安全的問題一直伴隨著網絡的發展,事實上,從網絡安全的本質上來說,無論何種安全防護手段,最終目的都只是為了保障人們對網絡的正常應用。而對于企業來說,隨著如今信息化發展的逐漸深入,越來越多的企業用戶已將核心業務系統、系統關鍵應用轉移到網絡上,網絡日趨成為企業的業務平臺,從發展趨勢來看,網絡更將發展成為企業的創新平臺,在這種背景下,如何保障企業的應用安全,尤其是Web應用安全成為新形勢下信息安全保障的關鍵所在。
但如今企業的Web應用安全現狀并不讓人樂觀,據調查統計,75%網絡攻擊行為都來自于Web應用層面而非網絡層面。而在最近美國計算機安全協會/美國聯邦調查局的一項研究中也表明:在接受調查的公司中有 52% 的公司的系統遭受過外部入侵,但事實上他們中有 98% 的公司都是裝有防火墻的。這些攻擊為269家受訪公司帶來的經濟損失——包括系統入侵、濫用 web 應用系統、網頁置換、盜取私人信息及拒絕服務共計超過1.41億美元。
為什么現在很多企業都配置了防火墻、IDS、VPN、網絡防病毒系統等種種安全防護措施,卻還得不到真正的安全呢?企業的Web應用服務是需要對外開放的,也就是說,Http及Http服務的端口即80、443端口是必須開放的,那么,帶有攻擊行為的訪問信息,就能和正常的訪問信息一樣,訪問企業的Web服務系統,而傳統的安全防護體系卻無法判斷其中哪些訪問才是惡意的訪問,諸如URL查詢字符串操作,包括SQL注入、修改Cookie值、干擾表單中的數據、格式要求及其他各種惡劣的手段往往都能輕松的通過檢查,于是企業的Web系統就會出現諸多Web層面的安全問題。
在Gartner的一份分析報告指出,在調查的企業數據中心中,92%的Web應用有安全缺陷,80%存在跨站攻擊,高達62%存在SQL注入風險,而參數篡改和Cookies毒化也分別達到60%和37%。并且,隨著針對數據中心攻擊手段的不斷增加,特別是正對應用層攻擊的手段成為主流。Gartner還在報告中也著重強調了今后企業數據中心在安全上將面臨的十大挑戰,分別為:越權濫用、合法權限濫用、權限盜用、數據庫平臺漏洞、SQL注入、缺乏詳盡審計、拒絕攻擊、數據庫通信協議漏洞、弱鑒權機制、備份數據的缺乏保護。
那么,面對企業存在的種種應用安全問題,究竟應從何種角度去解決呢?安全廠商對此給出了建議,企業要實現應用安全,就必須要做三方面的措施:
1、保護應用基礎架構
這里需要隱藏公司本身的架構,不要讓人輕易得知;同時Cookie 也需要定期處理,以免有人從中獲取信息;再一個就是Web 地址轉換,把自己真實的地址保護起來。
2、根據應用強化安全
動態應用建模,根據業務需求,強化在關鍵業務方面的安全等級。
3、彈性安全策略
根據IP或應用設置安全規則;根據URL設置安全策略;根據HTTP報頭設置安全策略;根據頁面參數等等,利用以上策略根據公司業務需求組合成整體的安全策略。
具體到實際技術或安全設備來說,設置Web應用防火墻是企業可以考慮的一個選擇。和傳統的防火墻或者Web安全網關有很大不同,傳統的防火墻專注在網絡層面,提供IP、端口防護,而Web應用防火墻主要致力于提供應用層保護。應用防火墻可根據用戶、應用、進程或IP子網層允許自定義訪問控制,這樣,管理員可以創建各種應用策略,使應用可供訪問并首次真正實現對應用的管理。企業將Web應用防火墻部署在Web服務器之前,就可實現包括帶寬管理和控制、應用層訪問控制、數據泄露控制功能、對特定文件和文檔傳輸進行限制及其它功能。
從Web應用防火墻的功能方面來說,一些安全廠商認為,一個標準的Web應用防火墻至少需要具備四大功能。首先是安全防護功能,對于針對Web服務器的攻擊要具備防御能力,同時還要對數據泄密具備監管能力。其次是網絡加速功能,除了防護以外,企業用戶在網絡之中,需要對應用的運轉效率進行控制,比如對TCP協議的緩沖,對SSL VPN的加速,對訪問管理的卸載,Web應用防火墻必須能夠提供相應的加速能力。然后,Web應用防火墻還需具備可擴展性。Web應用防火墻在后臺連接的時候和Web服務器相關,但不能僅僅防護一臺服務器。事實上很多企業的Web服務器數量龐大,Web應用防火墻需要對應用交付和負載均衡提供支持。最后,Web應用防火墻還需提供IP審計功能。在Web應用防火墻本身對所有流量進行過濾的時候,它本身必須具備一套策略----哪些流量需要阻斷,哪些可以放過。這些相關的策略標準與策略模型需要對企業流行的應用進行支持。
目前,市場中的Web應用防火墻主要分為三種技術類型。第一類是加強型的IPS技術,相當于深度包檢測。早期的IPS在包過濾上不是很細致,后來在Web上做了更深入的包檢測功能。第二類是基于黑名單的技術模型。一些安全公司根據以往的經驗,統計全球范圍內的攻擊人和攻擊地區,并基于已知威脅的黑名單進行過濾。只要攻擊是來自黑名單之上的,就可以進行過濾。第三類是基于策略的技術模型。這種產品的設計出發點,是圍繞Web應用去進行產品設計的,而不是單純的去解決Web安全的某一方面問題。其產品設計思路本身基于策略,比如針對Gartner給出的十大類的策略模型。這類產品可以對整個后臺系統進行自動監測。除了本身的黑名單,更多是策略。此外要集成應用加速和負載均衡的模塊。
可以說,如今的Web應用防火墻早已脫離了防火墻本身的范疇,與傳統的防火墻已完全不一樣。對于一個希望解決自己的Web應用安全問題的企業來說,選擇及使用Web應用防火墻也與傳統的防火墻有很大不同。企業應該結合自身的Web應用狀況,根據自己的需求再去選擇相應的Web應用防火墻產品,并配置適合自身的安全策略,而且,在使用過程中,還需與企業的Web安全咨詢結合起來,才能達到最大的防護效果。不過,需要注意的是,選擇使用Web應用防火墻并不能取代基于其它層的防護設備,使用它的目的只是為系統安全提供一個補充,而在此之外,基礎的安全防護系統仍是必要的。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.