信息安全的核心在于“信息数据”的安全,而在数据处理中,应用才是关键。随着网络的快速发展,网络应用类别越来越多,应用复杂度也越来越高,人们逐渐发现,单纯解决数据的访问和传输的安全已经无法很好地保障信息安全,必须高度重视维护关键应用的安全,从数据的产生、计算和存储等多个角度来思考和解决。因此,对于“网络应用”安全的关注度也逐渐升温。目前,网络应用安全呈献出以下几大发展趋势。
趋势一:Web应用安全市场成为必争之地
如今,越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业务系统的窗口。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。Gartner的一份分析报告指出,在调查的企业数据中心中,92%的Web应用有安全缺陷;80%存在跨站攻击;高达62%存在SQL注入风险;而参数篡改和Cookies毒化也分别达到60%和37%。同时,专门针对应用层进行攻击的手段越来越多,越来越难以防范。
从技术的角度看,Web应用的安全主要涉及两个方面:服务器端和客户端。服务器端的安全隐患主要有脚本安全、SQL注入、盗链、DoS/DDoS攻击。而客户端的安全隐患主要是Cookie、证书、可执行代码的限制、安全选项设置不当等。
目前已经有相当多的安全厂商提出了自己的Web应用安全解决方案。
趋势二:加强应用本身的安全是网络应用安全的关键
网络应用之所以不安全,其中很关键的一点是应用程序本身不安全,给网络攻击留下了可乘之机。有几家安全厂商已经将注意力到应用程序开发过程中,提出了所谓的代码级解决方案,确保应用服务本身的安全漏洞尽量少,尽可能地消除程序的安全漏洞带来的可乘之机。
趋势三:身份管理成为应用访问控制主流技术
基于身份的应用管理包括身份识别、权限控制、行为审计等多方面。网络边界正在逐渐变得模糊,移动终端越来越普及,我们面临的网络世界不再是清晰的内部与外部,身份成为网络世界的辨识要素,因此对于身份的管理就显得尤为重要。
传统的身份管理技术主要采用所谓的AAA技术,然而随着应用安全需求的发展,不再是身份的识别和权限控制那么简单,更多的是希望通过“身份”的管理来实现应用访问控制。比如当前比较流行的P2P应用占据了大量的网络带宽,在某些场合,事实上已经严重影响了正常的业务操作,成为企业和网络运营商头疼的问题,但又不能简单地禁止这些应用。于是如何识别这些P2P应用,如何给不同的身份配置不同的P2P应用权限,如何监控这些应用下载的数据的合法性和安全性,都成为了应用访问控制的关键。
趋势四:采用多核硬件架构来解决应用安全处理性能不足的问题
要确保纷繁复杂的网络应用的安全,就不得不深入分析报文。不仅仅需要分析报文的传输层,还需要分析报文的应用协议层、应用数据内容,甚至还需要分析报文之间的关联性,这就给应用安全技术带来更大挑战。既要分析准确,又要确保报文的实时性,在一定程度上,这两者是矛盾的,单纯希望从软件角度解决此矛盾已经不再现实,必须寻求更高更强的硬件架构才能解决根本问题。
部分实力雄厚的应用安全厂商已经采用多核硬件架构来解决性能瓶颈,将应用安全的处理能力提升到以前的5~10倍,基本满足了当前对网络应用安全的性能要求。
未来更多的业务将以Web应用方式呈现,信息安全也必将从以边界防护为主向应用和数据安全防护为主过渡,同时加强在应用研发、部署以及维护等方面的安全管理并辅以必要的技术设备,才能跟上信息化发展的步伐,实现协调发展。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
访问控制的演进:挖掘基于属性的身份管理的潜能
TechTarget记者采访了Radiant Logic公司销售和业务发展副总裁Dieter Schuller,与其共同探讨了基于属性的身份管理的潜能。
-
手把手教你阻止Web应用存储敏感数据
应用安全专家Michael Cobb探讨了缓存控制头域(cache-control header)代码如何帮助防止Web应用存储敏感数据。
-
选择Web应用扫描方案应注意架构问题
使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时需关注哪些特性和功能?
-
如何构建安全的Web应用程序
安全专家一直在警告人们Web应用程序的漏洞,而这些警告往往会变成现实。那么,为保障这些关键的企业应用,编程者应该做点儿什么呢?