終端越來越普及,我們面臨的網絡世界不再是清晰的內部與外部,身份成為網絡世界的辨識要素,因此對于身份的管理就顯得尤為重要。
傳統的身份管理技術主要采用所謂的AAA技術,然而隨著應用安全需求的發展,不再是身份的識別和權限控制那么簡單,更多的是希望通過“身份”的管理來實現應用訪問控制。比如當前比較流行的P2P應用占據了大量的網絡帶寬,在某些場合,事實上已經嚴重影響了正常的業務操作,成為企業和網絡運營商頭疼的問題,但又不能簡單地禁止這些應用。于是如何識別這些P2P應用,如何給不同的身份配置不同的P2P應用權限,如何監控這些應用下載的數據的合法性和安全性,都成為了應用訪問控制的關鍵。
趨勢四:采用多核硬件架構來解決應用安全處理性能不足的問題
要確保紛繁復雜的網絡應用的安全,就不得不深入分析報文。不僅僅需要分析報文的傳輸層,還需要分析報文的應用協議層、應用數據內容,甚至還需要分析報文之間的關聯性,這就給應用安全技術帶來更大挑戰。既要分析準確,又要確保報文的實時性,在一定程度上,這兩者是矛盾的,單純希望從軟件角度解決此矛盾已經不再現實,必須尋求更高更強的硬件架構才能解決根本問題。
部分實力雄厚的應用安全廠商已經采用多核硬件架構來解決性能瓶頸,將應用安全的處理能力提升到以前的5~10倍,基本滿足了當前對網絡應用安全的性能要求。
未來更多的業務將以Web應用方式呈現,信息安全也必將從以邊界防護為主向應用和數據安全防護為主過渡,同時加強在應用研發、部署以及維護等方面的安全管理并輔以必要的技術設備,才能跟上信息化發展的步伐,實現協調發展。
【編輯推薦】
