引言：上一回我們說到，現(xiàn)有網(wǎng)絡(luò)層安全防護(hù)措施對于Web應(yīng)用類安全問題的防護(hù)無效和束手無策的問題的同時，并不是告訴大家原來的網(wǎng)絡(luò)層和基礎(chǔ)型安全防護(hù)措施、體系/產(chǎn)品不好或沒用。如果這樣理解的話，用戶肯定會跳起來說："那按照這樣的情況，是不是我對于用來建設(shè)網(wǎng)絡(luò)層安全防護(hù)體系的投資和錢就白花了？！"所以這樣的理解是錯誤的。而正確的則是：之所以現(xiàn)在黑客的攻擊方式已經(jīng)從網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層，原因就是基礎(chǔ)型網(wǎng)絡(luò)層安全防護(hù)措施作的很完善，人們的安全意識提高了，包括系統(tǒng)級的漏洞和0day的挖掘也越來越難，官方補(bǔ)丁更新的也越來越快，這些都會給黑客帶來不小的"麻煩"。使黑客依靠傳統(tǒng)的攻擊手段面對這些嚴(yán)密的防護(hù)體系和產(chǎn)品已無效，因此黑客才會轉(zhuǎn)移技術(shù)研究和攻擊方向。所以，基礎(chǔ)型網(wǎng)絡(luò)層安全防護(hù)是相當(dāng)重要的，也是必要的。而我們所提倡的應(yīng)用層安全防護(hù)的概念是在肯定了用戶的前期投資的前提下，以及建立在完善的網(wǎng)絡(luò)層安全防御體系的基礎(chǔ)之上或同時，再配合建設(shè)基于Web應(yīng)用的安全防護(hù)措施。雙管齊下才能從根本意義上全面和有效的保障用戶系統(tǒng)和業(yè)務(wù)的安全性。

但，我們可以思考一下，光靠以眾多網(wǎng)絡(luò)層防護(hù)產(chǎn)品為基礎(chǔ)所建立的，看似嚴(yán)密的安全防御體系就能完全保障用戶的業(yè)務(wù)系統(tǒng)的安全性嗎？答案肯定是否定的，不能！而且本節(jié)在開始的時候也論述了為什么必須是網(wǎng)絡(luò)層+應(yīng)用層，雙管齊下才能實現(xiàn)業(yè)務(wù)安全的全保障。下面我們就來針對應(yīng)用層安全方面的問題具體分析一下。

安恒信息信息高手出招--應(yīng)用安全解決方案

招數(shù)分析：現(xiàn)有安全防御技術(shù)

雖然提到了采用種種傳統(tǒng)基于網(wǎng)絡(luò)層安全防護(hù)措施和產(chǎn)品所建立的安全防御體系和安全模型，如：目前很多企業(yè)采用網(wǎng)絡(luò)防火墻、IDS/IPS、補(bǔ)丁安全管理、升級軟件等措施實現(xiàn)縱深防御，然而這些方法難以有效的阻止Web攻擊，且對于HTTPS類的攻擊手段，更是顯得束手無策。

我們來分析下原因。首先來看傳統(tǒng)網(wǎng)絡(luò)防火墻設(shè)備。網(wǎng)絡(luò)防火墻可以控制對網(wǎng)絡(luò)的訪問，管理員可以創(chuàng)建網(wǎng)絡(luò)訪問控制列表（ACLs）允許或阻止來自某個源地址或發(fā)往某個目的地址及相關(guān)端口的訪問流量。但傳統(tǒng)的防火墻無法阻止Web攻擊，不論這些攻擊來自防火墻內(nèi)部的還是外部，因為它們無法檢測、阻斷、修訂、刪除或重寫HTTP應(yīng)用的請求或應(yīng)答內(nèi)容。為了保障對應(yīng)用的訪問，防火墻會開放應(yīng)用的80端口，這意味著Internet上的任意IP都能直接訪問應(yīng)用，因此web及其應(yīng)用服務(wù)器事實上是無安全檢測和防范的。

狀態(tài)檢測防火墻是防火墻技術(shù)的重大進(jìn)步，這種防火墻在網(wǎng)絡(luò)層的ACLs基礎(chǔ)上增加了狀態(tài)檢測方式，它監(jiān)視每一個連接狀態(tài)，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它能根據(jù)TCP會話異常及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中。然而，狀態(tài)防火墻無法偵測很多應(yīng)用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通過防火墻到達(dá)應(yīng)用服務(wù)器；同樣，如果某個攻擊進(jìn)行了加密或編碼該防火墻也不能檢測。

其次我們再來看入侵檢測/防御系統(tǒng)。入侵檢測系統(tǒng)使用特征識別技術(shù)記錄并報警潛在的安全威脅。其工作模式是被動的，它不能阻止攻擊，也不能對未知的攻擊進(jìn)行報警。目前大多數(shù)攻擊特征數(shù)據(jù)庫都是網(wǎng)絡(luò)層的攻擊，此外，可以通過加密，TCP碎片攻擊以及其他方式繞過入侵檢測系統(tǒng)的防御。所以，綜上所述，IDS和IPS系統(tǒng)也是對于Web應(yīng)用安全防護(hù)是無效的。#p#

安全招數(shù)體系：結(jié)合傳統(tǒng)網(wǎng)絡(luò)層基礎(chǔ)防護(hù)體系的新型應(yīng)用層安全解決方案

事實上，我們所討論話題的關(guān)鍵點和重點在于Web應(yīng)用層的防護(hù)問題。而上文也說了，傳統(tǒng)網(wǎng)絡(luò)層安全防護(hù)措施和防御體系同等重要。因此，在這里我們來看一下安恒信息信息技術(shù)有限公司所提倡的一種基于"前端檢測+中端防護(hù)+后端追溯"的安全理念的"結(jié)合傳統(tǒng)網(wǎng)絡(luò)層基礎(chǔ)防護(hù)體系的新型應(yīng)用層安全解決方案"。

第一招：應(yīng)用層安全功能技術(shù)體系建設(shè)

對于應(yīng)用層安全解決方案建議，安恒信息公司認(rèn)為目前行業(yè)內(nèi)所流行的安全模型，如：APPDRR、WPDRRC等，實際上都是參照于PDR安全防護(hù)體系的基礎(chǔ)上而發(fā)展和衍生出來的。如下圖所示：

因此，鑒于PDR安全防御體系的模型，安恒信息公司認(rèn)為同樣適用于指導(dǎo)應(yīng)用層安全防護(hù)體系的建設(shè)。即：

●在Protection防護(hù)層面：可以采用Web應(yīng)用防火墻，針對應(yīng)用層的攻擊進(jìn)行有效防護(hù)；

●在Detection檢測層面：可以采用Web應(yīng)用弱點掃描器，針對在線Web業(yè)務(wù)應(yīng)用系統(tǒng)或B/S架構(gòu)的系統(tǒng)進(jìn)行掃描和評估，從而發(fā)現(xiàn)其弱點和安全問題和隱患；

●在Response響應(yīng)層面：可以采用審計系統(tǒng)+應(yīng)急響應(yīng)服務(wù)+評估加固服務(wù)的方式，針對發(fā)生的安全事件進(jìn)行深度調(diào)查、取證，了解原因和問題所在。從而通過人工進(jìn)行有效彌補(bǔ)，從根本上去除威脅和風(fēng)險。

另外，從用戶角度考慮，應(yīng)用安全需求還應(yīng)滿足以下要求：

●產(chǎn)品部署簡便，管理集中，操作簡潔，性能影響甚微；

●對用戶現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無影響；

●方便管理，無需進(jìn)行復(fù)雜的配置；

●對現(xiàn)有WEB應(yīng)用和業(yè)務(wù)系統(tǒng)的訪問速率不能造成太大的影響；

●對正常業(yè)務(wù)訪問不能進(jìn)行錯誤的攔截阻斷；

●部署后效果明顯，起到關(guān)鍵的安全防范作用。#p#

第二招：安全服務(wù)支持體系建設(shè)

同時，任何信息系統(tǒng)的安全保障建設(shè)不能單純的依靠各類安全產(chǎn)品的部署，盡管安全產(chǎn)品的部署能夠從大的方面對信息系統(tǒng)進(jìn)行整體的安全功能改善，但是許多安全功能無法利用安全產(chǎn)品實現(xiàn)，需要采用專門的安全服務(wù)進(jìn)行完善整體安全性能。安全服務(wù)支持體系的建設(shè)將為用戶提供持續(xù)的安全動力。

同時，信息系統(tǒng)安全保障是一個動態(tài)的安全過程，安全產(chǎn)品往往不能夠及時的響應(yīng)系統(tǒng)安全狀態(tài)的的某些變化，而專業(yè)安全服務(wù)往往能夠更及時的針對安全勢態(tài)的變化做出響應(yīng)。因此建議用戶建設(shè)安全服務(wù)支持體系。

第三招：安全策略管理體系建設(shè)

不管是安全功能技術(shù)體系的建設(shè)，還是安全服務(wù)支持體系的建設(shè)，都是從技術(shù)的角度解決信息安全問題。但是安全不單純是技術(shù)的問題，"三分技術(shù)，七分管理"充分說明了安全管理的重要性，突出了用戶對信息安全管理的重視程度。

建議在用戶的安全管理體系建設(shè)主要做以下幾方面的工作：

●安全人員和組織架構(gòu)的規(guī)劃

需要合理的進(jìn)行安全人員和組織架構(gòu)的規(guī)劃，包括：

■人員崗位與職責(zé)的劃分

■安全組織或部門的設(shè)定與職責(zé)劃分

●安全策略規(guī)范的建設(shè)與完善

安全策略規(guī)范是指導(dǎo)用戶進(jìn)行日常信息安全運行維護(hù)的基本綱領(lǐng)，是用戶系統(tǒng)信息安全工作的指導(dǎo)精神，安全策略需要依據(jù)用戶的業(yè)務(wù)結(jié)構(gòu)的變化進(jìn)行動態(tài)的調(diào)整，使之服務(wù)于用戶的良性發(fā)展。

●安全管理規(guī)范的建設(shè)與完善

安全管理規(guī)范建設(shè)是安全系統(tǒng)建設(shè)的重要部分，指定安全管理規(guī)范的根本目的是要規(guī)范和約束業(yè)務(wù)運行維護(hù)過程的操作行為，輔助各項安全技術(shù)手段發(fā)揮正常功效，貫徹執(zhí)行安全策略的各項要求。

綜上所述，只有通過以上"結(jié)合傳統(tǒng)網(wǎng)絡(luò)層基礎(chǔ)防護(hù)體系的新型應(yīng)用層安全解決方案"，才能實現(xiàn)"前端檢測+中端防護(hù)+后端追溯"的安全核心防護(hù)理念。最終保障了核心資產(chǎn)的安全性，使業(yè)務(wù)系統(tǒng)得到了根本意義上的保障。另外在技術(shù)功能體系完善的同時，建議再建立相應(yīng)的安全策略管理體系和安全服務(wù)支持體系，只有三大保障體系都建立好了，才能發(fā)揮安全產(chǎn)品和防護(hù)措施、體系的最大作用。

那么如何結(jié)合市場上眾多的應(yīng)用安全產(chǎn)品來保護(hù)企業(yè)信息安全呢？請聽下回分解！