核心在于“信息数据”安全
而在数据处理中应用才是关键
随着网络快速发展网络应用类别越来越多应用复杂度也越来越高人们逐渐发现单纯解决数据访问和传输安全已经无法很好地保障信息安全必须高度重视维护关键应用安全从数据产生、计算和存储等多个角度来研究和解决因此对于“网络应用”安全关注度也逐渐升温目前网络应用安全呈献出以下几大发展趋势趋势
:Web应用安全市场成为必争的地如今
越来越多企业用户已将核心业务系统转移到网络上Web浏览器成为业务系统窗口在此背景下如何保障企业应用安全尤其是Web应用安全成为新形势下信息安全保障关键所在Gartner份分析报告指出在调查企业数据中心中92%Web应用有安全缺陷;80%存在跨站攻击;高达62%存在SQL注入风险;而参数篡改和Cookies毒化也分别达到60%和37%同时专门针对应用层进行攻击手段越来越多越来越难以防范从技术
角度看Web应用安全主要涉及两个方面:服务器端和客户端服务器端安全隐患主要有脚本安全、SQL注入、盗链、DoS/DDoS攻击而客户端安全隐患主要是Cookie、证书、可执行代码限制、安全选项设置不当等目前已经有相当多
安全厂商提出了自己Web应用安全解决方案趋势 2:加强应用本身
安全是网络应用安全关键网络应用的所以不安全
其中很关键点是应用
本身不安全给网络攻击留下了可乘的机有几家安全厂商已经将注意力到应用开发过程中提出了所谓代码级解决方案确保应用服务本身安全漏洞尽量少尽可能地消除安全漏洞带来可乘的机趋势 3:身份管理成为应用访问控制主流技术
基于身份
应用管理包括身份识别、权限控制、行为审计等多方面网络边界正在逐渐变得模糊移动终端越来越普及我们面临网络世界不再是清晰内部和外部身份成为网络世界辨识要素因此对于身份管理就显得尤为重要传统
身份管理技术主要采用所谓AAA技术然而随着应用安全需求发展不再是身份识别和权限控制那么简单更多是希望通过“身份”管理来实现应用访问控制比如当前比较流行P2P应用占据了大量网络带宽在某些场合事实上已经严重影响了正常业务操作成为企业和网络运营商头疼问题但又不能简单地禁止这些应用于是如何识别这些P2P应用如何给区别身份配置区别P2P应用权限如何监控这些应用下载数据合法性和安全性都成为了应用访问控制关键趋势 4:采用多核硬件架构来解决应用安全处理性能不足
问题要确保纷繁复杂
网络应用安全就不得不深入分析报文不仅仅需要分析报文传输层还需要分析报文应用协议层、应用数据内容甚至还需要分析报文的间关联性这就给应用安全技术带来更大挑战既要分析准确又要确保报文实时性在定程度上这两者是矛盾单纯希望从软件Software角度解决此矛盾已经不再现实必须寻求更高更强硬件架构才能解决根本问题部分实力雄厚
应用安全厂商已经采用多核硬件架构来解决性能瓶颈将应用安全处理能力提升到以前5~10倍基本满足了当前对网络应用安全性能要求未来更多
业务将以Web应用方式呈现信息安全也必将从以边界防护为主向应用和数据安全防护为主过渡同时加强在应用研发、部署以及维护等方面安全管理并辅以必要技术设备才能跟上信息化发展步伐实现协调发展
最新评论