信息安全的核心在于“信息數(shù)據(jù)”的安全，而在數(shù)據(jù)處理中，應(yīng)用才是關(guān)鍵。隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用類別越來越多，應(yīng)用復(fù)雜度也越來越高，人們逐漸發(fā)現(xiàn)，單純解決數(shù)據(jù)的訪問和傳輸?shù)陌踩呀?jīng)無法很好地保障信息安全，必須高度重視維護(hù)關(guān)鍵應(yīng)用的安全，從數(shù)據(jù)的產(chǎn)生、計算和存儲等多個角度來思考和解決。因此，對于“網(wǎng)絡(luò)應(yīng)用”安全的關(guān)注度也逐漸升溫。目前，網(wǎng)絡(luò)應(yīng)用安全呈獻(xiàn)出以下幾大發(fā)展趨勢。

趨勢一：Web應(yīng)用安全市場成為必爭之地

如今，越來越多的企業(yè)用戶已將核心業(yè)務(wù)系統(tǒng)轉(zhuǎn)移到網(wǎng)絡(luò)上，Web瀏覽器成為業(yè)務(wù)系統(tǒng)的窗口。在此背景下，如何保障企業(yè)的應(yīng)用安全，尤其是Web應(yīng)用安全成為新形勢下信息安全保障的關(guān)鍵所在。Gartner的一份分析報告指出，在調(diào)查的企業(yè)數(shù)據(jù)中心中，92%的Web應(yīng)用有安全缺陷;80%存在跨站攻擊;高達(dá)62%存在SQL注入風(fēng)險;而參數(shù)篡改和Cookies毒化也分別達(dá)到60%和37%。同時，專門針對應(yīng)用層進(jìn)行攻擊的手段越來越多，越來越難以防范。

從技術(shù)的角度看，Web應(yīng)用的安全主要涉及兩個方面：服務(wù)器端和客戶端。服務(wù)器端的安全隱患主要有腳本安全、SQL注入、盜鏈、DoS/DDoS攻擊。而客戶端的安全隱患主要是Cookie、證書、可執(zhí)行代碼的限制、安全選項設(shè)置不當(dāng)?shù)取?/P>

目前已經(jīng)有相當(dāng)多的安全廠商提出了自己的Web應(yīng)用安全解決方案。

趨勢二：加強(qiáng)應(yīng)用本身的安全是網(wǎng)絡(luò)應(yīng)用安全的關(guān)鍵

網(wǎng)絡(luò)應(yīng)用之所以不安全，其中很關(guān)鍵的一點(diǎn)是應(yīng)用程序本身不安全，給網(wǎng)絡(luò)攻擊留下了可乘之機(jī)。有幾家安全廠商已經(jīng)將注意力到應(yīng)用程序開發(fā)過程中，提出了所謂的代碼級解決方案，確保應(yīng)用服務(wù)本身的安全漏洞盡量少，盡可能地消除程序的安全漏洞帶來的可乘之機(jī)。

趨勢三：身份管理成為應(yīng)用訪問控制主流技術(shù)

基于身份的應(yīng)用管理包括身份識別、權(quán)限控制、行為審計等多方面。網(wǎng)絡(luò)邊界正在逐漸變得模糊，移動終端越來越普及，我們面臨的網(wǎng)絡(luò)世界不再是清晰的內(nèi)部與外部，身份成為網(wǎng)絡(luò)世界的辨識要素，因此對于身份的管理就顯得尤為重要。

傳統(tǒng)的身份管理技術(shù)主要采用所謂的AAA技術(shù)，然而隨著應(yīng)用安全需求的發(fā)展，不再是身份的識別和權(quán)限控制那么簡單，更多的是希望通過“身份”的管理來實(shí)現(xiàn)應(yīng)用訪問控制。比如當(dāng)前比較流行的P2P應(yīng)用占據(jù)了大量的網(wǎng)絡(luò)帶寬，在某些場合，事實(shí)上已經(jīng)嚴(yán)重影響了正常的業(yè)務(wù)操作，成為企業(yè)和網(wǎng)絡(luò)運(yùn)營商頭疼的問題，但又不能簡單地禁止這些應(yīng)用。于是如何識別這些P2P應(yīng)用，如何給不同的身份配置不同的P2P應(yīng)用權(quán)限，如何監(jiān)控這些應(yīng)用下載的數(shù)據(jù)的合法性和安全性，都成為了應(yīng)用訪問控制的關(guān)鍵。

趨勢四：采用多核硬件架構(gòu)來解決應(yīng)用安全處理性能不足的問題

要確保紛繁復(fù)雜的網(wǎng)絡(luò)應(yīng)用的安全，就不得不深入分析報文。不僅僅需要分析報文的傳輸層，還需要分析報文的應(yīng)用協(xié)議層、應(yīng)用數(shù)據(jù)內(nèi)容，甚至還需要分析報文之間的關(guān)聯(lián)性，這就給應(yīng)用安全技術(shù)帶來更大挑戰(zhàn)。既要分析準(zhǔn)確，又要確保報文的實(shí)時性，在一定程度上，這兩者是矛盾的，單純希望從軟件角度解決此矛盾已經(jīng)不再現(xiàn)實(shí)，必須尋求更高更強(qiáng)的硬件架構(gòu)才能解決根本問題。

部分實(shí)力雄厚的應(yīng)用安全廠商已經(jīng)采用多核硬件架構(gòu)來解決性能瓶頸，將應(yīng)用安全的處理能力提升到以前的5～10倍，基本滿足了當(dāng)前對網(wǎng)絡(luò)應(yīng)用安全的性能要求。

未來更多的業(yè)務(wù)將以Web應(yīng)用方式呈現(xiàn)，信息安全也必將從以邊界防護(hù)為主向應(yīng)用和數(shù)據(jù)安全防護(hù)為主過渡，同時加強(qiáng)在應(yīng)用研發(fā)、部署以及維護(hù)等方面的安全管理并輔以必要的技術(shù)設(shè)備，才能跟上信息化發(fā)展的步伐，實(shí)現(xiàn)協(xié)調(diào)發(fā)展。

【編輯推薦】

1. 穩(wěn)捷網(wǎng)絡(luò)為醫(yī)療行業(yè)應(yīng)用安全保駕護(hù)航
2. 淺談電子商務(wù)網(wǎng)絡(luò)信息安全問題