如何走出应用安全的“外忧”与“内困”

随着云计算不断升温以及其应用的不断深入，一些重要机构和大型企业信息化水平得到飞速提升，其关键业务平台、办公系统、商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。尤其是电信、财政、公安、金融、电力、石油、医疗等重要行业的大型机构和企业的网络中，数据更加集中，系统日益复杂，风险也更集中了，安全问题解决难度加大了。

国内知名安全厂商智恒科技公司针对以上问题从"外忧"与"内困"独特的视角对云计算环境下的安全问题做了全方位解析，并给出了相应的解决方案。

首先分析安全问题根本所在是人的复杂性，据俄罗斯RT电视台4月16日报道，多家美英政府网站日前遭到黑客组织"匿名者"攻击，包括美国司法部、中央情报局（CIA）以及英国军情六处网站等。CIA网站此前已经两次遭"匿名者"组织袭击，分别是2012年2月和2011年6月。"匿名者"组织宣称，美国国土安全部、美国联邦调查局（FBI）以及其他政府机构网站也曾遭到他们攻击。匿名者黑客组织称未确定时间攻击中国政府网站。从最近频频发生的大量所谓"匿名者"黑客组织准备组织攻击政府网站的事件不难分析出，"外忧"主要表现为以威胁国家安全、破坏公共秩序以及各种经济目的注入攻击、篡改攻击、挂马攻击、DDos攻击等。

"内困"主要是指内部攻击主要来自内部管理控制不严格，缺乏有效的安全运维机制，导致管理运维的权限滥用、误操作、无法审计等一系列问题，对核心业务系统造成巨大损失，出现安全事件后还无法准确定位，一系列的安全问题被频频曝光：

4月20日，公安部部署20个省市区公安机关展开侵害公民个人信息案统一收网行动。4天内，北京、河北等全国20个省市区公安机关全线出击，一举摧毁了一批犯罪网络，抓获1700余名犯罪嫌疑人。从政府部门、电信运营商等信息掌握者，到数据平台和中间商等非法中介，再到非法调查公司，本该属于我们的信息，成为某些人牟利的工具，同时也将一个个潜在危害带到我们身边。此类犯罪主要是采取非正常的手段访问数据库，账号无集中管理，以用自己预留的身份修改卡号和费用信息；伪装成内部访问行为，不受防火墙、接入和授权限制以及网络安全措施的监控。没有有效的监督，监控手段，导致运维人员为所欲为。

智恒科技针对当前Web应用安全现状，提出了"攘外"与"安内"的全方位应用安全解决方案，主要包括以下四个方面：事情预警、事中防护、事后审计、网站优化。

·事前预警

事前预警，针对Web应用安全分析，智恒科技首先使用WebPecker网站安全统一监测系统对Web应用进行全面安全监测，通过监测发现Web应用存在的安全漏洞，收集漏洞威胁，为用户提供全面可靠的漏洞信息，并针对所存在的应用漏洞提出安全有效的解决方案。

WebPecker网站安全统一监测系统同时还能对网站内容合规性内容进行检测，发现网站不合规信息，优化网站环境。

·事中防护

事中防护，Web应用防护是整个应用安全的重点，智恒科技通过WebGuard网页防篡改保护系统+Web综合应用安全网关系统两款产品的完美集合对网站应用进行全面防护，其中WebGuard网页防篡改系统可以保护网站页面文件免遭黑客篡改，Web综合应用安全网站系统可以抵御来自互联网的各类Web应用攻击，有效保障应用系统正常稳定运行。

另外，内部攻击也是防不胜防，所以智恒科技通过使用SAS运维安全审计系统对用户所有应用服务器、数据库应用、网络设备、安全设备进行统一管理，对运维人员及相关设备管理人员进行统一管理，解决管理混乱、越权操作等安全问题，并能实时监控录像，方便事后故障的查找。

·事后审计

事后审计，智恒科技所有产品都拥有全面的审计功能，完整的记录了各类篡改日志、攻击日志、访问日志、运行维护日志、管理运维录像等日志信息，并且会通过声音、邮件、报警框等各种方式进行实时报警。所有产品在事后都会提供完整的统计报表，支持各类日志查询，方便用户在发现问题时及时有效的准确定位，查找故障点，有效追踪故障源头。

·网站优化

网站优化，智恒科技Web综合应用安全网关具有网站加速、网站访问行为分析、网站故障监控、负载均衡等功能，能够有效的优化网站性能，保障网站应用的业务联系性。

  

我也是坐沙发的

我抢、我抢、我抢沙发~

写的真的很不错

有竞争才有进步嘛

过来看看的,感谢攻城狮论坛

我是个凑数的。。。

帮你顶下哈！！

相当不错，感谢无私分享精神！

路过,学习下,感谢攻城狮论坛