根据Gartner发布的一项调查,现有的信息安全攻击有75%都是发生在Web应用层而非网络层面上。当用户,特别是以公众服务为目的行业用户不断遭到网络攻击时,原有的以网络层面安全防护为设计理念的体系已经不能满足防御需求,行业用户急需转变思路,寻找新的安全之“道”,而国路安提出的从应用入手的方案,给出了一条全新的解决途径。
追根溯源,基于应用层的网络攻击之所以迅速增长,是由于攻击与防御两方面的博弈结果:从攻击角度来看,随着互联网的快速发展,企业的网络应用已经开始变的复杂多样,比如邮件处理、数据存储、网络管理软件的应用等开始广泛流行起来,这给攻击者提供了深厚的土壤;从防御角度来看,由于这类攻击经常伪装成正常流量,按照传统的防御法则来看,其数据包、地址和内容都没有多少可疑特征,所以传统的防火墙很难进行防御。
应用安全系统束缚何在?
虽然业界已经普遍意识到了基于应用层网络攻击的威胁,相关的产品及解决方案却存在着很大的缺陷。这主要是因为这些产品往往从通用角度考虑,没有考虑到应用的实际情况、也无法同深层结合,从而导致系统的可用性很低。
具体来说,与传统的信息安全系统相比,应用安全系统之所以很难实现预期的效果,主要是由其特殊环境决定的:
1、应用环境:由于业务稳定性和可用性要求,主机硬件、操作系统、中间件、数据库、应用程序、网络结构等应用环境难以改变,这就使用户难以改善更换有安全隐患的应用环境;
2、技术挑战:对于基于应用层的信息安全产品来讲,其需要具备几个基本要素:保证业务性能和应用可靠性、具有应用兼容性和安全易用性、确保安全机制可信、符合政策和标准。如果无法做到这几点,其安全防护就很难达到预期的效果。
3、主观对待:很多企业都重于应用程序的开发,而轻视信息安全保护。同时,开发人员也普遍缺乏信息安全专业技能;
业务逻辑与安全逻辑分离的设计思路
我们知道,目前应用安全系统最大的障碍就是如何完美的将系统与现有的应用进行结合,这既需要系统保证足够的兼容性,还需要系统有一套合理、高效的架构。
作为一家专注于应用安全产品与解决方案研究的公司,国路安在此方面积累了丰富的经验。对于如何打造安全、可信的应用安全系统的问题,国路安的网络安全专家向记者表示:应用安全应该采用应用业务逻辑与安全防护逻辑分离的应用安全前置方案,即在不改变现有应用的前提下,将应用的安全功能放置在应用服务器之前的专用应用安全系统上实现。
这种做法的优势在于,其能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题,也能够保证应用开发人员和应用软件专注于业务处理逻辑本身,实现应用安全的专业性、有效性和高效性。
国路安基于此理念开发了GLA天璿可信应用安全系统,该系统着眼于业界最前沿安全技术,采用业务逻辑与安全逻辑分离的设计思路,安全功能强,易于部署,不改变应用程序、不改变用户习惯、不改变应用流程、不改变应用管理架构,可以实现良好的安全防护效果。
