隨著云計算不斷升溫以及其應用的不斷深入，一些重要機構和大型企業(yè)信息化水平得到飛速提升，其關鍵業(yè)務平臺、辦公系統、 商務平臺的不斷推出和投入運行，信息系統在企業(yè)的運營中全面滲透。尤其是電信、財政、公安、金融、電力、石油、醫(yī)療等重要行業(yè)的大型機構和企業(yè)的網絡中，數據更加集中，系統日益復雜，風險也更集中了，安全問題解決難度加大了。

國內知名安全廠商智恒科技公司針對以上問題從"外憂"與"內困"獨特的視角對云計算環(huán)境下的安全問題做了全方位解析，并給出了相應的解決方案。

首先分析安全問題根本所在是人的復雜性，據俄羅斯RT電視臺4月16日報道，多家美英政府網站日前遭到黑客組織"匿名者"攻擊，包括美國司法部、中央情報局（CIA）以及英國軍情六處網站等。CIA網站此前已經兩次遭"匿名者"組織襲擊，分別是2012年2月和2011年6月。"匿名者"組織宣稱，美國國土安全部、美國聯邦調查局（FBI）以及其他政府機構網站也曾遭到他們攻擊。匿名者黑客組織稱未確定時間攻擊中國政府網站。從最近頻頻發(fā)生的大量所謂"匿名者"黑客組織準備組織攻擊政府網站的事件不難分析出，"外憂"主要表現為以威脅國家安全、破壞公共秩序以及各種經濟目的注入攻擊、篡改攻擊、掛馬攻擊、DDos攻擊等。

[[72349]]

"內困"主要是指內部攻擊主要來自內部管理控制不嚴格，缺乏有效的安全運維機制，導致管理運維的權限濫用、誤操作、無法審計等一系列問題，對核心業(yè)務系統造成巨大損失，出現安全事件后還無法準確定位，一系列的安全問題被頻頻曝光：

4月20日，公安部部署20個省市區(qū)公安機關展開侵害公民個人信息案統一收網行動。4天內，北京、河北等全國20個省市區(qū)公安機關全線出擊，一舉摧毀了一批犯罪網絡，抓獲1700余名犯罪嫌疑人。從政府部門、電信運營商等信息掌握者，到數據平臺和中間商等非法中介，再到非法調查公司，本該屬于我們的信息，成為某些人牟利的工具，同時也將一個個潛在危害帶到我們身邊。此類犯罪主要是采取非正常的手段訪問數據庫，賬號無集中管理，以用自己預留的身份修改卡號和費用信息；偽裝成內部訪問行為，不受防火墻、接入和授權限制以及網絡安全措施的監(jiān)控。沒有有效的監(jiān)督，監(jiān)控手段，導致運維人員為所欲為。

智恒科技針對當前Web應用安全現狀，提出了"攘外"與"安內"的全方位應用安全解決方案，主要包括以下四個方面：事情預警、事中防護、事后審計、網站優(yōu)化。

·事前預警

事前預警，針對Web應用安全分析，智恒科技首先使用WebPecker網站安全統一監(jiān)測系統對Web應用進行全面安全監(jiān)測，通過監(jiān)測發(fā)現Web應用存在的安全漏洞，收集漏洞威脅，為用戶提供全面可靠的漏洞信息，并針對所存在的應用漏洞提出安全有效的解決方案。

WebPecker網站安全統一監(jiān)測系統同時還能對網站內容合規(guī)性內容進行檢測，發(fā)現網站不合規(guī)信息，優(yōu)化網站環(huán)境。

·事中防護

事中防護，Web應用防護是整個應用安全的重點，智恒科技通過WebGuard網頁防篡改保護系統+Web綜合應用安全網關系統兩款產品的完美集合對網站應用進行全面防護，其中WebGuard網頁防篡改系統可以保護網站頁面文件免遭黑客篡改，Web綜合應用安全網站系統可以抵御來自互聯網的各類Web應用攻擊，有效保障應用系統正常穩(wěn)定運行。

另外，內部攻擊也是防不勝防，所以智恒科技通過使用SAS運維安全審計系統對用戶所有應用服務器、數據庫應用、網絡設備、安全設備進行統一管理，對運維人員及相關設備管理人員進行統一管理，解決管理混亂、越權操作等安全問題，并能實時監(jiān)控錄像，方便事后故障的查找。

·事后審計

事后審計，智恒科技所有產品都擁有全面的審計功能，完整的記錄了各類篡改日志、攻擊日志、訪問日志、運行維護日志、管理運維錄像等日志信息，并且會通過聲音、郵件、報警框等各種方式進行實時報警。所有產品在事后都會提供完整的統計報表，支持各類日志查詢，方便用戶在發(fā)現問題時及時有效的準確定位，查找故障點，有效追蹤故障源頭。

·網站優(yōu)化

網站優(yōu)化，智恒科技Web綜合應用安全網關具有網站加速、網站訪問行為分析、網站故障監(jiān)控、負載均衡等功能，能夠有效的優(yōu)化網站性能，保障網站應用的業(yè)務聯系性。