梭子鱼WEB应用访问安全案例剖析:没有安全何来应用!

安全 应用安全
如何才能确保网络运维在一个安全高效的环境中,也是各位系统管理员所要面对的问题。梭子鱼网络有限公司华北区销售总监郑爽对此也有自己的看法。

【51CTO.com 综合报道】日前在北京召开的2009年系统架构师大会,无疑是今年最为重头的技术研讨会之一。不仅参会人员大多是公司IT运维的精英,演讲人也是各大公司高级系统架构设计者。不过谈架构必然要谈及整体架构的安全策略实施,如何才能确保网络运维在一个安全高效的环境中,也是各位系统管理员所要面对的问题。梭子鱼网络有限公司华北区销售总监郑爽对此也有自己的看法。 

[[5726]] 
图1 梭子鱼网络有限公司华北区销售总监郑爽

WEB应用究竟面临哪些威胁?

“众所周知,Web应用已经成为大家所关注的重点。很多企业已经把传统业务流程放到网上进行应用,这不光是节省成本的考虑,更多是为了业务流程的透明和时效性。但是,随之而来的确是网络风险的加剧,企业网络被攻击案例时有发生,这背后既有企业不注重防范网络管理的因素在内,也有攻击者被背后的利益所驱动。”

郑爽随后举出实际例子让人心惊。“2008-04CNCERT/CC国家互联网应急中心监测到中国大陆被篡改网站总数达61,228个,比去年增加了1.5倍。”  

 
图2

 

 
图3

据最近的美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明:接受调查的公司中有 52% 的公司的系统遭受过外部入侵,但事实上他们中有 98% 的公司都装有防火墙。这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过1.41亿美元。

美国总统奥巴马曾公开在电视媒体上讲话,每年由于黑客的恶意攻击,美国每年因此导致损失1000亿美金。

Web应用攻击特点

和传统底层攻击方式不同的是,如今Web应用攻击通常是以七层的形式进行,对这种攻击,传统防火墙显得力不从心。 

 
图4

全面的WEB站点防护,降低商业风险

在谈到Web攻击防护,商业上可取的的利益,郑爽解释道:“非法访问、WEB站点伪装、WEB站点篡改、Outbound数据窃取防护、应用传输加速、缓存、压缩、TCP连接复用、SSL卸载和加速、负载均衡等等一系列的攻击都可以被抵御。同时,在审计及合规方面,更可以帮助企业通过安全审计,达到PCI(支付卡)应用安全规范要求,美国萨班法案(SarbanesOxley)及其他合规性要求。从商业角度衡量,都是有百利而无一害的事情。”  

 
图5

三步实现应用安全

为了实现应用安全,就必须要做三方面的措施:

1、保护应用基础架构

这里需要隐藏公司本身的架构,不要让人轻易得知;同时Cookie 也需要定期处理,以免有人从中获取信息;再一个就是Web 地址转换,把自己真实的地址保护起来。

2、根据应用强化安全

动态应用建模,根据业务需求,强化在关键业务方面的安全等级。

3、弹性安全策略

根据IP或应用设置安全规则(网络防火墙、某些UTM设备);根据URL设置安全策略(web服务器、代理服务器);根据HTTP报头设置安全策略(如请求方式、session、cookie各报头参数等);根据页面参数(如表单参数、HTML元素、)等等,利用以上策略根据公司业务需求组合成整体的安全策略。

WEB应用防护优势 

 
图6

对于Web应用的防护优势,郑爽提出以下几方面:

1、减少不安全造成的损失

2、减少客户数据、商业机密、员工信息、财务信息及其他敏感数据泄露的可能性。

3、减少因泄露信息而产生法律诉讼的可能性。

4、减少因安全问题造成公司股价下跌、形象受损、客户信誉降低的可能性。

5、更早的遵从有关法规对企业网络安全的规定如: (SOX, GLB, HIPAA, CA SB -386)

6、加快应用的使用

7、网站可以提前发布,更早产生经济效益。

在随后郑爽接受我们采访中,反复提到,系统架构师在考虑整体系统架构制定的同时,千万不要忘记保障应用安全。而目前最能导致应用安全问题的,那就是Web应用这一新兴的应用。“如果运行的数据都不是我真正想要的,那么建设再好的网络架构又有什么用呢?!”

 

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2011-03-15 17:01:40

2009-05-12 10:08:37

2011-07-21 13:28:30

2010-12-09 16:44:49

2009-06-15 17:49:58

2011-03-15 10:44:40

2014-03-06 11:10:04

2011-08-30 17:23:48

2009-07-02 15:34:11

2012-02-13 13:22:10

2010-07-19 17:01:41

2010-06-10 22:49:26

邮件存储网关产品梭子鱼

2009-05-12 09:40:26

2012-02-09 16:33:52

2012-02-24 15:34:39

2011-09-08 15:12:00

2009-08-07 14:09:47

垃圾邮件企业邮件安全梭子鱼

2011-09-21 17:34:32

2010-04-20 14:40:18

2009-09-22 13:16:51

点赞
收藏

51CTO技术栈公众号