您现在的位置是:首页 > IT基础架构 > 网络与安全 >
企业网络安全走向应用安全防护时代
2009-10-22 23:08:00作者:中国·PChome.net来源:
摘要安全的问题一直伴随着网络的发展,事实上,从网络安全的本质上来说,无论何种安全防护手段,最终目的都只是为了保障人们对网络的正常应用。而对于企业来说,随着如今信息化发展的逐渐深入,越来越多的企业用户已将核心业务系统、系统关键应用转移到网络上。 ...
安全的问题一直伴随着网络的发展,事实上,从网络安全的本质上来说,无论何种安全防护手段,最终目的都只是为了保障人们对网络的正常应用。而对于企业来说,随着如今信息化发展的逐渐深入,越来越多的企业用户已将核心业务系统、系统关键应用转移到网络上,网络日趋成为企业的业务平台,从发展趋势来看,网络更将发展成为企业的创新平台,在这种背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。
但如今企业的Web应用安全现状并不让人乐观,据调查统计,75%网络攻击行为都来自于Web应用层面而非网络层面。而在最近美国计算机安全协会(CSI)/美国联邦调查局(FBI)的一项研究中也表明:在接受调查的公司中有 52% 的公司的系统遭受过外部入侵,但事实上他们中有 98% 的公司都是装有防火墙的。这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过1.41亿美元。
为什么现在很多企业都配置了防火墙、IDS、VPN、网络防病毒系统等种种安全防护措施,却还得不到真正的安全呢?企业的Web应用服务是需要对外开放的,也就是说,Http及Http服务的端口即80、443端口是必须开放的,那么,带有攻击行为的访问信息,就能和正常的访问信息一样,访问企业的Web服务系统,而传统的安全防护体系却无法判断其中哪些访问才是恶意的访问,诸如URL查询字符串操作,包括SQL注入、修改Cookie值、干扰表单中的数据、格式要求及其他各种恶劣的手段往往都能轻松的通过检查,于是企业的Web系统就会出现诸多Web层面的安全问题。
在Gartner的一份分析报告指出,在调查的企业数据中心中,92%的Web应用有安全缺陷,80%存在跨站攻击,高达62%存在SQL注入风险,而参数篡改和Cookies毒化也分别达到60%和37%。并且,随着针对数据中心攻击手段的不断增加,特别是正对应用层攻击的手段成为主流。Gartner还在报告中也着重强调了今后企业数据中心在安全上将面临的十大挑战,分别为:越权滥用、合法权限滥用、权限盗用、数据库平台漏洞、SQL注入、缺乏详尽审计、拒绝攻击、数据库通信协议漏洞、弱鉴权机制、备份数据的缺乏保护。
那么,面对企业存在的种种应用安全问题,究竟应从何种角度去解决呢?安全厂商对此给出了建议,企业要实现应用安全,就必须要做三方面的措施:
1、保护应用基础架构
这里需要隐藏公司本身的架构,不要让人轻易得知;同时Cookie 也需要定期处理,以免有人从中获取信息;再一个就是Web 地址转换,把自己真实的地址保护起来。
2、根据应用强化安全
动态应用建模,根据业务需求,强化在关键业务方面的安全等级。
3、弹性安全策略
根据IP或应用设置安全规则(网络防火墙、某些UTM设备);根据URL设置安全策略(web服务器、代理服务器);根据HTTP报头设置安全策略(如请求方式、session、cookie各报头参数等);根据页面参数(如表单参数、HTML元素、)等等,利用以上策略根据公司业务需求组合成整体的安全策略。
具体到实际技术或安全设备来说,设置Web应用防火墙是企业可以考虑的一个选择。和传统的防火墙或者Web安全网关有很大不同,传统的防火墙专注在网络层面,提供IP、端口防护,而Web应用防火墙主要致力于提供应用层保护。应用防火墙可根据用户、应用、进程或IP子网层允许自定义访问控制,这样,管理员可以创建各种应用策略,使应用可供访问并首次真正实现对应用的管理。企业将Web应用防火墙部署在Web服务器之前,就可实现包括带宽管理和控制、应用层访问控制、数据泄露控制功能、对特定文件和文档传输进行限制及其它功能。
从Web应用防火墙的功能方面来说,一些安全厂商认为,一个标准的Web应用防火墙至少需要具备四大功能。首先是安全防护功能,对于针对Web服务器的攻击要具备防御能力,同时还要对数据泄密具备监管能力。其次是网络加速功能,除了防护以外,企业用户在网络之中,需要对应用的运转效率进行控制,比如对TCP协议的缓冲,对SSL VPN的加速,对访问管理的卸载,Web应用防火墙必须能够提供相应的加速能力。然后,Web应用防火墙还需具备可扩展性。Web应用防火墙在后台连接的时候和Web服务器相关,但不能仅仅防护一台服务器。事实上很多企业的Web服务器数量庞大,Web应用防火墙需要对应用交付和负载均衡提供支持。最后,Web应用防火墙还需提供IP审计功能。在Web应用防火墙本身对所有流量进行过滤的时候,它本身必须具备一套策略----哪些流量需要阻断,哪些可以放过。这些相关的策略标准与策略模型需要对企业流行的应用进行支持。
目前,市场中的Web应用防火墙主要分为三种技术类型。第一类是加强型的IPS技术,相当于深度包检测。早期的IPS在包过滤上不是很细致,后来在Web上做了更深入的包检测功能。第二类是基于黑名单的技术模型。一些安全公司根据以往的经验,统计全球范围内的攻击人和攻击地区,并基于已知威胁的黑名单进行过滤。只要攻击是来自黑名单之上的,就可以进行过滤。第三类是基于策略的技术模型。这种产品的设计出发点,是围绕Web应用去进行产品设计的,而不是单纯的去解决Web安全的某一方面问题。其产品设计思路本身基于策略,比如针对Gartner给出的十大类的策略模型。这类产品可以对整个后台系统进行自动监测。除了本身的黑名单,更多是策略。此外要集成应用加速和负载均衡的模块。
可以说,如今的Web应用防火墙早已脱离了防火墙本身的范畴,与传统的防火墙已完全不一样。对于一个希望解决自己的Web应用安全问题的企业来说,选择及使用Web应用防火墙也与传统的防火墙有很大不同。企业应该结合自身的Web应用状况,根据自己的需求再去选择相应的Web应用防火墙产品,并配置适合自身的安全策略,而且,在使用过程中,还需与企业的Web安全咨询结合起来,才能达到最大的防护效果。不过,需要注意的是,选择使用Web应用防火墙并不能取代基于其它层的防护设备,使用它的目的只是为系统安全提供一个补充,而在此之外,基础的安全防护系统仍是必要的。
(本文不涉密)
责任编辑: