“阿喀琉斯之踵”的諺語(yǔ)告誡我們，即使是再?gòu)?qiáng)大的英雄，也有致命的軟肋或死穴。而在由各種安全設(shè)備搭建的防線上，如果不能轉(zhuǎn)變固守的安全策略，看似固若金湯的網(wǎng)絡(luò)，必然在各種應(yīng)用過(guò)程中出現(xiàn)新的弱點(diǎn)，而這恰恰是黑客探測(cè)或是社交攻擊的入口。正因如此，我國(guó)金融、通信、能源、交通、政府等關(guān)鍵領(lǐng)域的行業(yè)用戶都應(yīng)該行動(dòng)起來(lái)，調(diào)整自身的網(wǎng)絡(luò)安全治理策略，關(guān)注應(yīng)用層可能出現(xiàn)的“安全短板”。

傳統(tǒng)安全設(shè)備專注“底層” 應(yīng)用威脅無(wú)人問(wèn)津

曾經(jīng)有一位技術(shù)并不高超的黑客，利用專長(zhǎng)侵入了國(guó)內(nèi)某通信公司充值中心數(shù)據(jù)庫(kù)，修改竊取充值卡數(shù)據(jù)密碼并向他人進(jìn)行銷售，造成數(shù)以百萬(wàn)計(jì)的資金損失。在信息安全領(lǐng)域，這個(gè)案例值得人深思：在長(zhǎng)達(dá)半年的時(shí)間里面，耗資千萬(wàn)、由防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全架構(gòu)竟然一條報(bào)警信息都沒(méi)有發(fā)出!

從上面的例子我們可以發(fā)現(xiàn)一個(gè)問(wèn)題，對(duì)于運(yùn)營(yíng)商這樣的用戶，他們的安全措施無(wú)疑應(yīng)該是比較完善的，不過(guò)我們也應(yīng)看到，這些傳統(tǒng)的安全防護(hù)手段主要是面向于網(wǎng)絡(luò)層面，而沒(méi)有在具體的應(yīng)用層實(shí)施監(jiān)控，用戶和應(yīng)用資源之間，以及整個(gè)訪問(wèn)過(guò)程和行為都是不受控制的。根據(jù)Gartner的研究數(shù)據(jù)表明，當(dāng)前75%的攻擊行為已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)移到了應(yīng)用層，當(dāng)黑客在應(yīng)用層發(fā)動(dòng)攻擊時(shí)，或是內(nèi)部人員非法存取數(shù)字資源時(shí)，網(wǎng)絡(luò)防火墻和入侵檢測(cè)產(chǎn)品發(fā)揮的作用往往極其有限。

對(duì)此，國(guó)路安(GLA)副總經(jīng)理李宴祥表示：“對(duì)于一些特定行業(yè)用戶的安全需求來(lái)說(shuō)，這些傳統(tǒng)的安全手段無(wú)法控制‘人’的操作行為，只能依靠應(yīng)用系統(tǒng)自身攜帶的安全功能。但許多程序開(kāi)發(fā)人員缺乏安全專業(yè)技能，雖然利用了身份認(rèn)證及粗粒度的權(quán)限控制措施，卻沒(méi)有考慮到訪問(wèn)過(guò)程和訪問(wèn)行為的安全。因此，依賴傳統(tǒng)安全設(shè)備，或是應(yīng)用系統(tǒng)自帶功能，都不能滿足用戶對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)防護(hù)的高安全等級(jí)要求，更難以符合信息安全等級(jí)保護(hù)的政策要求。”

符合信息安全等級(jí)保護(hù) 前置主機(jī)當(dāng)好“守門(mén)員”

然而，在網(wǎng)絡(luò)中排除“阿喀琉斯之踵”將是一件十分困難的事情。管理員是不是需要為每套新上線的業(yè)務(wù)系統(tǒng)都單獨(dú)配備安全保護(hù)呢?或是對(duì)已經(jīng)長(zhǎng)期服役的業(yè)務(wù)系統(tǒng)來(lái)一次代碼“大換血”呢?當(dāng)然，如果你有足夠的時(shí)間和資金，則可以啟動(dòng)這個(gè)浩大的工程。不過(guò)，最好的方式是在業(yè)務(wù)系統(tǒng)和訪問(wèn)者之間增加一名”守門(mén)員“，阻止非法用戶闖入，保護(hù)賴以生存的核心數(shù)據(jù)。

針對(duì)應(yīng)用層威脅的特點(diǎn)，并確保行業(yè)用戶可以遵循國(guó)家信息安全等級(jí)保護(hù)的要求，國(guó)路安開(kāi)發(fā)了滿足用戶應(yīng)用安全防護(hù)要求的“可信應(yīng)用安全系統(tǒng)”。該系統(tǒng)按照國(guó)家信息安全等級(jí)保護(hù)政策中對(duì)三級(jí)以上(含三級(jí))系統(tǒng)的安全要求進(jìn)行開(kāi)發(fā)，采用了應(yīng)用業(yè)務(wù)邏輯與安全防護(hù)邏輯分離的設(shè)計(jì)思路。通過(guò)前置主機(jī)的方式，在應(yīng)用服務(wù)器前以透明接入方式部署GLA天璿可信應(yīng)用安全系統(tǒng)，在不改變現(xiàn)有應(yīng)用的前提下，通過(guò)身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、安全傳輸、防攻擊等功能和技術(shù)，在應(yīng)用層實(shí)現(xiàn)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)訪問(wèn)的全過(guò)程、系統(tǒng)化的安全管理控制。

GLA天璿可信應(yīng)用安全系統(tǒng)能夠很好地解決既有應(yīng)用系統(tǒng)與應(yīng)用安全防護(hù)機(jī)制之間的兼容問(wèn)題，可以保證在不改變應(yīng)用及應(yīng)用系統(tǒng)的前提下，提高應(yīng)用的安全保證能力。因此，可以保證應(yīng)用開(kāi)發(fā)人員和應(yīng)用軟件專注于業(yè)務(wù)處理邏輯本身，全面提高了業(yè)務(wù)處理效率，更便于系統(tǒng)的故障隔離。另外，GLA天璿可信應(yīng)用安全系統(tǒng)可針對(duì)使用第三方CA證書(shū)的行業(yè)用戶，提供數(shù)字證書(shū)、用戶名/口令字、IP地址及USB KEY等多因子身份認(rèn)證方式。

在具體使用過(guò)程中，管理員可以利用實(shí)現(xiàn)基于角色(崗位)的訪問(wèn)控制，以及基于SSL協(xié)議的安全加密傳輸通道，確保存取訪問(wèn)和傳輸過(guò)程的安全。在易用性方面，可信應(yīng)用安全系統(tǒng)為用戶提供透明應(yīng)用，實(shí)現(xiàn)了用戶應(yīng)用流程不變、操作習(xí)慣不變。而特有的知識(shí)庫(kù)自學(xué)習(xí)功能，更可進(jìn)一步輔助系統(tǒng)安全管理員制定安全策略，減少安全運(yùn)維管理的工作負(fù)擔(dān)。