《企業(yè)網(wǎng)D1Net》3月6日訊

在當(dāng)前的互聯(lián)網(wǎng)領(lǐng)域，網(wǎng)絡(luò)安全威脅是企業(yè)共同面臨的挑戰(zhàn)之一，不管是大型企業(yè)，還是中小型企業(yè)，在網(wǎng)絡(luò)技術(shù)快速發(fā)展，設(shè)備快速更迭的今天，網(wǎng)絡(luò)安全管理都在威脅對(duì)抗中變得越來越復(fù)雜。

為了確保企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定，就需要制定多樣化、有針對(duì)性的安全防護(hù)策略，否則即使看似固若金湯的網(wǎng)絡(luò)，也可能由于網(wǎng)絡(luò)設(shè)備或業(yè)務(wù)上的不當(dāng)應(yīng)用而引發(fā)出新的安全漏洞，而這恰恰容易成為黑客探測(cè)或攻擊的入口。

應(yīng)用威脅被忽視

我們常常聽到企業(yè)網(wǎng)受到黑客攻擊的事件，而其中更不乏一些菜鳥級(jí)黑客。記得就曾經(jīng)有一位技術(shù)并不高超的黑客，利用網(wǎng)上購買的黑客軟件侵入了國(guó)內(nèi)某通信公司充值中心數(shù)據(jù)庫，修改竊取充值卡數(shù)據(jù)密碼并向他人進(jìn)行銷售，在半年時(shí)間里造成了數(shù)以百萬計(jì)的資金損失。

基于應(yīng)用層的黑客行為常常被忽視

而這樣案例在IT安全領(lǐng)域，不得不說是引人深思的：在長(zhǎng)達(dá)半年的時(shí)間里面，耗費(fèi)千萬巨資，由多臺(tái)防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全架構(gòu)，竟然連一條報(bào)警信息都沒有發(fā)出過。

對(duì)于運(yùn)營(yíng)商這樣的大型企業(yè)用戶，他們的網(wǎng)絡(luò)安全措施無疑應(yīng)該是比較完善的。不過也應(yīng)看到，由于網(wǎng)絡(luò)技術(shù)的不斷演進(jìn)，傳統(tǒng)的安全防護(hù)手段還主要停留在保障網(wǎng)絡(luò)設(shè)備“底層”安全的層面上。一些安全措施在具體的應(yīng)用層上還沒有實(shí)施監(jiān)控，用戶與應(yīng)用資源之間，以及整個(gè)訪問過程和行為還都有不受控制的隱患。

對(duì)一些特定行業(yè)用戶的安全需求來說，傳統(tǒng)的安全手段已無法滿足控制“人”的操作行為，只能依靠應(yīng)用系統(tǒng)自身攜帶的安全功能。但許多企業(yè)的網(wǎng)絡(luò)安全部署，雖然利用了身份認(rèn)證及粗粒度的權(quán)限控制措施，卻沒有考慮到訪問過程和訪問行為的安全。因此，只依賴傳統(tǒng)安全設(shè)備，或是應(yīng)用系統(tǒng)自帶防護(hù)功能，都不能滿足用戶對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)防護(hù)的高安全等級(jí)要求，更難符合信息安全等級(jí)保護(hù)的更高要求。

部署安全“守門員”

為了排除網(wǎng)絡(luò)中的各個(gè)隱患，是不是需要為每套新上線的業(yè)務(wù)系統(tǒng)都單獨(dú)配備安全防護(hù)？或是對(duì)已經(jīng)部署的業(yè)務(wù)系統(tǒng)來一次安全代碼“大換血”呢？當(dāng)然，如果你的企業(yè)有足夠的時(shí)間和資金的話，是可以展開這項(xiàng)浩大工程的。不過，最好的方式是在業(yè)務(wù)系統(tǒng)和訪問者之間增加一名“守門員”，來阻止非法用戶的侵入，保護(hù)企業(yè)賴以生存的核心數(shù)據(jù)資料。

上網(wǎng)行為管理網(wǎng)關(guān)能夠基于應(yīng)用進(jìn)行安全防護(hù)

那么具體如何實(shí)現(xiàn)呢？針對(duì)應(yīng)用層威脅的特點(diǎn)，并確保行業(yè)用戶可以遵循國(guó)家信息安全等級(jí)保護(hù)的要求，可以部署滿足用戶應(yīng)用安全防護(hù)要求的上網(wǎng)行為管理設(shè)備。如現(xiàn)在就有通過前置主機(jī)的方式，采用應(yīng)用業(yè)務(wù)邏輯與安全防護(hù)邏輯分離的設(shè)計(jì)思路，在應(yīng)用服務(wù)器前以透明接入方式部署的上網(wǎng)行為管理網(wǎng)關(guān)等設(shè)備的方案推出。

其最大優(yōu)勢(shì)是在不改變現(xiàn)有應(yīng)用的前提下，通過身份認(rèn)證、訪問控制、安全審計(jì)、安全傳輸、防攻擊等功能和技術(shù)，在應(yīng)用層實(shí)現(xiàn)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)訪問的全過程、系統(tǒng)化的安全管理控制。

部署基于應(yīng)用識(shí)別的網(wǎng)絡(luò)安全管控設(shè)備

因此，可以部署這樣的網(wǎng)關(guān)便于進(jìn)行系統(tǒng)故障隔離，保證業(yè)務(wù)應(yīng)用人員和應(yīng)用軟件專注于業(yè)務(wù)處理上，全面提高了企業(yè)的工作效率。另外，如果該系統(tǒng)支持針對(duì)使用第三方CA證書的行業(yè)用戶，提供數(shù)字證書、用戶名/口令字、IP地址及USB KEY等多因子身份認(rèn)證方式，就更加豐富了防護(hù)的手段了。

在具體使用過程中，管理員可以利用實(shí)現(xiàn)基于角色（崗位）的訪問控制，以及基于SSL協(xié)議的安全加密傳輸通道，確保存取訪問和傳輸過程的安全。在易用性方面，通過為用戶提供細(xì)致的權(quán)限分工及透明的應(yīng)用，實(shí)現(xiàn)了用戶應(yīng)用流程不變、操作習(xí)慣不變。而如果該設(shè)備支持特有的知識(shí)庫自學(xué)習(xí)功能，則可進(jìn)一步輔助系統(tǒng)安全管理員制定安全策略，減少安全運(yùn)維管理的工作負(fù)擔(dān)。

D1Net評(píng)論：

通過以上論述，可以看出，對(duì)于企業(yè)而言，擁有一臺(tái)好的上網(wǎng)行為管理網(wǎng)關(guān)是至關(guān)重要的，既能夠很好地解決既有應(yīng)用系統(tǒng)與應(yīng)用安全防護(hù)機(jī)制之間的兼容問題，也可以保證在不改變應(yīng)用及應(yīng)用系統(tǒng)的前提下，提高應(yīng)用的安全保證能力。因此，企業(yè)都應(yīng)該行動(dòng)起來，調(diào)整自身的網(wǎng)絡(luò)安全治理戰(zhàn)略，關(guān)注和消除在應(yīng)用層可能出現(xiàn)的“短板”問題。