【51CTO.com 綜合報道】日前在北京召開的2009年系統(tǒng)架構師大會，無疑是今年最為重頭的技術研討會之一。不僅參會人員大多是公司IT運維的精英，演講人也是各大公司高級系統(tǒng)架構設計者。不過談架構必然要談及整體架構的安全策略實施，如何才能確保網(wǎng)絡運維在一個安全高效的環(huán)境中，也是各位系統(tǒng)管理員所要面對的問題。梭子魚網(wǎng)絡有限公司華北區(qū)銷售總監(jiān)鄭爽對此也有自己的看法。 

WEB應用究竟面臨哪些威脅?

“眾所周知，Web應用已經(jīng)成為大家所關注的重點。很多企業(yè)已經(jīng)把傳統(tǒng)業(yè)務流程放到網(wǎng)上進行應用，這不光是節(jié)省成本的考慮，更多是為了業(yè)務流程的透明和時效性。但是，隨之而來的確是網(wǎng)絡風險的加劇，企業(yè)網(wǎng)絡被攻擊案例時有發(fā)生，這背后既有企業(yè)不注重防范網(wǎng)絡管理的因素在內，也有攻擊者被背后的利益所驅動。”

鄭爽隨后舉出實際例子讓人心驚?！?008-04CNCERT/CC國家互聯(lián)網(wǎng)應急中心監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)達61,228個，比去年增加了1.5倍。”  

圖2

圖3

據(jù)最近的美國計算機安全協(xié)會(CSI)/美國聯(lián)邦調查局(FBI)的研究表明：接受調查的公司中有 52% 的公司的系統(tǒng)遭受過外部入侵，但事實上他們中有 98% 的公司都裝有防火墻。這些攻擊為269家受訪公司帶來的經(jīng)濟損失——包括系統(tǒng)入侵、濫用 web 應用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕服務共計超過1.41億美元。

美國總統(tǒng)奧巴馬曾公開在電視媒體上講話，每年由于黑客的惡意攻擊，美國每年因此導致?lián)p失1000億美金。

Web應用攻擊特點

和傳統(tǒng)底層攻擊方式不同的是，如今Web應用攻擊通常是以七層的形式進行，對這種攻擊，傳統(tǒng)防火墻顯得力不從心。 

圖4

全面的WEB站點防護，降低商業(yè)風險

在談到Web攻擊防護，商業(yè)上可取的的利益，鄭爽解釋道：“非法訪問、WEB站點偽裝、WEB站點篡改、Outbound數(shù)據(jù)竊取防護、應用傳輸加速、緩存、壓縮、TCP連接復用、SSL卸載和加速、負載均衡等等一系列的攻擊都可以被抵御。同時，在審計及合規(guī)方面，更可以幫助企業(yè)通過安全審計，達到PCI(支付卡)應用安全規(guī)范要求，美國薩班法案(SarbanesOxley)及其他合規(guī)性要求。從商業(yè)角度衡量，都是有百利而無一害的事情。”  

圖5

三步實現(xiàn)應用安全

為了實現(xiàn)應用安全，就必須要做三方面的措施：

1、保護應用基礎架構

這里需要隱藏公司本身的架構，不要讓人輕易得知;同時Cookie 也需要定期處理，以免有人從中獲取信息;再一個就是Web 地址轉換，把自己真實的地址保護起來。

2、根據(jù)應用強化安全

動態(tài)應用建模，根據(jù)業(yè)務需求，強化在關鍵業(yè)務方面的安全等級。

3、彈性安全策略

根據(jù)IP或應用設置安全規(guī)則(網(wǎng)絡防火墻、某些UTM設備);根據(jù)URL設置安全策略(web服務器、代理服務器);根據(jù)HTTP報頭設置安全策略(如請求方式、session、cookie各報頭參數(shù)等);根據(jù)頁面參數(shù)(如表單參數(shù)、HTML元素、)等等，利用以上策略根據(jù)公司業(yè)務需求組合成整體的安全策略。

WEB應用防護優(yōu)勢 

圖6

對于Web應用的防護優(yōu)勢，鄭爽提出以下幾方面：

1、減少不安全造成的損失

2、減少客戶數(shù)據(jù)、商業(yè)機密、員工信息、財務信息及其他敏感數(shù)據(jù)泄露的可能性。

3、減少因泄露信息而產生法律訴訟的可能性。

4、減少因安全問題造成公司股價下跌、形象受損、客戶信譽降低的可能性。

5、更早的遵從有關法規(guī)對企業(yè)網(wǎng)絡安全的規(guī)定如： (SOX, GLB, HIPAA, CA SB -386)

6、加快應用的使用

7、網(wǎng)站可以提前發(fā)布，更早產生經(jīng)濟效益。

在隨后鄭爽接受我們采訪中，反復提到，系統(tǒng)架構師在考慮整體系統(tǒng)架構制定的同時，千萬不要忘記保障應用安全。而目前最能導致應用安全問題的，那就是Web應用這一新興的應用?！叭绻\行的數(shù)據(jù)都不是我真正想要的，那么建設再好的網(wǎng)絡架構又有什么用呢?！”