“阿喀琉斯之踵”的諺語告誡我們，即使是再強大的英雄，也有致命的軟肋或死穴。而在由各種安全設備搭建的防線上，如果不能轉(zhuǎn)變固守的安全策略，看似固若金湯的網(wǎng)絡，必然在各種應用過程中出現(xiàn)新的弱點，而這恰恰是黑客探測或是社交攻擊的入口。正因如此，我國金融、通信、能源、交通、政府等關鍵領域的行業(yè)用戶都應該行動起來，調(diào)整自身的網(wǎng)絡安全治理策略，關注應用層可能出現(xiàn)的“安全短板”。

傳統(tǒng)安全設備專注“底層” 應用威脅無人問津

曾經(jīng)有一位技術并不高超的黑客，利用專長侵入了國內(nèi)某通信公司充值中心數(shù)據(jù)庫，修改竊取充值卡數(shù)據(jù)密碼并向他人進行銷售，造成數(shù)以百萬計的資金損失。在信息安全領域，這個案例值得人深思：在長達半年的時間里面，耗資千萬、由防火墻、IDS、防病毒系統(tǒng)構(gòu)成的網(wǎng)絡安全架構(gòu)竟然一條報警信息都沒有發(fā)出!

從上面的例子我們可以發(fā)現(xiàn)一個問題，對于運營商這樣的用戶，他們的安全措施無疑應該是比較完善的，不過我們也應看到，這些傳統(tǒng)的安全防護手段主要是面向于網(wǎng)絡層面，而沒有在具體的應用層實施監(jiān)控，用戶和應用資源之間，以及整個訪問過程和行為都是不受控制的。根據(jù)Gartner的研究數(shù)據(jù)表明，當前75%的攻擊行為已經(jīng)由網(wǎng)絡層轉(zhuǎn)移到了應用層，當黑客在應用層發(fā)動攻擊時，或是內(nèi)部人員非法存取數(shù)字資源時，網(wǎng)絡防火墻和入侵檢測產(chǎn)品發(fā)揮的作用往往極其有限。

對此，國路安(GLA)副總經(jīng)理李宴祥表示：“對于一些特定行業(yè)用戶的安全需求來說，這些傳統(tǒng)的安全手段無法控制‘人’的操作行為，只能依靠應用系統(tǒng)自身攜帶的安全功能。但許多程序開發(fā)人員缺乏安全專業(yè)技能，雖然利用了身份認證及粗粒度的權(quán)限控制措施，卻沒有考慮到訪問過程和訪問行為的安全。因此，依賴傳統(tǒng)安全設備，或是應用系統(tǒng)自帶功能，都不能滿足用戶對業(yè)務應用系統(tǒng)防護的高安全等級要求，更難以符合信息安全等級保護的政策要求。”

符合信息安全等級保護 前置主機當好“守門員”

然而，在網(wǎng)絡中排除“阿喀琉斯之踵”將是一件十分困難的事情。管理員是不是需要為每套新上線的業(yè)務系統(tǒng)都單獨配備安全保護呢?或是對已經(jīng)長期服役的業(yè)務系統(tǒng)來一次代碼“大換血”呢?當然，如果你有足夠的時間和資金，則可以啟動這個浩大的工程。不過，最好的方式是在業(yè)務系統(tǒng)和訪問者之間增加一名”守門員“，阻止非法用戶闖入，保護賴以生存的核心數(shù)據(jù)。

針對應用層威脅的特點，并確保行業(yè)用戶可以遵循國家信息安全等級保護的要求，國路安開發(fā)了滿足用戶應用安全防護要求的“可信應用安全系統(tǒng)”。該系統(tǒng)按照國家信息安全等級保護政策中對三級以上(含三級)系統(tǒng)的安全要求進行開發(fā)，采用了應用業(yè)務邏輯與安全防護邏輯分離的設計思路。通過前置主機的方式，在應用服務器前以透明接入方式部署GLA天璿可信應用安全系統(tǒng)，在不改變現(xiàn)有應用的前提下，通過身份認證、訪問控制、安全審計、安全傳輸、防攻擊等功能和技術，在應用層實現(xiàn)對業(yè)務應用系統(tǒng)訪問的全過程、系統(tǒng)化的安全管理控制。

GLA天璿可信應用安全系統(tǒng)能夠很好地解決既有應用系統(tǒng)與應用安全防護機制之間的兼容問題，可以保證在不改變應用及應用系統(tǒng)的前提下，提高應用的安全保證能力。因此，可以保證應用開發(fā)人員和應用軟件專注于業(yè)務處理邏輯本身，全面提高了業(yè)務處理效率，更便于系統(tǒng)的故障隔離。另外，GLA天璿可信應用安全系統(tǒng)可針對使用第三方CA證書的行業(yè)用戶，提供數(shù)字證書、用戶名/口令字、IP地址及USB KEY等多因子身份認證方式。

在具體使用過程中，管理員可以利用實現(xiàn)基于角色(崗位)的訪問控制，以及基于SSL協(xié)議的安全加密傳輸通道，確保存取訪問和傳輸過程的安全。在易用性方面，可信應用安全系統(tǒng)為用戶提供透明應用，實現(xiàn)了用戶應用流程不變、操作習慣不變。而特有的知識庫自學習功能，更可進一步輔助系統(tǒng)安全管理員制定安全策略，減少安全運維管理的工作負擔。