根据Gartner发布的一项调查,现有的信息安全攻击有75%都是发生在Web应用层而非网络层面上。当用户,特别是以公众服务为目的行业用户不断遭到网络攻击时,原有的以网络层面安全防护为设计理念的体系已经不能满足防御需求,而国路安提出的从应用入手的方案,给出了一条全新的解决途径。基于应用层的网络攻击之所以迅速增长,从攻击角度来看,企业的网络应用已经开始变的复杂多样,这给攻击者提供了深厚的土壤;从防御角度来看,由于这类攻击经常伪装成正常流量,所以传统的防火墙很难进行防御。
应用安全系统束缚何在?
虽然业界已经普遍意识到了基于应用层网络攻击的威胁,相关的产品及解决方案却存在着很大的缺陷。具体来说,与传统的信息安全系统相比,应用安全系统之所以很难实现预期的效果,主要是由其特殊环境决定的:
1、应用环境:由于业务稳定性和可用性要求,主机硬件、操作系统、中间件、数据库、应用程序、网络结构等应用环境难以改变,使用户难以改善更换有安全隐患的应用环境。
2、技术挑战:对于基于应用层的信息安全产品来讲,其需要具备几个基本要素:保证业务性能和应用可靠性、具有应用兼容性和安全易用性、确保安全机制可信、符合政策和标准。如果无法做到这几点,其安全防护就很难达到预期的效果。
3、主观对待:很多企业都重于应用程序的开发,而轻视信息安全保护。同时,开发人员也普遍缺乏信息安全专业技能。
业务逻辑与安全逻辑分离的
设计思路
对于如何打造安全、可信的应用安全系统的问题,国路安的网络安全专家表示:应用安全应该采用应用业务逻辑与安全防护逻辑分离的应用安全前置方案,即在不改变现有应用的前提下,将应用的安全功能放置在应用服务器之前的专用应用安全系统上实现。既能解决应用系统与应用安全防护机制之间的兼容问题,也能够保证应用开发人员和应用软件专注于业务处理逻辑本身。
国路安基于此理念开发了GLA天璿可信应用安全系统,不改变应用程序、不改变用户习惯、不改变应用流程、不改变应用管理架构,可以实现良好的安全防护效果。
迈向可信的应用安全系统
可以预计,随着互联网的继续发展、应用程序的迅速增长,基于应用层的网络攻击仍将是未来信息安全所要面对的严峻挑战。而优秀的应用安全产品也不仅仅是功能强大、指标突出的产品,其更是能与现有应用实现无缝衔接,提高用户整体系统效能、维护整体信息安全的产品。
(姜姝)
