“阿喀琉斯之踵”的諺語告誡我們，即使是再強(qiáng)大的英雄，也有致命的軟肋或死穴。而在由各種安全設(shè)備搭建的防線上，如果不能轉(zhuǎn)變固守的安全策略，看似固若金湯的網(wǎng)絡(luò)，必然在各種應(yīng)用過程中出現(xiàn)新的弱點(diǎn)，而這恰恰是黑客探測或是社交攻擊的入口。正因如此，我國金融、通信、能源、交通、政府等關(guān)鍵領(lǐng)域的行業(yè)用戶都應(yīng)該行動(dòng)起來，調(diào)整自身的網(wǎng)絡(luò)安全治理策略，關(guān)注應(yīng)用層可能出現(xiàn)的“安全短板”。

傳統(tǒng)安全設(shè)備專注“底層” 應(yīng)用威脅無人問津

曾經(jīng)有一位技術(shù)并不高超的黑客，利用專長侵入了國內(nèi)某通信公司充值中心數(shù)據(jù)庫，修改竊取充值卡數(shù)據(jù)密碼并向他人進(jìn)行銷售，造成數(shù)以百萬計(jì)的資金損失。在信息安全領(lǐng)域，這個(gè)案例值得人深思：在長達(dá)半年的時(shí)間里面，耗資千萬、由防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全架構(gòu)竟然一條報(bào)警信息都沒有發(fā)出!

從上面的例子我們可以發(fā)現(xiàn)一個(gè)問題，對于運(yùn)營商這樣的用戶，他們的安全措施無疑應(yīng)該是比較完善的，不過我們也應(yīng)看到，這些傳統(tǒng)的安全防護(hù)手段主要是面向于網(wǎng)絡(luò)層面，而沒有在具體的應(yīng)用層實(shí)施監(jiān)控，用戶和應(yīng)用資源之間，以及整個(gè)訪問過程和行為都是不受控制的。根據(jù)Gartner的研究數(shù)據(jù)表明，當(dāng)前75%的攻擊行為已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)移到了應(yīng)用層，當(dāng)黑客在應(yīng)用層發(fā)動(dòng)攻擊時(shí)，或是內(nèi)部人員非法存取數(shù)字資源時(shí)，網(wǎng)絡(luò)防火墻和入侵檢測產(chǎn)品發(fā)揮的作用往往極其有限。

對此，國路安(GLA)副總經(jīng)理李宴祥表示：“對于一些特定行業(yè)用戶的安全需求來說，這些傳統(tǒng)的安全手段無法控制‘人’的操作行為，只能依靠應(yīng)用系統(tǒng)自身攜帶的安全功能。但許多程序開發(fā)人員缺乏安全專業(yè)技能，雖然利用了身份認(rèn)證及粗粒度的權(quán)限控制措施，卻沒有考慮到訪問過程和訪問行為的安全。因此，依賴傳統(tǒng)安全設(shè)備，或是應(yīng)用系統(tǒng)自帶功能，都不能滿足用戶對業(yè)務(wù)應(yīng)用系統(tǒng)防護(hù)的高安全等級要求，更難以符合信息安全等級保護(hù)的政策要求。”

符合信息安全等級保護(hù) 前置主機(jī)當(dāng)好“守門員”

然而，在網(wǎng)絡(luò)中排除“阿喀琉斯之踵”將是一件十分困難的事情。管理員是不是需要為每套新上線的業(yè)務(wù)系統(tǒng)都單獨(dú)配備安全保護(hù)呢?或是對已經(jīng)長期服役的業(yè)務(wù)系統(tǒng)來一次代碼“大換血”呢?當(dāng)然，如果你有足夠的時(shí)間和資金，則可以啟動(dòng)這個(gè)浩大的工程。不過，最好的方式是在業(yè)務(wù)系統(tǒng)和訪問者之間增加一名”守門員“，阻止非法用戶闖入，保護(hù)賴以生存的核心數(shù)據(jù)。

針對應(yīng)用層威脅的特點(diǎn)，并確保行業(yè)用戶可以遵循國家信息安全等級保護(hù)的要求，國路安開發(fā)了滿足用戶應(yīng)用安全防護(hù)要求的“可信應(yīng)用安全系統(tǒng)”。該系統(tǒng)按照國家信息安全等級保護(hù)政策中對三級以上(含三級)系統(tǒng)的安全要求進(jìn)行開發(fā)，采用了應(yīng)用業(yè)務(wù)邏輯與安全防護(hù)邏輯分離的設(shè)計(jì)思路。通過前置主機(jī)的方式，在應(yīng)用服務(wù)器前以透明接入方式部署GLA天璿可信應(yīng)用安全系統(tǒng)，在不改變現(xiàn)有應(yīng)用的前提下，通過身份認(rèn)證、訪問控制、安全審計(jì)、安全傳輸、防攻擊等功能和技術(shù)，在應(yīng)用層實(shí)現(xiàn)對業(yè)務(wù)應(yīng)用系統(tǒng)訪問的全過程、系統(tǒng)化的安全管理控制。

GLA天璿可信應(yīng)用安全系統(tǒng)能夠很好地解決既有應(yīng)用系統(tǒng)與應(yīng)用安全防護(hù)機(jī)制之間的兼容問題，可以保證在不改變應(yīng)用及應(yīng)用系統(tǒng)的前提下，提高應(yīng)用的安全保證能力。因此，可以保證應(yīng)用開發(fā)人員和應(yīng)用軟件專注于業(yè)務(wù)處理邏輯本身，全面提高了業(yè)務(wù)處理效率，更便于系統(tǒng)的故障隔離。另外，GLA天璿可信應(yīng)用安全系統(tǒng)可針對使用第三方CA證書的行業(yè)用戶，提供數(shù)字證書、用戶名/口令字、IP地址及USB KEY等多因子身份認(rèn)證方式。

在具體使用過程中，管理員可以利用實(shí)現(xiàn)基于角色(崗位)的訪問控制，以及基于SSL協(xié)議的安全加密傳輸通道，確保存取訪問和傳輸過程的安全。在易用性方面，可信應(yīng)用安全系統(tǒng)為用戶提供透明應(yīng)用，實(shí)現(xiàn)了用戶應(yīng)用流程不變、操作習(xí)慣不變。而特有的知識(shí)庫自學(xué)習(xí)功能，更可進(jìn)一步輔助系統(tǒng)安全管理員制定安全策略，減少安全運(yùn)維管理的工作負(fù)擔(dān)。