首页 >> 通信技术 >> 技术滚动 >> 正文
应用安全不应成为你的“阿喀琉斯之踵”
通信世界网 http://www.cww.net.cn 2014年2月21日 16:30
标签:应用安全 国路安
 

通信世界网讯(CWW) “阿喀琉斯之踵”的谚语告诫我们,即使是再强大的英雄,也有致命的软肋或死穴。而在由各种安全设备搭建的防线上,如果不能转变固守的安全策略,看似固若金汤的网络,必然在各种应用过程中出现新的弱点,而这恰恰是黑客探测或是社交攻击的入口。正因如此,我国金融、通信、能源、交通、政府等关键领域的行业用户都应该行动起来,调整自身的网络安全治理策略,关注应用层可能出现的“安全短板”。

传统安全设备专注“底层” 应用威胁无人问津

曾经有一位技术并不高超的黑客,利用专长侵入了国内某通信公司充值中心数据库,修改窃取充值卡数据密码并向他人进行销售,造成数以百万计的资金损失。在信息安全领域,这个案例值得人深思:在长达半年的时间里面,耗资千万、由防火墙、IDS、防病毒系统构成的网络安全架构竟然一条报警信息都没有发出!

从上面的例子我们可以发现一个问题,对于运营商这样的用户,他们的安全措施无疑应该是比较完善的,不过我们也应看到,这些传统的安全防护手段主要是面向于网络层面,而没有在具体的应用层实施监控,用户和应用资源之间,以及整个访问过程和行为都是不受控制的。根据Gartner的研究数据表明,当前75%的攻击行为已经由网络层转移到了应用层,当黑客在应用层发动攻击时,或是内部人员非法存取数字资源时,网络防火墙和入侵检测产品发挥的作用往往极其有限。

对此,国路安(GLA)副总经理李宴祥表示:“对于一些特定行业用户的安全需求来说,这些传统的安全手段无法控制‘人’的操作行为,只能依靠应用系统自身携带的安全功能。但许多程序开发人员缺乏安全专业技能,虽然利用了身份认证及粗粒度的权限控制措施,却没有考虑到访问过程和访问行为的安全。因此,依赖传统安全设备,或是应用系统自带功能,都不能满足用户对业务应用系统防护的高安全等级要求,更难以符合信息安全等级保护的政策要求。”

符合信息安全等级保护 前置主机当好“守门员”

然而,在网络中排除“阿喀琉斯之踵”将是一件十分困难的事情。管理员是不是需要为每套新上线的业务系统都单独配备安全保护呢?或是对已经长期服役的业务系统来一次代码“大换血”呢?当然,如果你有足够的时间和资金,则可以启动这个浩大的工程。不过,最好的方式是在业务系统和访问者之间增加一名”守门员“,阻止非法用户闯入,保护赖以生存的核心数据。

针对应用层威胁的特点,并确保行业用户可以遵循国家信息安全等级保护的要求,国路安开发了满足用户应用安全防护要求的“可信应用安全系统”。该系统按照国家信息安全等级保护政策中对三级以上(含三级)系统的安全要求进行开发,采用了应用业务逻辑与安全防护逻辑分离的设计思路。通过前置主机的方式,在应用服务器前以透明接入方式部署GLA天璿可信应用安全系统,在不改变现有应用的前提下,通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术,在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。

GLA天璿可信应用安全系统能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题,可以保证在不改变应用及应用系统的前提下,提高应用的安全保证能力。因此,可以保证应用开发人员和应用软件专注于业务处理逻辑本身,全面提高了业务处理效率,更便于系统的故障隔离。另外,GLA天璿可信应用安全系统可针对使用第三方CA证书的行业用户,提供数字证书、用户名/口令字、IP地址及USB KEY等多因子身份认证方式。

在具体使用过程中,管理员可以利用实现基于角色(岗位)的访问控制,以及基于SSL协议的安全加密传输通道,确保存取访问和传输过程的安全。在易用性方面,可信应用安全系统为用户提供透明应用,实现了用户应用流程不变、操作习惯不变。而特有的知识库自学习功能,更可进一步辅助系统安全管理员制定安全策略,减少安全运维管理的工作负担。通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:

 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
李进良:4G发牌更有..
虽然中国电信、中国联通起步较晚,可以充分利用中国移动的经验,避免走弯路..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
烽火通信 PTN 承载助力武..
武汉是中国移动集团指定的与北京、天津、青岛同批开通TD-LTE试点的城..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网