影子戰(zhàn)爭——沒有任何東西比信息更能改變世界

“國際舞臺風(fēng)云變幻，常常讓人看得眼花繚亂。不過也有人歸納出了簡單的3條：一切的爭奪，無非就是為了物質(zhì)、能源，還有信息。前面兩種顯而易見，但最后一種，卻是一場看不見的影子戰(zhàn)爭。”

提到網(wǎng)絡(luò)安全，以前人們想到的是防火墻、入侵檢測、加密、認(rèn)證、VPN等等一系列產(chǎn)品的名字，現(xiàn)在大家逐步認(rèn)識到需要安全集成。然而目前的安全集成還處在初級階段，往往只是產(chǎn)品的疊加，各自擁有不同的管理界面，各自擁有不同格式的日志記錄，相互間缺乏標(biāo)準(zhǔn)的通信接口，更為重要的是這些安全產(chǎn)品還不能與應(yīng)用緊密地結(jié)合起來。因此，用戶迫切需要一個完整的、與應(yīng)用緊密相關(guān)的并且是容易部署、管理和應(yīng)用的安全解決方案。

值得一提的是，近幾年，國家相關(guān)部門、專家學(xué)者以及眾多安全廠商都對安全管理本身等提出了各自的看法與實踐過程。這是十分令人振奮的，然而在欣喜之余，我們更應(yīng)該考慮：WEB應(yīng)用安全，究竟是為了什么？

首先，它不能夠阻礙正常的業(yè)務(wù)應(yīng)用;其次從威脅、攻擊、漏洞等的角度上來說，已經(jīng)讓安全措施很難跟得上攻擊手法與速度的進(jìn)一步提升。因此，不僅需要建立更為穩(wěn)固與可靠的WEB應(yīng)用安全管理體系，有效利用現(xiàn)有安全措施和資源，同時也需要從另外一種角度--應(yīng)用層面來觀察安全。

從2000年開始已經(jīng)有諸多信息安全廠商涉足應(yīng)用安全領(lǐng)域，不僅提供了溝通應(yīng)用安全的社區(qū)與論壇，并在應(yīng)用安全的發(fā)展方向上做出了卓越的成績與貢獻(xiàn)。越來越多的企業(yè)開始關(guān)注如何讓自己的業(yè)務(wù)應(yīng)用安全、穩(wěn)定可靠并為之投入大量的安全資源(人-安全管理員、財-安全預(yù)算、物-安全設(shè)備)，然而IT環(huán)境本身的惡化與嚴(yán)峻的考驗給業(yè)務(wù)應(yīng)用系統(tǒng)的安全部署提出了更為苛刻的要求。

它需要在業(yè)務(wù)應(yīng)用系統(tǒng)設(shè)計之初就被實施并貫徹其整個生命周期始末。因此，在這里我們來看一下安恒信息技術(shù)有限公司所提倡的一種基于“前端檢測+中端防護(hù)+后端追溯”的安全理念的“結(jié)合傳統(tǒng)網(wǎng)絡(luò)層基礎(chǔ)防護(hù)體系的新型應(yīng)用層安全解決方案”的安全錦囊計：

并戰(zhàn)計——應(yīng)用層安全功能技術(shù)體系建設(shè)

對于應(yīng)用層安全解決方案建議，目前行業(yè)內(nèi)所流行的安全模型，如：APPDRR、WPDRRC等，實際上都是參照于PDR安全防護(hù)體系的基礎(chǔ)上而發(fā)展和衍生出來的。

因此，鑒于PDR安全防御體系的模型，同樣適用于指導(dǎo)應(yīng)用層安全防護(hù)體系的建設(shè)。即：

在Protection防護(hù)層面：可以采用Web應(yīng)用防火墻，針對應(yīng)用層的攻擊進(jìn)行有效防護(hù);

在Detection檢測層面：可以采用Web應(yīng)用弱點掃描器，針對在線Web業(yè)務(wù)應(yīng)用系統(tǒng)或B/S架構(gòu)的系統(tǒng)進(jìn)行掃描和評估，從而發(fā)現(xiàn)其弱點和安全問題和隱患;

在Response響應(yīng)層面：可以采用審計系統(tǒng)+應(yīng)急響應(yīng)服務(wù)+評估加固服務(wù)的方式，針對發(fā)生的安全事件進(jìn)行深度調(diào)查、取證，了解原因和問題所在。從而通過人工進(jìn)行有效彌補(bǔ)，從根本上去除威脅和風(fēng)險。

另外，從用戶角度考慮，應(yīng)用安全需求還應(yīng)滿足以下要求：

產(chǎn)品部署簡便，管理集中，操作簡潔，性能影響甚微;

對用戶現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無影響;

方便管理，無需進(jìn)行復(fù)雜的配置;

對現(xiàn)有WEB應(yīng)用和業(yè)務(wù)系統(tǒng)的訪問速率不能造成太大的影響;

對正常業(yè)務(wù)訪問不能進(jìn)行錯誤的攔截阻斷;

部署后效果明顯，起到關(guān)鍵的安全防范作用。

攻戰(zhàn)計——安全服務(wù)支持體系建設(shè)

同時，任何信息系統(tǒng)的安全保障建設(shè)不能單純的依靠各類安全產(chǎn)品的部署，盡管安全產(chǎn)品的部署能夠從大的方面對信息系統(tǒng)進(jìn)行整體的安全功能改善，但是許多安全功能無法利用安全產(chǎn)品實現(xiàn)，需要采用專門的安全服務(wù)進(jìn)行完善整體安全性能。安全服務(wù)支持體系的建設(shè)將為用戶提供持續(xù)的安全動力。

同時，信息系統(tǒng)安全保障是一個動態(tài)的安全過程，安全產(chǎn)品往往不能夠及時的響應(yīng)系統(tǒng)安全狀態(tài)的的某些變化，而專業(yè)安全服務(wù)往往能夠更及時的針對安全勢態(tài)的變化做出響應(yīng)。因此建議用戶建設(shè)安全服務(wù)支持體系。

勝戰(zhàn)計——安全策略管理體系建設(shè)

不管是安全功能技術(shù)體系的建設(shè)，還是安全服務(wù)支持體系的建設(shè)，都是從技術(shù)的角度解決WEB應(yīng)用安全問題。但是安全不單純是技術(shù)的問題，“三分技術(shù)，七分管理”充分說明了安全管理的重要性，突出了用戶對WEB應(yīng)用安全管理的重視程度。

建議在用戶的安全管理體系建設(shè)主要做以下幾方面的工作：

（1）安全人員和組織架構(gòu)的規(guī)劃

（2）需要合理的進(jìn)行安全人員和組織架構(gòu)的規(guī)劃，包括：

1.人員崗位與職責(zé)的劃分

2.安全組織或部門的設(shè)定與職責(zé)劃分

3.安全策略規(guī)范的建設(shè)與完善

4.安全策略規(guī)范是指導(dǎo)用戶進(jìn)行日常WEB應(yīng)用安全運(yùn)行維護(hù)的基本綱領(lǐng)，是用戶系統(tǒng)WEB應(yīng)用安全工作的指導(dǎo)精神，安全策略需要依據(jù)用戶的業(yè)務(wù)結(jié)構(gòu)的變化進(jìn)行動態(tài)的調(diào)整，使之服務(wù)于用戶的良性發(fā)展。

5.安全管理規(guī)范的建設(shè)與完善

安全管理規(guī)范建設(shè)是安全系統(tǒng)建設(shè)的重要部分，指定安全管理規(guī)范的根本目的是要規(guī)范和約束業(yè)務(wù)運(yùn)行維護(hù)過程的操作行為，輔助各項安全技術(shù)手段發(fā)揮正常功效，貫徹執(zhí)行安全策略的各項要求。

不同企業(yè)的網(wǎng)絡(luò)環(huán)境存在一定的共性，但各自的差異也尤為突出。不同行業(yè)有著不同行業(yè)的特點，即使是相同行業(yè)，其行業(yè)下所屬的企業(yè)也各有特色。企業(yè)的網(wǎng)絡(luò)架構(gòu)的不同，業(yè)務(wù)及技術(shù)特點的不同，以及企業(yè)文化的不同等等，這些都會加大用戶對反病毒安全產(chǎn)品需求的不同。因此具有向用戶提供有個性化、立體化安全方案的能力才能保證多元化的網(wǎng)絡(luò)安全。

總而言之，安全是一個持續(xù)性的螺旋上升的過程，其與業(yè)務(wù)應(yīng)用之間的關(guān)系密不可分。當(dāng)我們發(fā)現(xiàn)業(yè)務(wù)應(yīng)用系統(tǒng)的復(fù)雜程度以及所帶來的風(fēng)險已經(jīng)遠(yuǎn)遠(yuǎn)不是單獨的一個進(jìn)化速度滯后于病毒、漏洞等威脅的增長速度的UTM統(tǒng)一威脅管理方案或者單獨的一個網(wǎng)絡(luò)安全解決方案所能夠應(yīng)對之時，我們必須該換種眼光，換個思路來思考業(yè)務(wù)應(yīng)用與安全之間的辯證關(guān)系。

安全措施與業(yè)務(wù)應(yīng)用二者之間的倒沙漏模型帶給了我們更多的思考。那么我們究竟如何尋找到最恰當(dāng)?shù)慕Y(jié)合點？如何更有效的關(guān)聯(lián)業(yè)務(wù)應(yīng)用與安全措施等等一系列的問題都給WEB應(yīng)用安全技術(shù)的發(fā)展提出了更嚴(yán)峻的挑戰(zhàn)。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播