“阿喀琉斯之踵”的諺語告誡我們，即使是再強大的英雄，也有致命的軟肋或死穴。而在由各種安全設備搭建的防線上，如果不能轉變固守的安全策略，看似固若金湯的網絡，必然在各種應用過程中出現新的弱點，而這恰恰是黑客探測或是社交攻擊的入口。正因如此，我國金融、通信、能源、交通、政府等關鍵領域的行業用戶都應該行動起來，調整自身的網絡安全治理策略，關注應用層可能出現的“安全短板”。

傳統安全設備專注“底層” 應用威脅無人問津

曾經有一位技術并不高超的黑客，利用專長侵入了國內某通信公司充值中心數據庫，修改竊取充值卡數據密碼并向他人進行銷售，造成數以百萬計的資金損失。在信息安全領域，這個案例值得人深思：在長達半年的時間里面，耗資千萬、由防火墻、IDS、防病毒系統構成的網絡安全架構竟然一條報警信息都沒有發出!

從上面的例子我們可以發現一個問題，對于運營商這樣的用戶，他們的安全措施無疑應該是比較完善的，不過我們也應看到，這些傳統的安全防護手段主要是面向于網絡層面，而沒有在具體的應用層實施監控，用戶和應用資源之間，以及整個訪問過程和行為都是不受控制的。根據Gartner的研究數據表明，當前75%的攻擊行為已經由網絡層轉移到了應用層，當黑客在應用層發動攻擊時，或是內部人員非法存取數字資源時，網絡防火墻和入侵檢測產品發揮的作用往往極其有限。

對此，國路安(GLA)副總經理李宴祥表示：“對于一些特定行業用戶的安全需求來說，這些傳統的安全手段無法控制‘人’的操作行為，只能依靠應用系統自身攜帶的安全功能。但許多程序開發人員缺乏安全專業技能，雖然利用了身份認證及粗粒度的權限控制措施，卻沒有考慮到訪問過程和訪問行為的安全。因此，依賴傳統安全設備，或是應用系統自帶功能，都不能滿足用戶對業務應用系統防護的高安全等級要求，更難以符合信息安全等級保護的政策要求。”

符合信息安全等級保護 前置主機當好“守門員”

然而，在網絡中排除“阿喀琉斯之踵”將是一件十分困難的事情。管理員是不是需要為每套新上線的業務系統都單獨配備安全保護呢?或是對已經長期服役的業務系統來一次代碼“大換血”呢?當然，如果你有足夠的時間和資金，則可以啟動這個浩大的工程。不過，最好的方式是在業務系統和訪問者之間增加一名”守門員“，阻止非法用戶闖入，保護賴以生存的核心數據。

針對應用層威脅的特點，并確保行業用戶可以遵循國家信息安全等級保護的要求，國路安開發了滿足用戶應用安全防護要求的“可信應用安全系統”。該系統按照國家信息安全等級保護政策中對三級以上(含三級)系統的安全要求進行開發，采用了應用業務邏輯與安全防護邏輯分離的設計思路。通過前置主機的方式，在應用服務器前以透明接入方式部署GLA天璿可信應用安全系統，在不改變現有應用的前提下，通過身份認證、訪問控制、安全審計、安全傳輸、防攻擊等功能和技術，在應用層實現對業務應用系統訪問的全過程、系統化的安全管理控制。

GLA天璿可信應用安全系統能夠很好地解決既有應用系統與應用安全防護機制之間的兼容問題，可以保證在不改變應用及應用系統的前提下，提高應用的安全保證能力。因此，可以保證應用開發人員和應用軟件專注于業務處理邏輯本身，全面提高了業務處理效率，更便于系統的故障隔離。另外，GLA天璿可信應用安全系統可針對使用第三方CA證書的行業用戶，提供數字證書、用戶名/口令字、IP地址及USB KEY等多因子身份認證方式。

在具體使用過程中，管理員可以利用實現基于角色(崗位)的訪問控制，以及基于SSL協議的安全加密傳輸通道，確保存取訪問和傳輸過程的安全。在易用性方面，可信應用安全系統為用戶提供透明應用，實現了用戶應用流程不變、操作習慣不變。而特有的知識庫自學習功能，更可進一步輔助系統安全管理員制定安全策略，減少安全運維管理的工作負擔。