《企業(yè)網(wǎng)D1Net》3月6日訊
在當(dāng)前的互聯(lián)網(wǎng)領(lǐng)域,網(wǎng)絡(luò)安全威脅是企業(yè)共同面臨的挑戰(zhàn)之一,不管是大型企業(yè),還是中小型企業(yè),在網(wǎng)絡(luò)技術(shù)快速發(fā)展,設(shè)備快速更迭的今天,網(wǎng)絡(luò)安全管理都在威脅對(duì)抗中變得越來(lái)越復(fù)雜。
為了確保企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定,就需要制定多樣化、有針對(duì)性的安全防護(hù)策略,否則即使看似固若金湯的網(wǎng)絡(luò),也可能由于網(wǎng)絡(luò)設(shè)備或業(yè)務(wù)上的不當(dāng)應(yīng)用而引發(fā)出新的安全漏洞,而這恰恰容易成為黑客探測(cè)或攻擊的入口。
應(yīng)用威脅被忽視
我們常常聽(tīng)到企業(yè)網(wǎng)受到黑客攻擊的事件,而其中更不乏一些菜鳥(niǎo)級(jí)黑客。記得就曾經(jīng)有一位技術(shù)并不高超的黑客,利用網(wǎng)上購(gòu)買(mǎi)的黑客軟件侵入了國(guó)內(nèi)某通信公司充值中心數(shù)據(jù)庫(kù),修改竊取充值卡數(shù)據(jù)密碼并向他人進(jìn)行銷(xiāo)售,在半年時(shí)間里造成了數(shù)以百萬(wàn)計(jì)的資金損失。
基于應(yīng)用層的黑客行為常常被忽視
而這樣案例在IT安全領(lǐng)域,不得不說(shuō)是引人深思的:在長(zhǎng)達(dá)半年的時(shí)間里面,耗費(fèi)千萬(wàn)巨資,由多臺(tái)防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全架構(gòu),竟然連一條報(bào)警信息都沒(méi)有發(fā)出過(guò)。
對(duì)于運(yùn)營(yíng)商這樣的大型企業(yè)用戶(hù),他們的網(wǎng)絡(luò)安全措施無(wú)疑應(yīng)該是比較完善的。不過(guò)也應(yīng)看到,由于網(wǎng)絡(luò)技術(shù)的不斷演進(jìn),傳統(tǒng)的安全防護(hù)手段還主要停留在保障網(wǎng)絡(luò)設(shè)備“底層”安全的層面上。一些安全措施在具體的應(yīng)用層上還沒(méi)有實(shí)施監(jiān)控,用戶(hù)與應(yīng)用資源之間,以及整個(gè)訪問(wèn)過(guò)程和行為還都有不受控制的隱患。
對(duì)一些特定行業(yè)用戶(hù)的安全需求來(lái)說(shuō),傳統(tǒng)的安全手段已無(wú)法滿足控制“人”的操作行為,只能依靠應(yīng)用系統(tǒng)自身攜帶的安全功能。但許多企業(yè)的網(wǎng)絡(luò)安全部署,雖然利用了身份認(rèn)證及粗粒度的權(quán)限控制措施,卻沒(méi)有考慮到訪問(wèn)過(guò)程和訪問(wèn)行為的安全。因此,只依賴(lài)傳統(tǒng)安全設(shè)備,或是應(yīng)用系統(tǒng)自帶防護(hù)功能,都不能滿足用戶(hù)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)防護(hù)的高安全等級(jí)要求,更難符合信息安全等級(jí)保護(hù)的更高要求。
部署安全“守門(mén)員”
為了排除網(wǎng)絡(luò)中的各個(gè)隱患,是不是需要為每套新上線的業(yè)務(wù)系統(tǒng)都單獨(dú)配備安全防護(hù)?或是對(duì)已經(jīng)部署的業(yè)務(wù)系統(tǒng)來(lái)一次安全代碼“大換血”呢?當(dāng)然,如果你的企業(yè)有足夠的時(shí)間和資金的話,是可以展開(kāi)這項(xiàng)浩大工程的。不過(guò),最好的方式是在業(yè)務(wù)系統(tǒng)和訪問(wèn)者之間增加一名“守門(mén)員”,來(lái)阻止非法用戶(hù)的侵入,保護(hù)企業(yè)賴(lài)以生存的核心數(shù)據(jù)資料。
上網(wǎng)行為管理網(wǎng)關(guān)能夠基于應(yīng)用進(jìn)行安全防護(hù)
那么具體如何實(shí)現(xiàn)呢?針對(duì)應(yīng)用層威脅的特點(diǎn),并確保行業(yè)用戶(hù)可以遵循國(guó)家信息安全等級(jí)保護(hù)的要求,可以部署滿足用戶(hù)應(yīng)用安全防護(hù)要求的上網(wǎng)行為管理設(shè)備。如現(xiàn)在就有通過(guò)前置主機(jī)的方式,采用應(yīng)用業(yè)務(wù)邏輯與安全防護(hù)邏輯分離的設(shè)計(jì)思路,在應(yīng)用服務(wù)器前以透明接入方式部署的上網(wǎng)行為管理網(wǎng)關(guān)等設(shè)備的方案推出。
其最大優(yōu)勢(shì)是在不改變現(xiàn)有應(yīng)用的前提下,通過(guò)身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、安全傳輸、防攻擊等功能和技術(shù),在應(yīng)用層實(shí)現(xiàn)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)訪問(wèn)的全過(guò)程、系統(tǒng)化的安全管理控制。
部署基于應(yīng)用識(shí)別的網(wǎng)絡(luò)安全管控設(shè)備
因此,可以部署這樣的網(wǎng)關(guān)便于進(jìn)行系統(tǒng)故障隔離,保證業(yè)務(wù)應(yīng)用人員和應(yīng)用軟件專(zhuān)注于業(yè)務(wù)處理上,全面提高了企業(yè)的工作效率。另外,如果該系統(tǒng)支持針對(duì)使用第三方CA證書(shū)的行業(yè)用戶(hù),提供數(shù)字證書(shū)、用戶(hù)名/口令字、IP地址及USB KEY等多因子身份認(rèn)證方式,就更加豐富了防護(hù)的手段了。
在具體使用過(guò)程中,管理員可以利用實(shí)現(xiàn)基于角色(崗位)的訪問(wèn)控制,以及基于SSL協(xié)議的安全加密傳輸通道,確保存取訪問(wèn)和傳輸過(guò)程的安全。在易用性方面,通過(guò)為用戶(hù)提供細(xì)致的權(quán)限分工及透明的應(yīng)用,實(shí)現(xiàn)了用戶(hù)應(yīng)用流程不變、操作習(xí)慣不變。而如果該設(shè)備支持特有的知識(shí)庫(kù)自學(xué)習(xí)功能,則可進(jìn)一步輔助系統(tǒng)安全管理員制定安全策略,減少安全運(yùn)維管理的工作負(fù)擔(dān)。
D1Net評(píng)論:
通過(guò)以上論述,可以看出,對(duì)于企業(yè)而言,擁有一臺(tái)好的上網(wǎng)行為管理網(wǎng)關(guān)是至關(guān)重要的,既能夠很好地解決既有應(yīng)用系統(tǒng)與應(yīng)用安全防護(hù)機(jī)制之間的兼容問(wèn)題,也可以保證在不改變應(yīng)用及應(yīng)用系統(tǒng)的前提下,提高應(yīng)用的安全保證能力。因此,企業(yè)都應(yīng)該行動(dòng)起來(lái),調(diào)整自身的網(wǎng)絡(luò)安全治理戰(zhàn)略,關(guān)注和消除在應(yīng)用層可能出現(xiàn)的“短板”問(wèn)題。