【51CTO.com 綜合報(bào)道】日前在北京召開的2009年系統(tǒng)架構(gòu)師大會(huì)，無疑是今年最為重頭的技術(shù)研討會(huì)之一。不僅參會(huì)人員大多是公司IT運(yùn)維的精英，演講人也是各大公司高級(jí)系統(tǒng)架構(gòu)設(shè)計(jì)者。不過談架構(gòu)必然要談及整體架構(gòu)的安全策略實(shí)施，如何才能確保網(wǎng)絡(luò)運(yùn)維在一個(gè)安全高效的環(huán)境中，也是各位系統(tǒng)管理員所要面對(duì)的問題。梭子魚網(wǎng)絡(luò)有限公司華北區(qū)銷售總監(jiān)鄭爽對(duì)此也有自己的看法。 

WEB應(yīng)用究竟面臨哪些威脅?

“眾所周知，Web應(yīng)用已經(jīng)成為大家所關(guān)注的重點(diǎn)。很多企業(yè)已經(jīng)把傳統(tǒng)業(yè)務(wù)流程放到網(wǎng)上進(jìn)行應(yīng)用，這不光是節(jié)省成本的考慮，更多是為了業(yè)務(wù)流程的透明和時(shí)效性。但是，隨之而來的確是網(wǎng)絡(luò)風(fēng)險(xiǎn)的加劇，企業(yè)網(wǎng)絡(luò)被攻擊案例時(shí)有發(fā)生，這背后既有企業(yè)不注重防范網(wǎng)絡(luò)管理的因素在內(nèi)，也有攻擊者被背后的利益所驅(qū)動(dòng)?！?/P>

鄭爽隨后舉出實(shí)際例子讓人心驚?！?008-04CNCERT/CC國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)達(dá)61,228個(gè)，比去年增加了1.5倍?！? 

圖2

圖3

據(jù)最近的美國計(jì)算機(jī)安全協(xié)會(huì)(CSI)/美國聯(lián)邦調(diào)查局(FBI)的研究表明：接受調(diào)查的公司中有 52% 的公司的系統(tǒng)遭受過外部入侵，但事實(shí)上他們中有 98% 的公司都裝有防火墻。這些攻擊為269家受訪公司帶來的經(jīng)濟(jì)損失——包括系統(tǒng)入侵、濫用 web 應(yīng)用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕服務(wù)共計(jì)超過1.41億美元。

美國總統(tǒng)奧巴馬曾公開在電視媒體上講話，每年由于黑客的惡意攻擊，美國每年因此導(dǎo)致?lián)p失1000億美金。

Web應(yīng)用攻擊特點(diǎn)

和傳統(tǒng)底層攻擊方式不同的是，如今Web應(yīng)用攻擊通常是以七層的形式進(jìn)行，對(duì)這種攻擊，傳統(tǒng)防火墻顯得力不從心。 

圖4

全面的WEB站點(diǎn)防護(hù)，降低商業(yè)風(fēng)險(xiǎn)

在談到Web攻擊防護(hù)，商業(yè)上可取的的利益，鄭爽解釋道：“非法訪問、WEB站點(diǎn)偽裝、WEB站點(diǎn)篡改、Outbound數(shù)據(jù)竊取防護(hù)、應(yīng)用傳輸加速、緩存、壓縮、TCP連接復(fù)用、SSL卸載和加速、負(fù)載均衡等等一系列的攻擊都可以被抵御。同時(shí)，在審計(jì)及合規(guī)方面，更可以幫助企業(yè)通過安全審計(jì)，達(dá)到PCI(支付卡)應(yīng)用安全規(guī)范要求，美國薩班法案(SarbanesOxley)及其他合規(guī)性要求。從商業(yè)角度衡量，都是有百利而無一害的事情。”  

圖5

三步實(shí)現(xiàn)應(yīng)用安全

為了實(shí)現(xiàn)應(yīng)用安全，就必須要做三方面的措施：

1、保護(hù)應(yīng)用基礎(chǔ)架構(gòu)

這里需要隱藏公司本身的架構(gòu)，不要讓人輕易得知;同時(shí)Cookie 也需要定期處理，以免有人從中獲取信息;再一個(gè)就是Web 地址轉(zhuǎn)換，把自己真實(shí)的地址保護(hù)起來。

2、根據(jù)應(yīng)用強(qiáng)化安全

動(dòng)態(tài)應(yīng)用建模，根據(jù)業(yè)務(wù)需求，強(qiáng)化在關(guān)鍵業(yè)務(wù)方面的安全等級(jí)。

3、彈性安全策略

根據(jù)IP或應(yīng)用設(shè)置安全規(guī)則(網(wǎng)絡(luò)防火墻、某些UTM設(shè)備);根據(jù)URL設(shè)置安全策略(web服務(wù)器、代理服務(wù)器);根據(jù)HTTP報(bào)頭設(shè)置安全策略(如請(qǐng)求方式、session、cookie各報(bào)頭參數(shù)等);根據(jù)頁面參數(shù)(如表單參數(shù)、HTML元素、)等等，利用以上策略根據(jù)公司業(yè)務(wù)需求組合成整體的安全策略。

WEB應(yīng)用防護(hù)優(yōu)勢(shì) 

圖6

對(duì)于Web應(yīng)用的防護(hù)優(yōu)勢(shì)，鄭爽提出以下幾方面：

1、減少不安全造成的損失

2、減少客戶數(shù)據(jù)、商業(yè)機(jī)密、員工信息、財(cái)務(wù)信息及其他敏感數(shù)據(jù)泄露的可能性。

3、減少因泄露信息而產(chǎn)生法律訴訟的可能性。

4、減少因安全問題造成公司股價(jià)下跌、形象受損、客戶信譽(yù)降低的可能性。

5、更早的遵從有關(guān)法規(guī)對(duì)企業(yè)網(wǎng)絡(luò)安全的規(guī)定如： (SOX, GLB, HIPAA, CA SB -386)

6、加快應(yīng)用的使用

7、網(wǎng)站可以提前發(fā)布，更早產(chǎn)生經(jīng)濟(jì)效益。

在隨后鄭爽接受我們采訪中，反復(fù)提到，系統(tǒng)架構(gòu)師在考慮整體系統(tǒng)架構(gòu)制定的同時(shí)，千萬不要忘記保障應(yīng)用安全。而目前最能導(dǎo)致應(yīng)用安全問題的，那就是Web應(yīng)用這一新興的應(yīng)用?！叭绻\(yùn)行的數(shù)據(jù)都不是我真正想要的，那么建設(shè)再好的網(wǎng)絡(luò)架構(gòu)又有什么用呢?！”