“应用”是王道 锦囊妙计谋安全——WEB安全篇

　　之：知己知彼 驻守WEB安全

　　第一回：影子战争——没有任何东西比信息更能改变世界

　　引言：

　　“国际舞台风云变幻，常常让人看得眼花缭乱。不过也有人归纳出了简单的3条：一切的争夺，无非就是为了物质、能源，还有信息。前面两种显而易见，但最后一种，却是一场看不见的影子战争。”

　　Internet飞速发展，使我们在享受信息便捷的同时，也日益受到不同程度的安全威胁。以往，计算机病毒还只是一件令人不快的小问题，很少会引起高层管理人员的关注。但是现在，指数级增长的安全威胁，频频发生的安全事件让WEB应用安全问题成了报纸的头条新闻。

　　提到网络安全，以前人们想到的是防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字，现在大家逐步认识到需要安全集成。然而目前的安全集成还处在初级阶段，往往只是产品的叠加，各自拥有不同的管理界面，各自拥有不同格式的日志记录，相互间缺乏标准的通信接口，更为重要的是这些安全产品还不能与应用紧密地结合起来。因此，用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用的安全解决方案。

　　值得一提的是，近几年，国家相关部门、专家学者以及众多安全厂商都对安全管理本身等提出了各自的看法与实践过程。这是十分令人振奋的，然而在欣喜之余，我们更应该考虑：WEB应用安全，究竟是为了什么?首先，它不能够阻碍正常的业务应用;其次从威胁、攻击、漏洞等的角度上来说，已经让安全措施很难跟得上攻击手法与速度的进一步提升。因此，安恒信息不仅需要建立更为稳固与可靠的WEB应用安全管理体系，有效利用现有安全措施和资源，同时我们也需要从另外一种角度--应用层面来观察安全。

　　从2000年开始已经有诸多信息安全厂商涉足应用安全领域，不仅提供了沟通应用安全的社区与论坛，并在应用安全的发展方向上做出了卓越的成绩与贡献。安恒信息的一批优秀谋士也在不断的探索出针对应用安全的方法论、工具、产品并自主研发出来并被应用到诸多领域中。

　　越来越多的企业开始关注如何让自己的业务应用安全、稳定可靠并为之投入大量的安全资源(人-安全管理员、财-安全预算、物-安全设备)，然而IT环境本身的恶化与严峻的考验给业务应用系统的安全部署提出了更为苛刻的要求。它需要在业务应用系统设计之初就被实施并贯彻其整个生命周期始末。因此，在这里我们来看一下安恒信息技术有限公司所提倡的一种基于“前端检测+中端防护+后端追溯”的安全理念的“结合传统网络层基础防护体系的新型应用层安全解决方案”的安全锦囊计：

　　并战计——应用层安全功能技术体系建设

　　对于应用层安全解决方案建议，安恒公司认为目前行业内所流行的安全模型，如：APPDRR、WPDRRC等，实际上都是参照于PDR安全防护体系的基础上而发展和衍生出来的。

　　因此，鉴于PDR安全防御体系的模型，安恒公司认为同样适用于指导应用层安全防护体系的建设。即：

　　l 在Protection防护层面：可以采用Web应用防火墙，针对应用层的攻击进行有效防护;

　　l 在Detection检测层面：可以采用Web应用弱点扫描器，针对在线Web业务应用系统或B/S架构的系统进行扫描和评估，从而发现其弱点和安全问题和隐患;

　　l 在Response响应层面：可以采用审计系统+应急响应服务+评估加固服务的方式，针对发生的安全事件进行深度调查、取证，了解原因和问题所在。从而通过人工进行有效弥补，从根本上去除威胁和风险。

　　另外，从用户角度考虑，应用安全需求还应满足以下要求：

　　l 产品部署简便，管理集中，操作简洁，性能影响甚微;

　　l 对用户现有网络拓扑结构尽量无影响;

　　l 方便管理，无需进行复杂的配置;

　　l 对现有WEB应用和业务系统的访问速率不能造成太大的影响;

　　l 对正常业务访问不能进行错误的拦截阻断;

　　l 部署后效果明显，起到关键的安全防范作用。

　　攻战计——安全服务支持体系建设

　　同时，任何信息系统的安全保障建设不能单纯的依靠各类安全产品的部署，尽管安全产品的部署能够从大的方面对信息系统进行整体的安全功能改善，但是许多安全功能无法利用安全产品实现，需要采用专门的安全服务进行完善整体安全性能。安全服务支持体系的建设将为用户提供持续的安全动力。

　　同时，信息系统安全保障是一个动态的安全过程，安全产品往往不能够及时的响应系统安全状态的的某些变化，而专业安全服务往往能够更及时的针对安全势态的变化做出响应。因此建议用户建设安全服务支持体系。

　　胜战计——安全策略管理体系建设

　　不管是安全功能技术体系的建设，还是安全服务支持体系的建设，都是从技术的角度解决WEB应用安全问题。但是安全不单纯是技术的问题，“三分技术，七分管理”充分说明了安全管理的重要性，突出了用户对WEB应用安全管理的重视程度。

　　建议在用户的安全管理体系建设主要做以下几方面的工作：

　　l 安全人员和组织架构的规划

　　需要合理的进行安全人员和组织架构的规划，包括：

　　n 人员岗位与职责的划分

　　n 安全组织或部门的设定与职责划分

　　l 安全策略规范的建设与完善

　　安全策略规范是指导用户进行日常WEB应用安全运行维护的基本纲领，是用户系统WEB应用安全工作的指导精神，安全策略需要依据用户的业务结构的变化进行动态的调整，使之服务于用户的良性发展。

　　l 安全管理规范的建设与完善

　　安全管理规范建设是安全系统建设的重要部分，指定安全管理规范的根本目的是要规范和约束业务运行维护过程的操作行为，辅助各项安全技术手段发挥正常功效，贯彻执行安全策略的各项要求。

　　不同企业的网络环境存在一定的共性，但各自的差异也尤为突出。不同行业有着不同行业的特点，即使是相同行业，其行业下所属的企业也各有特色。企业的网络架构的不同，业务及技术特点的不同，以及企业文化的不同等等，这些都会加大用户对反病毒安全产品需求的不同。因此安恒信息逐渐具有向用户提供有个性化、立体化安全方案的能力，只有这样才能保证多元化的网络安全。

　　总而言之，安全是一个持续性的螺旋上升的过程，其与业务应用之间的关系密不可分。当我们发现业务应用系统的复杂程度以及所带来的风险已经远远不是单独的一个进化速度滞后于病毒、漏洞等威胁的增长速度的UTM统一威胁管理方案或者单独的一个网络安全解决方案所能够应对之时，我们必须该换种眼光，换个思路来思考业务应用与安全之间的辩证关系。

　　业务应用与安全措施二者之间的倒沙漏模型带给了我们更多的思考。那么我们究竟如何寻找到最恰当的结合点?如何更有效的关联业务应用与安全措施等等一系列的问题都给WEB应用安全技术的发展提出了更严峻的挑战。

　　且听下回分解!