“阿喀琉斯之踵”的谚语告诫我们,即使是再强大的英雄,也有致命的软肋或死穴。而在由各种安全设备搭建的防线上,如果不能转变固守的安全策略,看似固若金汤的网络,必然在各种应用过程中出现新的弱点,而这恰恰是黑客探测或是社交攻击的入口。正因如此,我国金融、通信、能源、交通、政府等关键领域的行业用户都应该行动起来,调整自身的网络安全治理策略,关注应用层可能出现的“安全短板”。
传统安全设备专注“底层” 应用威胁无人问津
曾经有一位技术并不高超的黑客,利用专长侵入了国内某通信公司充值中心数据库,修改窃取充值卡数据密码并向他人进行销售,造成数以百万计的资金损失。在信息安全领域,这个案例值得人深思:在长达半年的时间里面,耗资千万、由防火墙、IDS、防病毒系统构成的网络安全架构竟然一条报警信息都没有发出!
从上面的例子我们可以发现一个问题,对于运营商这样的用户,他们的安全措施无疑应该是比较完善的,不过我们也应看到,这些传统的安全防护手段主要是面向于网络层面,而没有在具体的应用层实施监控,用户和应用资源之间,以及整个访问过程和行为都是不受控制的。根据Gartner的研究数据表明,当前75%的攻击行为已经由网络层转移到了应用层,当黑客在应用层发动攻击时,或是内部人员非法存取数字资源时,网络防火墙和入侵检测产品发挥的作用往往极其有限。
对此,国路安(GLA)副总经理李宴祥表示:“对于一些特定行业用户的安全需求来说,这些传统的安全手段无法控制‘人’的操作行为,只能依靠应用系统自身携带的安全功能。但许多程序开发人员缺乏安全专业技能,虽然利用了身份认证及粗粒度的权限控制措施,却没有考虑到访问过程和访问行为的安全。因此,依赖传统安全设备,或是应用系统自带功能,都不能满足用户对业务应用系统防护的高安全等级要求,更难以符合信息安全等级保护的政策要求。”
符合信息安全等级保护 前置主机当好“守门员”
然而,在网络中排除“阿喀琉斯之踵”将是一件十分困难的事情。管理员是不是需要为每套新上线的业务系统都单独配备安全保护呢?或是对已经长期服役的业务系统来一次代码“大换血”呢?当然,如果你有足够的时间和资金,则可以启动这个浩大的工程。不过,最好的方式是在业务系统和访问者之间增加一名”守门员“,阻止非法用户闯入,保护赖以生存的核心数据。
针对应用层威胁的特点,并确保行业用户可以遵循国家信息安全等级保护的要求,国路安开发了满足用户应用安全防护要求的“可信应用安全系统”。该系统按照国家信息安全等级保护政策中对三级以上(含三级)系统的安全要求进行开发,采用了应用业务逻辑与安全防护逻辑分离的设计思路。通过前置主机的方式,在应用服务器前以透明接入方式部署GLA天璿可信应用安全系统,在不改变现有应用的前提下,通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术,在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。
GLA天璿可信应用安全系统能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题,可以保证在不改变应用及应用系统的前提下,提高应用的安全保证能力。因此,可以保证应用开发人员和应用软件专注于业务处理逻辑本身,全面提高了业务处理效率,更便于系统的故障隔离。另外,GLA天璿可信应用安全系统可针对使用第三方CA证书的行业用户,提供数字证书、用户名/口令字、IP地址及USB KEY等多因子身份认证方式。
在具体使用过程中,管理员可以利用实现基于角色(岗位)的访问控制,以及基于SSL协议的安全加密传输通道,确保存取访问和传输过程的安全。在易用性方面,可信应用安全系统为用户提供透明应用,实现了用户应用流程不变、操作习惯不变。而特有的知识库自学习功能,更可进一步辅助系统安全管理员制定安全策略,减少安全运维管理的工作负担。