由于网络具备开放共享的本质特征,这就决定了其不可避免地会直接面临各种安全威胁。1986年,美国Digital公司在Internet上安装了全球第一个商用防火墙系统,防火墙的概念从此诞生了,并在过去的二十多年中,逐步形成了包含防火墙/VPN、IDS、IPS、防病毒等数十种网络安全产品,以及ISO27000、BS7799、等级保护等安全管理标准和方法。同时,市场需求的急剧上升也快速催生了大大小小数百家网络安全厂商。但是,受制于企业信息成熟度和安全技术积累的不足,目前大多数企业的安全防护手段仍然比较单一,主要是在出现问题的薄弱环节或有可能出现问题的关键节点部署防护设备,且防火墙在其中占据了绝大的比重。 人们逐渐发现,单纯解决数据的访问和传输的安全已经无法很好地保障信息安全,必须高度重视维护关键应用的安全,从数据的产生、计算和存储等多个角度来思考和解决。因此,对于“网络应用”安全的关注度也逐渐升温。目前,网络应用安全呈献出以下几大发展趋势。 趋势一:加强应用本身的安全 网络应用之所以不安全,其中很关键的一点是应用程序本身不安全,给网络攻击留下了可乘之机。有几家安全厂商已经将注意力到应用程序开发过程中,提出了所谓的代码级解决方案,确保应用服务本身的安全漏洞尽量少,尽可能地消除程序的安全漏洞带来的可乘之机。 趋势二:Web应用安全市场成为必争之地 如今,越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业务系统的窗口。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。Gartner的一份分析报告指出,在调查的企业数据中心中,92%的Web应用有安全缺陷;80%存在跨站攻击;高达62%存在SQL注入风险;而参数篡改和Cookies毒化也分别达到60%和37%。同时,专门针对应用层进行攻击的手段越来越多,越来越难以防范。 从技术的角度看,Web应用的安全主要涉及两个方面:服务器端和客户端。服务器端的安全隐患主要有脚本安全、SQL注入、盗链、DoS/DDOS攻击。而客户端的安全隐患主要是Cookie、证书、可执行代码的限制、安全选项设置不当等。 趋势三:身份管理成为应用访问控制主流技术 基于身份的应用管理包括身份识别、权限控制、行为审计等多方面。网络边界正在逐渐变得模糊,移动终端越来越普及,我们面临的网络世界不再是清晰的内部与外部,身份成为网络世界的辨识要素,因此对于身份的管理就显得尤为重要。 传统的身份管理技术主要采用所谓的AAA技术,然而随着应用安全需求的发展,不再是身份的识别和权限控制那么简单,更多的是希望通过“身份”的管理来实现应用访问控制。比如当前比较流行的P2P应用占据了大量的网络带宽,在某些场合,事实上已经严重影响了正常的业务操作,成为企业和网络运营商头疼的问题,但又不能简单地禁止这些应用。于是如何识别这些P2P应用,如何给不同的身份配置不同的P2P应用权限,,如何监控这些应用下载的数据的合法性和安全性,都成为了应用访问控制的关键。 趋势四:采用多核硬件架构来解决应用安全处理性能不足的问题 要确保纷繁复杂的网络应用的安全,就不得不深入分析报文。不仅仅需要分析报文的传输层,还需要分析报文的应用协议层、应用数据内容,甚至还需要分析报文之间的关联性,这就给应用安全技术带来更大挑战。既要分析准确,又要确保报文的实时性,在一定程度上,这两者是矛盾的,单纯希望从软件角度解决此矛盾已经不再现实,必须寻求更高更强的硬件架构才能解决根本问题。 部分实力雄厚的应用安全厂商已经采用多核硬件架构来解决性能瓶颈,将应用安全的处理能力提升到以前的5~10倍,基本满足了当前对网络应用安全的性能要求。 (责任编辑:laiquliu) |