引言:上一回我们说到,现有网络层安全防护措施对于Web应用类安全问题的防护无效和束手无策的问题的同时,并不是告诉大家原来的网络层和基础型安全防护措施、体系/产品不好或没用。如果这样理解的话,用户肯定会跳起来说:"那按照这样的情况,是不是我对于用来建设网络层安全防护体系的投资和钱就白花了?!"所以这样的理解是错误的。而正确的则是:之所以现在黑客的攻击方式已经从网络层转向应用层,原因就是基础型网络层安全防护措施作的很完善,人们的安全意识提高了,包括系统级的漏洞和0day的挖掘也越来越难,官方补丁更新的也越来越快,这些都会给黑客带来不小的"麻烦"。使黑客依靠传统的攻击手段面对这些严密的防护体系和产品已无效,因此黑客才会转移技术研究和攻击方向。所以,基础型网络层安全防护是相当重要的,也是必要的。而我们所提倡的应用层安全防护的概念是在肯定了用户的前期投资的前提下,以及建立在完善的网络层安全防御体系的基础之上或同时,再配合建设基于Web应用的安全防护措施。双管齐下才能从根本意义上全面和有效的保障用户系统和业务的安全性。
但,我们可以思考一下,光靠以众多网络层防护产品为基础所建立的,看似严密的安全防御体系就能完全保障用户的业务系统的安全性吗?答案肯定是否定的,不能!而且本节在开始的时候也论述了为什么必须是网络层+应用层,双管齐下才能实现业务安全的全保障。下面我们就来针对应用层安全方面的问题具体分析一下。
安恒信息信息高手出招--应用安全解决方案
招数分析:现有安全防御技术
虽然提到了采用种种传统基于网络层安全防护措施和产品所建立的安全防御体系和安全模型,如:目前很多企业采用网络防火墙、IDS/IPS、补丁安全管理、升级软件等措施实现纵深防御,然而这些方法难以有效的阻止Web攻击,且对于HTTPS类的攻击手段,更是显得束手无策。
我们来分析下原因。首先来看传统网络防火墙设备。网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。但传统的防火墙无法阻止Web攻击,不论这些攻击来自防火墙内部的还是外部,因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对应用的访问,防火墙会开放应用的80端口,这意味着Internet上的任意IP都能直接访问应用,因此web及其应用服务器事实上是无安全检测和防范的。
状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器;同样,如果某个攻击进行了加密或编码该防火墙也不能检测。
其次我们再来看入侵检测/防御系统。入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的,它不能阻止攻击,也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击,此外,可以通过加密,TCP碎片攻击以及其他方式绕过入侵检测系统的防御。所以,综上所述,IDS和IPS系统也是对于Web应用安全防护是无效的。#p#
安全招数体系:结合传统网络层基础防护体系的新型应用层安全解决方案
事实上,我们所讨论话题的关键点和重点在于Web应用层的防护问题。而上文也说了,传统网络层安全防护措施和防御体系同等重要。因此,在这里我们来看一下安恒信息信息技术有限公司所提倡的一种基于"前端检测+中端防护+后端追溯"的安全理念的"结合传统网络层基础防护体系的新型应用层安全解决方案"。
第一招:应用层安全功能技术体系建设
对于应用层安全解决方案建议,安恒信息公司认为目前行业内所流行的安全模型,如:APPDRR、WPDRRC等,实际上都是参照于PDR安全防护体系的基础上而发展和衍生出来的。如下图所示:
因此,鉴于PDR安全防御体系的模型,安恒信息公司认为同样适用于指导应用层安全防护体系的建设。即:
●在Protection防护层面:可以采用Web应用防火墙,针对应用层的攻击进行有效防护;
●在Detection检测层面:可以采用Web应用弱点扫描器,针对在线Web业务应用系统或B/S架构的系统进行扫描和评估,从而发现其弱点和安全问题和隐患;
●在Response响应层面:可以采用审计系统+应急响应服务+评估加固服务的方式,针对发生的安全事件进行深度调查、取证,了解原因和问题所在。从而通过人工进行有效弥补,从根本上去除威胁和风险。
另外,从用户角度考虑,应用安全需求还应满足以下要求:
●产品部署简便,管理集中,操作简洁,性能影响甚微;
●对用户现有网络拓扑结构尽量无影响;
●方便管理,无需进行复杂的配置;
●对现有WEB应用和业务系统的访问速率不能造成太大的影响;
●对正常业务访问不能进行错误的拦截阻断;
●部署后效果明显,起到关键的安全防范作用。#p#
第二招:安全服务支持体系建设
同时,任何信息系统的安全保障建设不能单纯的依靠各类安全产品的部署,尽管安全产品的部署能够从大的方面对信息系统进行整体的安全功能改善,但是许多安全功能无法利用安全产品实现,需要采用专门的安全服务进行完善整体安全性能。安全服务支持体系的建设将为用户提供持续的安全动力。
同时,信息系统安全保障是一个动态的安全过程,安全产品往往不能够及时的响应系统安全状态的的某些变化,而专业安全服务往往能够更及时的针对安全势态的变化做出响应。因此建议用户建设安全服务支持体系。
第三招:安全策略管理体系建设
不管是安全功能技术体系的建设,还是安全服务支持体系的建设,都是从技术的角度解决信息安全问题。但是安全不单纯是技术的问题,"三分技术,七分管理"充分说明了安全管理的重要性,突出了用户对信息安全管理的重视程度。
建议在用户的安全管理体系建设主要做以下几方面的工作:
●安全人员和组织架构的规划
需要合理的进行安全人员和组织架构的规划,包括:
■人员岗位与职责的划分
■安全组织或部门的设定与职责划分
●安全策略规范的建设与完善
安全策略规范是指导用户进行日常信息安全运行维护的基本纲领,是用户系统信息安全工作的指导精神,安全策略需要依据用户的业务结构的变化进行动态的调整,使之服务于用户的良性发展。
●安全管理规范的建设与完善
安全管理规范建设是安全系统建设的重要部分,指定安全管理规范的根本目的是要规范和约束业务运行维护过程的操作行为,辅助各项安全技术手段发挥正常功效,贯彻执行安全策略的各项要求。
综上所述,只有通过以上"结合传统网络层基础防护体系的新型应用层安全解决方案",才能实现"前端检测+中端防护+后端追溯"的安全核心防护理念。最终保障了核心资产的安全性,使业务系统得到了根本意义上的保障。另外在技术功能体系完善的同时,建议再建立相应的安全策略管理体系和安全服务支持体系,只有三大保障体系都建立好了,才能发挥安全产品和防护措施、体系的最大作用。
那么如何结合市场上众多的应用安全产品来保护企业信息安全呢?请听下回分解!
