“應用”是王道 錦囊妙計謀安全之駐守WEB安全
影子戰爭——沒有任何東西比信息更能改變世界
“國際舞臺風云變幻,常常讓人看得眼花繚亂。不過也有人歸納出了簡單的3條:一切的爭奪,無非就是為了物質、能源,還有信息。前面兩種顯而易見,但最后一種,卻是一場看不見的影子戰爭。”
提到網絡安全,以前人們想到的是防火墻、入侵檢測、加密、認證、VPN等等一系列產品的名字,現在大家逐步認識到需要安全集成。然而目前的安全集成還處在初級階段,往往只是產品的疊加,各自擁有不同的管理界面,各自擁有不同格式的日志記錄,相互間缺乏標準的通信接口,更為重要的是這些安全產品還不能與應用緊密地結合起來。因此,用戶迫切需要一個完整的、與應用緊密相關的并且是容易部署、管理和應用的安全解決方案。
值得一提的是,近幾年,國家相關部門、專家學者以及眾多安全廠商都對安全管理本身等提出了各自的看法與實踐過程。這是十分令人振奮的,然而在欣喜之余,我們更應該考慮:WEB應用安全,究竟是為了什么?
首先,它不能夠阻礙正常的業務應用;其次從威脅、攻擊、漏洞等的角度上來說,已經讓安全措施很難跟得上攻擊手法與速度的進一步提升。因此,不僅需要建立更為穩固與可靠的WEB應用安全管理體系,有效利用現有安全措施和資源,同時也需要從另外一種角度--應用層面來觀察安全。
從2000年開始已經有諸多信息安全廠商涉足應用安全領域,不僅提供了溝通應用安全的社區與論壇,并在應用安全的發展方向上做出了卓越的成績與貢獻。越來越多的企業開始關注如何讓自己的業務應用安全、穩定可靠并為之投入大量的安全資源(人-安全管理員、財-安全預算、物-安全設備),然而IT環境本身的惡化與嚴峻的考驗給業務應用系統的安全部署提出了更為苛刻的要求。
它需要在業務應用系統設計之初就被實施并貫徹其整個生命周期始末。因此,在這里我們來看一下安恒信息技術有限公司所提倡的一種基于“前端檢測+中端防護+后端追溯”的安全理念的“結合傳統網絡層基礎防護體系的新型應用層安全解決方案”的安全錦囊計:
并戰計——應用層安全功能技術體系建設
對于應用層安全解決方案建議,目前行業內所流行的安全模型,如:APPDRR、WPDRRC等,實際上都是參照于PDR安全防護體系的基礎上而發展和衍生出來的。
因此,鑒于PDR安全防御體系的模型,同樣適用于指導應用層安全防護體系的建設。即:
在Protection防護層面:可以采用Web應用防火墻,針對應用層的攻擊進行有效防護;
在Detection檢測層面:可以采用Web應用弱點掃描器,針對在線Web業務應用系統或B/S架構的系統進行掃描和評估,從而發現其弱點和安全問題和隱患;
在Response響應層面:可以采用審計系統+應急響應服務+評估加固服務的方式,針對發生的安全事件進行深度調查、取證,了解原因和問題所在。從而通過人工進行有效彌補,從根本上去除威脅和風險。
另外,從用戶角度考慮,應用安全需求還應滿足以下要求:
產品部署簡便,管理集中,操作簡潔,性能影響甚微;
對用戶現有網絡拓撲結構盡量無影響;
方便管理,無需進行復雜的配置;
對現有WEB應用和業務系統的訪問速率不能造成太大的影響;
對正常業務訪問不能進行錯誤的攔截阻斷;
部署后效果明顯,起到關鍵的安全防范作用。
攻戰計——安全服務支持體系建設
同時,任何信息系統的安全保障建設不能單純的依靠各類安全產品的部署,盡管安全產品的部署能夠從大的方面對信息系統進行整體的安全功能改善,但是許多安全功能無法利用安全產品實現,需要采用專門的安全服務進行完善整體安全性能。安全服務支持體系的建設將為用戶提供持續的安全動力。
同時,信息系統安全保障是一個動態的安全過程,安全產品往往不能夠及時的響應系統安全狀態的的某些變化,而專業安全服務往往能夠更及時的針對安全勢態的變化做出響應。因此建議用戶建設安全服務支持體系。
勝戰計——安全策略管理體系建設
不管是安全功能技術體系的建設,還是安全服務支持體系的建設,都是從技術的角度解決WEB應用安全問題。但是安全不單純是技術的問題,“三分技術,七分管理”充分說明了安全管理的重要性,突出了用戶對WEB應用安全管理的重視程度。
建議在用戶的安全管理體系建設主要做以下幾方面的工作:
(1)安全人員和組織架構的規劃
(2)需要合理的進行安全人員和組織架構的規劃,包括:
1.人員崗位與職責的劃分
2.安全組織或部門的設定與職責劃分
3.安全策略規范的建設與完善
4.安全策略規范是指導用戶進行日常WEB應用安全運行維護的基本綱領,是用戶系統WEB應用安全工作的指導精神,安全策略需要依據用戶的業務結構的變化進行動態的調整,使之服務于用戶的良性發展。
5.安全管理規范的建設與完善
安全管理規范建設是安全系統建設的重要部分,指定安全管理規范的根本目的是要規范和約束業務運行維護過程的操作行為,輔助各項安全技術手段發揮正常功效,貫徹執行安全策略的各項要求。
不同企業的網絡環境存在一定的共性,但各自的差異也尤為突出。不同行業有著不同行業的特點,即使是相同行業,其行業下所屬的企業也各有特色。企業的網絡架構的不同,業務及技術特點的不同,以及企業文化的不同等等,這些都會加大用戶對反病毒安全產品需求的不同。因此具有向用戶提供有個性化、立體化安全方案的能力才能保證多元化的網絡安全。
總而言之,安全是一個持續性的螺旋上升的過程,其與業務應用之間的關系密不可分。當我們發現業務應用系統的復雜程度以及所帶來的風險已經遠遠不是單獨的一個進化速度滯后于病毒、漏洞等威脅的增長速度的UTM統一威脅管理方案或者單獨的一個網絡安全解決方案所能夠應對之時,我們必須該換種眼光,換個思路來思考業務應用與安全之間的辯證關系。
安全措施與業務應用二者之間的倒沙漏模型帶給了我們更多的思考。那么我們究竟如何尋找到最恰當的結合點?如何更有效的關聯業務應用與安全措施等等一系列的問題都給WEB應用安全技術的發展提出了更嚴峻的挑戰。
【編輯推薦】
