近日，安全圈內(nèi)發(fā)生一件讓大家關(guān)注的大事，眾多網(wǎng)站的用戶(hù)數(shù)據(jù)"泄密門(mén)"令"信息安全"這個(gè)話(huà)題在一夜之間便成為了大家關(guān)注的焦點(diǎn)和熱議的話(huà)題，隨著事態(tài)的發(fā)展，讓我們深刻感受到，"泄密門(mén)"與我們近在咫尺。

早在2006年，Gartner公司的一份調(diào)查顯示，當(dāng)時(shí)成功的攻擊案例中有75%發(fā)生在應(yīng)用層。到2009年，80%的企業(yè)成為了應(yīng)用層攻擊的受害者。眾所周知，如今的IT系統(tǒng)日益復(fù)雜，IT業(yè)務(wù)面臨的威脅及風(fēng)險(xiǎn)也越來(lái)越大，如Web下載、IM病毒、網(wǎng)絡(luò)攻擊、網(wǎng)站掛馬等，"泄密門(mén)"也只是眾多安全問(wèn)題中的其中一個(gè)。而這些安全事件的核心更多集中在應(yīng)用層面，如何保證應(yīng)用的安全，將是用戶(hù)對(duì)安全需求的重點(diǎn)。

針對(duì)本次的"泄漏門(mén)"事件，輿論焦點(diǎn)基本集中在"客戶(hù)賬號(hào)口令信息是明文保存"這個(gè)話(huà)題上，但就今天的硬件計(jì)算能力和密碼破解技術(shù)來(lái)說(shuō)，加密的用戶(hù)密碼只是增加了"信息被泄漏"后的破解成本，達(dá)到了"即使被偷了也很難解密"的效果，更積極的應(yīng)對(duì)方式是"盡量不被偷走"、"即使被偷走了也很難解密"兩手同時(shí)抓。最大程度地減少信息泄漏的可能性，降低信息泄漏帶來(lái)的風(fēng)險(xiǎn)。

應(yīng)用安全解決方案是核心

目前，我們所熟知的安全防范大致可分為幾種：傳統(tǒng)的防火墻、IPS/IDS/DLP,應(yīng)用安全解決方案。

傳統(tǒng)的防火墻采用的是被動(dòng)的安全原則，使用白名單的機(jī)制，只允許符合安全原則的訪問(wèn)通過(guò)。從技術(shù)上來(lái)看，防火墻工作在七層網(wǎng)絡(luò)協(xié)議的第三層，采用狀態(tài)檢測(cè)技術(shù)檢查和轉(zhuǎn)發(fā)TCP/IP包，從而實(shí)現(xiàn)安全區(qū)域的隔離和訪問(wèn)控制。這就決定了防火墻只能判斷TCP層面的網(wǎng)絡(luò)攻擊，而不能防Web應(yīng)用攻擊，因?yàn)樗R(shí)別不了數(shù)據(jù)包的內(nèi)容。黑客利用系統(tǒng)本身漏洞、程序漏洞，通過(guò)正常的連接完全可以取得Web權(quán)限，進(jìn)而篡改網(wǎng)頁(yè)，如常見(jiàn)的SQL注入攻擊，其表現(xiàn)層面完全是正常的數(shù)據(jù)交互查詢(xún)。對(duì)于防火墻而言，這是正常的訪問(wèn)連接，沒(méi)有任何特征能夠說(shuō)明此種訪問(wèn)連接存在攻擊，但其實(shí)系統(tǒng)已經(jīng)受到攻擊。

IPS/IDS可以識(shí)別網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容，進(jìn)而判斷是否安全，但I(xiàn)PS/IDS采用的是負(fù)向安全原則，是一種黑名單的機(jī)制，這就導(dǎo)致兩個(gè)問(wèn)題：一是難以跟上新的攻擊手段；二是要判斷的攻擊行為太多，必然影響性能。

DLP產(chǎn)品和技術(shù)是最近幾年興起的一個(gè)新的安全分支，但若想DLP系統(tǒng)能夠達(dá)到預(yù)期效果，需要企業(yè)事前對(duì)對(duì)敏感數(shù)據(jù)的數(shù)據(jù)模式特點(diǎn)，存放格式，存放位置，泄漏場(chǎng)景有全面和清晰的定義，比較適用于對(duì)于例如信用卡，身份證信息，電話(huà)號(hào)碼等有明確數(shù)據(jù)格式的信息實(shí)施防泄漏防護(hù)，而對(duì)于用戶(hù)賬號(hào)/口令這類(lèi)無(wú)法提取數(shù)據(jù)格式特性的數(shù)據(jù)泄漏，做起來(lái)就會(huì)比較吃力。

而應(yīng)用安全解決方案可準(zhǔn)確采用全代理的方式解析應(yīng)用層數(shù)據(jù)包，，實(shí)現(xiàn)對(duì)應(yīng)用層攻擊的實(shí)時(shí)檢測(cè)與防范。擴(kuò)展了防火墻與IPS的優(yōu)勢(shì)，將其防護(hù)層面從經(jīng)典的3－4層擴(kuò)展到了全七層，填補(bǔ)了經(jīng)典安全產(chǎn)品的防護(hù)空白。

保護(hù)敏感數(shù)據(jù)，遠(yuǎn)離"泄密門(mén)"

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，方便快捷的互連網(wǎng)使人們漸漸習(xí)慣了從Web頁(yè)上收發(fā)E-mail、購(gòu)物和交易，這時(shí)Web頁(yè)面上需要傳輸重要或敏感的數(shù)據(jù)，例如用戶(hù)的銀行帳戶(hù)、密碼等?，F(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務(wù)器端采用支持SSL的Web服務(wù)器，用戶(hù)端采用支持SSL的瀏覽器實(shí)現(xiàn)安全通信，泄密從某種意義上解決了客戶(hù)信息在互聯(lián)網(wǎng)上明文傳輸易于被竊聽(tīng)和截取的問(wèn)題。

F5應(yīng)用安全解決方案

F5作為應(yīng)用交付網(wǎng)絡(luò)領(lǐng)域的領(lǐng)先廠商，為用戶(hù)提供了全面且系統(tǒng)的應(yīng)用安全解決方案。F5BIG-IP應(yīng)用安全管理器（ASM）出色地抵御第七層拒絕服務(wù)（DoS）攻擊、跨站腳本攻擊、暴力攻擊（BruteForce）和SQL注入攻擊等，通過(guò)在一個(gè)靈活的、可擴(kuò)展的平臺(tái)上提供增強(qiáng)的集成安全特性。ASM作為一款出色的Web應(yīng)用安全防火墻，通過(guò)一體化應(yīng)用交付網(wǎng)絡(luò)平臺(tái)，提供應(yīng)用和網(wǎng)站防護(hù)、完整的攻擊專(zhuān)家系統(tǒng)，并且可以滿(mǎn)足關(guān)鍵的法規(guī)要求。其卓越的性能顯著減少和控制數(shù)據(jù)、知識(shí)產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險(xiǎn)。

ASM除了加強(qiáng)企業(yè)對(duì)互聯(lián)網(wǎng)場(chǎng)景的"對(duì)抗性應(yīng)用防御"能力外，也可以實(shí)現(xiàn)應(yīng)用層操作的全面審計(jì)，記錄應(yīng)用層操作日志，以便實(shí)現(xiàn)事后的取證或企業(yè)內(nèi)網(wǎng)的安全控制管理。

F5的ASM產(chǎn)品作為唯一oracle官方選擇的waf產(chǎn)品，可以與oracle最新推出的DBFW（數(shù)據(jù)庫(kù)防火墻）產(chǎn)品緊密集成，構(gòu)建業(yè)界最先進(jìn)企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)安全防護(hù)方案。

為了應(yīng)對(duì)更高的Web應(yīng)用安全需求，F(xiàn)5還在去年推出了F5BIG-IPEdgeGateway。作為一款高性能的下一代遠(yuǎn)程訪問(wèn)解決方案，首先是解決的是企業(yè)安全，其次保證企業(yè)用戶(hù)鏈路速度，和沒(méi)有在加密情況下甚至超越?jīng)]有做安全的時(shí)候。借助這款BIG-IPEdgeGateway，F(xiàn)5提供了市場(chǎng)上首款能夠在單一、可擴(kuò)展的平臺(tái)之上，統(tǒng)一為遠(yuǎn)程用戶(hù)提供安全SSLVPN訪問(wèn)、動(dòng)態(tài)訪問(wèn)與優(yōu)化控制，以及應(yīng)用加速功能的應(yīng)用交付控制器（ADC），同時(shí)不會(huì)受到用戶(hù)所使用設(shè)備或接入網(wǎng)絡(luò)的影響。

F5的另一款Web應(yīng)用安全解決方案，F(xiàn)5BIG-IP接入策略管理器（APM），重點(diǎn)解決企業(yè)it用戶(hù)集中認(rèn)證和授權(quán)的問(wèn)題，使IT部門(mén)可以制定出更明智的安全接入決策。同時(shí)，借助集成到TMOS中的IP地理定位服務(wù)功能創(chuàng)建基于用戶(hù)位置的策略，為企業(yè)員工（本地和遠(yuǎn)程）、移動(dòng)員工、業(yè)務(wù)合作伙伴和用戶(hù)提供基于策略的、可定制的web應(yīng)用訪問(wèn)和身份驗(yàn)證功能，改善了最終用戶(hù)體驗(yàn)并提高安全性。此外，APM模塊還極大地降低了與變更控制和法規(guī)遵從報(bào)告相關(guān)的成本。

總而言之，安全是個(gè)全方位全層面的系統(tǒng)工程，除了做好應(yīng)用安全防護(hù)外，用戶(hù)還要做好其他層面的安全管理和防護(hù)，在各個(gè)層面，各個(gè)角度的安全控制點(diǎn)（SCP）上做好安全防護(hù)工作，把企業(yè)的信息安全風(fēng)險(xiǎn)降到最低，這樣才能真正遠(yuǎn)離"泄密門(mén)"，遠(yuǎn)離各種安全威脅。同時(shí),我們也建議廣大的個(gè)人客戶(hù),盡量避免在多個(gè)網(wǎng)站使用相同的賬號(hào)的密碼，加強(qiáng)密碼強(qiáng)度，定期修改密碼，保存好自己的密碼，避免在個(gè)人電腦中明文記錄自己的賬號(hào)密碼，在個(gè)人電腦上安裝防毒軟件，及時(shí)更新操作系統(tǒng)補(bǔ)丁和防毒軟件，養(yǎng)成良好的個(gè)人信息安全保密習(xí)慣。
 

【編輯推薦】

1. 如何構(gòu)建數(shù)據(jù)防泄密安全體系
2. 如何應(yīng)對(duì)：別讓自己成為下一個(gè)維基泄密
3. 上網(wǎng)行為管理如何幫助公司防范數(shù)據(jù)泄密
4. 2011年上半年五大臭名昭著的數(shù)據(jù)庫(kù)泄密事件