引言：上一回我們說到，現有網絡層安全防護措施對于Web應用類安全問題的防護無效和束手無策的問題的同時，并不是告訴大家原來的網絡層和基礎型安全防護措施、體系/產品不好或沒用。如果這樣理解的話，用戶肯定會跳起來說："那按照這樣的情況，是不是我對于用來建設網絡層安全防護體系的投資和錢就白花了？！"所以這樣的理解是錯誤的。而正確的則是：之所以現在黑客的攻擊方式已經從網絡層轉向應用層，原因就是基礎型網絡層安全防護措施作的很完善，人們的安全意識提高了，包括系統級的漏洞和0day的挖掘也越來越難，官方補丁更新的也越來越快，這些都會給黑客帶來不小的"麻煩"。使黑客依靠傳統的攻擊手段面對這些嚴密的防護體系和產品已無效，因此黑客才會轉移技術研究和攻擊方向。所以，基礎型網絡層安全防護是相當重要的，也是必要的。而我們所提倡的應用層安全防護的概念是在肯定了用戶的前期投資的前提下，以及建立在完善的網絡層安全防御體系的基礎之上或同時，再配合建設基于Web應用的安全防護措施。雙管齊下才能從根本意義上全面和有效的保障用戶系統和業務的安全性。

但，我們可以思考一下，光靠以眾多網絡層防護產品為基礎所建立的，看似嚴密的安全防御體系就能完全保障用戶的業務系統的安全性嗎？答案肯定是否定的，不能！而且本節在開始的時候也論述了為什么必須是網絡層+應用層，雙管齊下才能實現業務安全的全保障。下面我們就來針對應用層安全方面的問題具體分析一下。

安恒信息信息高手出招--應用安全解決方案

招數分析：現有安全防御技術

雖然提到了采用種種傳統基于網絡層安全防護措施和產品所建立的安全防御體系和安全模型，如：目前很多企業采用網絡防火墻、IDS/IPS、補丁安全管理、升級軟件等措施實現縱深防御，然而這些方法難以有效的阻止Web攻擊，且對于HTTPS類的攻擊手段，更是顯得束手無策。

我們來分析下原因。首先來看傳統網絡防火墻設備。網絡防火墻可以控制對網絡的訪問，管理員可以創建網絡訪問控制列表（ACLs）允許或阻止來自某個源地址或發往某個目的地址及相關端口的訪問流量。但傳統的防火墻無法阻止Web攻擊，不論這些攻擊來自防火墻內部的還是外部，因為它們無法檢測、阻斷、修訂、刪除或重寫HTTP應用的請求或應答內容。為了保障對應用的訪問，防火墻會開放應用的80端口，這意味著Internet上的任意IP都能直接訪問應用，因此web及其應用服務器事實上是無安全檢測和防范的。

狀態檢測防火墻是防火墻技術的重大進步，這種防火墻在網絡層的ACLs基礎上增加了狀態檢測方式，它監視每一個連接狀態，并且將當前數據包和狀態信息與前一時刻的數據包和狀態信息進行比較，從而得到該數據包的控制信息，來達到保護網絡安全的目的。它能根據TCP會話異常及攻擊特征阻止網絡層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數據包中。然而，狀態防火墻無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數據包中，它仍然能通過防火墻到達應用服務器；同樣，如果某個攻擊進行了加密或編碼該防火墻也不能檢測。

其次我們再來看入侵檢測/防御系統。入侵檢測系統使用特征識別技術記錄并報警潛在的安全威脅。其工作模式是被動的，它不能阻止攻擊，也不能對未知的攻擊進行報警。目前大多數攻擊特征數據庫都是網絡層的攻擊，此外，可以通過加密，TCP碎片攻擊以及其他方式繞過入侵檢測系統的防御。所以，綜上所述，IDS和IPS系統也是對于Web應用安全防護是無效的。#p#

安全招數體系：結合傳統網絡層基礎防護體系的新型應用層安全解決方案

事實上，我們所討論話題的關鍵點和重點在于Web應用層的防護問題。而上文也說了，傳統網絡層安全防護措施和防御體系同等重要。因此，在這里我們來看一下安恒信息信息技術有限公司所提倡的一種基于"前端檢測+中端防護+后端追溯"的安全理念的"結合傳統網絡層基礎防護體系的新型應用層安全解決方案"。

第一招：應用層安全功能技術體系建設

對于應用層安全解決方案建議，安恒信息公司認為目前行業內所流行的安全模型，如：APPDRR、WPDRRC等，實際上都是參照于PDR安全防護體系的基礎上而發展和衍生出來的。如下圖所示：

因此，鑒于PDR安全防御體系的模型，安恒信息公司認為同樣適用于指導應用層安全防護體系的建設。即：

●在Protection防護層面：可以采用Web應用防火墻，針對應用層的攻擊進行有效防護；

●在Detection檢測層面：可以采用Web應用弱點掃描器，針對在線Web業務應用系統或B/S架構的系統進行掃描和評估，從而發現其弱點和安全問題和隱患；

●在Response響應層面：可以采用審計系統+應急響應服務+評估加固服務的方式，針對發生的安全事件進行深度調查、取證，了解原因和問題所在。從而通過人工進行有效彌補，從根本上去除威脅和風險。

另外，從用戶角度考慮，應用安全需求還應滿足以下要求：

●產品部署簡便，管理集中，操作簡潔，性能影響甚微；

●對用戶現有網絡拓撲結構盡量無影響；

●方便管理，無需進行復雜的配置；

●對現有WEB應用和業務系統的訪問速率不能造成太大的影響；

●對正常業務訪問不能進行錯誤的攔截阻斷；

●部署后效果明顯，起到關鍵的安全防范作用。#p#

第二招：安全服務支持體系建設

同時，任何信息系統的安全保障建設不能單純的依靠各類安全產品的部署，盡管安全產品的部署能夠從大的方面對信息系統進行整體的安全功能改善，但是許多安全功能無法利用安全產品實現，需要采用專門的安全服務進行完善整體安全性能。安全服務支持體系的建設將為用戶提供持續的安全動力。

同時，信息系統安全保障是一個動態的安全過程，安全產品往往不能夠及時的響應系統安全狀態的的某些變化，而專業安全服務往往能夠更及時的針對安全勢態的變化做出響應。因此建議用戶建設安全服務支持體系。

第三招：安全策略管理體系建設

不管是安全功能技術體系的建設，還是安全服務支持體系的建設，都是從技術的角度解決信息安全問題。但是安全不單純是技術的問題，"三分技術，七分管理"充分說明了安全管理的重要性，突出了用戶對信息安全管理的重視程度。

建議在用戶的安全管理體系建設主要做以下幾方面的工作：

●安全人員和組織架構的規劃

需要合理的進行安全人員和組織架構的規劃，包括：

■人員崗位與職責的劃分

■安全組織或部門的設定與職責劃分

●安全策略規范的建設與完善

安全策略規范是指導用戶進行日常信息安全運行維護的基本綱領，是用戶系統信息安全工作的指導精神，安全策略需要依據用戶的業務結構的變化進行動態的調整，使之服務于用戶的良性發展。

●安全管理規范的建設與完善

安全管理規范建設是安全系統建設的重要部分，指定安全管理規范的根本目的是要規范和約束業務運行維護過程的操作行為，輔助各項安全技術手段發揮正常功效，貫徹執行安全策略的各項要求。

綜上所述，只有通過以上"結合傳統網絡層基礎防護體系的新型應用層安全解決方案"，才能實現"前端檢測+中端防護+后端追溯"的安全核心防護理念。最終保障了核心資產的安全性，使業務系統得到了根本意義上的保障。另外在技術功能體系完善的同時，建議再建立相應的安全策略管理體系和安全服務支持體系，只有三大保障體系都建立好了，才能發揮安全產品和防護措施、體系的最大作用。

那么如何結合市場上眾多的應用安全產品來保護企業信息安全呢？請聽下回分解！