網(wǎng)絡應用安全四大發(fā)展趨勢
信息安全的核心在于“信息數(shù)據(jù)”的安全,而在數(shù)據(jù)處理中,應用才是關鍵。隨著網(wǎng)絡的快速發(fā)展,網(wǎng)絡應用類別越來越多,應用復雜度也越來越高,人們逐漸發(fā)現(xiàn),單純解決數(shù)據(jù)的訪問和傳輸?shù)陌踩呀?jīng)無法很好地保障信息安全,必須高度重視維護關鍵應用的安全,從數(shù)據(jù)的產(chǎn)生、計算和存儲等多個角度來思考和解決。因此,對于“網(wǎng)絡應用”安全的關注度也逐漸升溫。目前,網(wǎng)絡應用安全呈獻出以下幾大發(fā)展趨勢。
趨勢一:Web應用安全市場成為必爭之地
如今,越來越多的企業(yè)用戶已將核心業(yè)務系統(tǒng)轉(zhuǎn)移到網(wǎng)絡上,Web瀏覽器成為業(yè)務系統(tǒng)的窗口。在此背景下,如何保障企業(yè)的應用安全,尤其是Web應用安全成為新形勢下信息安全保障的關鍵所在。Gartner的一份分析報告指出,在調(diào)查的企業(yè)數(shù)據(jù)中心中,92%的Web應用有安全缺陷;80%存在跨站攻擊;高達62%存在SQL注入風險;而參數(shù)篡改和Cookies毒化也分別達到60%和37%。同時,專門針對應用層進行攻擊的手段越來越多,越來越難以防范。
從技術的角度看,Web應用的安全主要涉及兩個方面:服務器端和客戶端。服務器端的安全隱患主要有腳本安全、SQL注入、盜鏈、DoS/DDoS攻擊。而客戶端的安全隱患主要是Cookie、證書、可執(zhí)行代碼的限制、安全選項設置不當?shù)取?/P>
目前已經(jīng)有相當多的安全廠商提出了自己的Web應用安全解決方案。
趨勢二:加強應用本身的安全是網(wǎng)絡應用安全的關鍵
網(wǎng)絡應用之所以不安全,其中很關鍵的一點是應用程序本身不安全,給網(wǎng)絡攻擊留下了可乘之機。有幾家安全廠商已經(jīng)將注意力到應用程序開發(fā)過程中,提出了所謂的代碼級解決方案,確保應用服務本身的安全漏洞盡量少,盡可能地消除程序的安全漏洞帶來的可乘之機。
趨勢三:身份管理成為應用訪問控制主流技術
基于身份的應用管理包括身份識別、權(quán)限控制、行為審計等多方面。網(wǎng)絡邊界正在逐漸變得模糊,移動終端越來越普及,我們面臨的網(wǎng)絡世界不再是清晰的內(nèi)部與外部,身份成為網(wǎng)絡世界的辨識要素,因此對于身份的管理就顯得尤為重要。
傳統(tǒng)的身份管理技術主要采用所謂的AAA技術,然而隨著應用安全需求的發(fā)展,不再是身份的識別和權(quán)限控制那么簡單,更多的是希望通過“身份”的管理來實現(xiàn)應用訪問控制。比如當前比較流行的P2P應用占據(jù)了大量的網(wǎng)絡帶寬,在某些場合,事實上已經(jīng)嚴重影響了正常的業(yè)務操作,成為企業(yè)和網(wǎng)絡運營商頭疼的問題,但又不能簡單地禁止這些應用。于是如何識別這些P2P應用,如何給不同的身份配置不同的P2P應用權(quán)限,如何監(jiān)控這些應用下載的數(shù)據(jù)的合法性和安全性,都成為了應用訪問控制的關鍵。
趨勢四:采用多核硬件架構(gòu)來解決應用安全處理性能不足的問題
要確保紛繁復雜的網(wǎng)絡應用的安全,就不得不深入分析報文。不僅僅需要分析報文的傳輸層,還需要分析報文的應用協(xié)議層、應用數(shù)據(jù)內(nèi)容,甚至還需要分析報文之間的關聯(lián)性,這就給應用安全技術帶來更大挑戰(zhàn)。既要分析準確,又要確保報文的實時性,在一定程度上,這兩者是矛盾的,單純希望從軟件角度解決此矛盾已經(jīng)不再現(xiàn)實,必須尋求更高更強的硬件架構(gòu)才能解決根本問題。
部分實力雄厚的應用安全廠商已經(jīng)采用多核硬件架構(gòu)來解決性能瓶頸,將應用安全的處理能力提升到以前的5~10倍,基本滿足了當前對網(wǎng)絡應用安全的性能要求。
未來更多的業(yè)務將以Web應用方式呈現(xiàn),信息安全也必將從以邊界防護為主向應用和數(shù)據(jù)安全防護為主過渡,同時加強在應用研發(fā)、部署以及維護等方面的安全管理并輔以必要的技術設備,才能跟上信息化發(fā)展的步伐,實現(xiàn)協(xié)調(diào)發(fā)展。
【編輯推薦】
