不論是大型企業(yè),還是中小企業(yè),在網(wǎng)絡(luò)技術(shù)快速發(fā)展,設(shè)備快速更迭的今天,網(wǎng)絡(luò)安全管理都在威脅對抗中變得越來越復雜。為了確保企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定,就需要制定多樣化、有針對性的安全防護策略,否則即使看似固若金湯的網(wǎng)絡(luò),也可能由于網(wǎng)絡(luò)設(shè)備或業(yè)務(wù)上的不當應(yīng)用而引發(fā)出新的安全漏洞,而這恰恰容易成為黑客探測或攻擊的入口。
應(yīng)用威脅被忽視
我們常常聽到企業(yè)網(wǎng)受到黑客攻擊的事件,而其中更不乏一些菜鳥級黑客。記得就曾經(jīng)有一位技術(shù)并不高超的黑客,利用網(wǎng)上購買的黑客軟件侵入了國內(nèi)某通信公司充值中心數(shù)據(jù)庫,修改竊取充值卡數(shù)據(jù)密碼并向他人進行銷售,在半年時間里造成了數(shù)以百萬計的資金損失。
基于應(yīng)用層的黑客行為常常被忽視
而這樣案例在IT安全領(lǐng)域,不得不說是引人深思的:在長達半年的時間里面,耗費千萬巨資,由多臺防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全架構(gòu),竟然連一條報警信息都沒有發(fā)出過。
對于運營商這樣的大型企業(yè)用戶,他們的網(wǎng)絡(luò)安全措施無疑應(yīng)該是比較完善的。不過也應(yīng)看到,由于網(wǎng)絡(luò)技術(shù)的不斷演進,傳統(tǒng)的安全防護手段還主要停留在保障網(wǎng)絡(luò)設(shè)備“底層”安全的層面上。一些安全措施在具體的應(yīng)用層上還沒有實施監(jiān)控,用戶與應(yīng)用資源之間,以及整個訪問過程和行為還都有不受控制的隱患。
根據(jù)Gartner的研究數(shù)據(jù)表明,當前75%的攻擊行為已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)移到了應(yīng)用層,當黑客在應(yīng)用層發(fā)動攻擊時,或是內(nèi)部人員非法存取數(shù)字資源時,網(wǎng)絡(luò)防火墻和入侵檢測產(chǎn)品發(fā)揮的作用往往是極其有限。
對一些特定行業(yè)用戶的安全需求來說,傳統(tǒng)的安全手段已無法滿足控制“人”的操作行為,只能依靠應(yīng)用系統(tǒng)自身攜帶的安全功能。但許多企業(yè)的網(wǎng)絡(luò)安全部署,雖然利用了身份認證及粗粒度的權(quán)限控制措施,卻沒有考慮到訪問過程和訪問行為的安全。因此,只依賴傳統(tǒng)安全設(shè)備,或是應(yīng)用系統(tǒng)自帶防護功能,都不能滿足用戶對業(yè)務(wù)應(yīng)用系統(tǒng)防護的高安全等級要求,更難符合信息安全等級保護的更高要求。
部署安全“守門員”
為了排除網(wǎng)絡(luò)中的各個隱患,是不是需要為每套新上線的業(yè)務(wù)系統(tǒng)都單獨配備安全防護?或是對已經(jīng)部署的業(yè)務(wù)系統(tǒng)來一次安全代碼“大換血”呢?當然,如果你的企業(yè)有足夠的時間和資金的話,是可以展開這項浩大工程的。不過,最好的方式是在業(yè)務(wù)系統(tǒng)和訪問者之間增加一名“守門員”,來阻止非法用戶的侵入,保護企業(yè)賴以生存的核心數(shù)據(jù)資料。
上網(wǎng)行為管理網(wǎng)關(guān)能夠基于應(yīng)用進行安全防護
那么具體如何實現(xiàn)呢?針對應(yīng)用層威脅的特點,并確保行業(yè)用戶可以遵循國家信息安全等級保護的要求,可以部署滿足用戶應(yīng)用安全防護要求的上網(wǎng)行為管理設(shè)備。如現(xiàn)在就有通過前置主機的方式,采用應(yīng)用業(yè)務(wù)邏輯與安全防護邏輯分離的設(shè)計思路,在應(yīng)用服務(wù)器前以透明接入方式部署的上網(wǎng)行為管理網(wǎng)關(guān)等設(shè)備的方案推出。
其最大優(yōu)勢是在不改變現(xiàn)有應(yīng)用的前提下,通過身份認證、訪問控制、安全審計、安全傳輸、防攻擊等功能和技術(shù),在應(yīng)用層實現(xiàn)對業(yè)務(wù)應(yīng)用系統(tǒng)訪問的全過程、系統(tǒng)化的安全管理控制。
部署基于應(yīng)用識別的網(wǎng)絡(luò)安全管控設(shè)備
因此,可以部署這樣的網(wǎng)關(guān)便于進行系統(tǒng)故障隔離,保證業(yè)務(wù)應(yīng)用人員和應(yīng)用軟件專注于業(yè)務(wù)處理上,全面提高了企業(yè)的工作效率。另外,如果該系統(tǒng)支持針對使用第三方CA證書的行業(yè)用戶,提供數(shù)字證書、用戶名/口令字、IP地址及USB KEY等多因子身份認證方式,就更加豐富了防護的手段了。
在具體使用過程中,管理員可以利用實現(xiàn)基于角色(崗位)的訪問控制,以及基于SSL協(xié)議的安全加密傳輸通道,確保存取訪問和傳輸過程的安全。在易用性方面,通過為用戶提供細致的權(quán)限分工及透明的應(yīng)用,實現(xiàn)了用戶應(yīng)用流程不變、操作習慣不變。而如果該設(shè)備支持特有的知識庫自學習功能,則可進一步輔助系統(tǒng)安全管理員制定安全策略,減少安全運維管理的工作負擔。
綜上所述,一臺好的上網(wǎng)行為管理網(wǎng)關(guān)能夠很好地解決既有應(yīng)用系統(tǒng)與應(yīng)用安全防護機制之間的兼容問題,可以保證在不改變應(yīng)用及應(yīng)用系統(tǒng)的前提下,提高應(yīng)用的安全保證能力。因此,在金融、通信、能源、交通、政府等關(guān)鍵領(lǐng)域的行業(yè)用戶都應(yīng)該行動起來,調(diào)整自身的網(wǎng)絡(luò)安全治理策略,關(guān)注和消除在應(yīng)用層可能出現(xiàn)的“安全短板”。
京公網(wǎng)安備 11010502049343號