4000-110-253
企業網絡數(shù)據安全的戰略:消除“短(duǎn)闆”問題. 2020-12-01
為(wèi)了确保企業網絡的安全穩定,就需要制(zhì)定多(duō)樣化、有(yǒu)針對性的安全防護策略,否則即使看似固若金湯的網絡,也可(kě)能由于網絡設備或業務上(shàng)的不當應用而引發出新的安全漏洞,而這恰恰容易成為(wèi)黑(hēi)客探測或攻擊的入口。
應用威脅被忽視(shì)
我們常常聽(tīng)到企業網受到黑(hēi)客攻擊的事件,而其中更不乏一些(xiē)菜鳥級黑(hēi)客。記得(de)就曾經有(yǒu)一位技(jì)術(shù)并不高(gāo)超的黑(hēi)客,利用網上(shàng)購買的黑(hēi)客軟件侵入了國內(nèi)某通(tōng)信公司充值中心數(shù)據庫,修改竊取充值卡數(shù)據密碼并向他人(rén)進行(xíng)銷售,在半年時(shí)間(jiān)裏造成了數(shù)以百萬計(jì)的資金損失。
基于應用層的黑(hēi)客行(xíng)為(wèi)常常被忽
而這樣案例在IT安全領域,不得(de)不說是引人(rén)深思的:在長達半年的時(shí)間(jiān)裏面,耗費千萬巨資,由多(duō)台防火(huǒ)牆、IDS、防病毒系統構成的網絡安全架構,竟然連一條報警信息都沒有(yǒu)發出過。
對于運營商這樣的大(dà)型企業用戶,他們的網絡安全措施無疑應該是比較完善的。不過也應看到,由于網絡技(jì)術(shù)的不斷演進,傳統的安全防護手段還(hái)主要停留在保障網絡設備“底層”安全的層面上(shàng)。一些(xiē)安全措施在具體(tǐ)的應用層上(shàng)還(hái)沒有(yǒu)實施監控,用戶與應用資源之間(jiān),以及整個(gè)訪問過程和(hé)行(xíng)為(wèi)還(hái)都有(yǒu)不受控制(zhì)的隐患。
對一些(xiē)特定行(xíng)業用戶的安全需求來(lái)說,傳統的安全手段已無法滿足控制(zhì)“人(rén)”的操作(zuò)行(xíng)為(wèi),隻能依靠應用系統自身攜帶的安全功能。但(dàn)許多(duō)企業的網絡安全部署,雖然利用了身份認證及粗粒度的權限控制(zhì)措施,卻沒有(yǒu)考慮到訪問過程和(hé)訪問行(xíng)為(wèi)的安全。因此,隻依賴傳統安全設備,或是應用系統自帶防護功能,都不能滿足用戶對業務應用系統防護的高(gāo)安全等級要求,更難符合信息安全等級保護的更高(gāo)要求。
部署安全“守門(mén)員”
為(wèi)了排除網絡中的各個(gè)隐患,是不是需要為(wèi)每套新上(shàng)線的業務系統都單獨配備安全防護?或是對已經部署的業務系統來(lái)一次安全代碼“大(dà)換血”呢?當然,如果你(nǐ)的企業有(yǒu)足夠的時(shí)間(jiān)和(hé)資金的話(huà),是可(kě)以展開(kāi)這項浩大(dà)工程的。不過,最好的方式是在業務系統和(hé)訪問者之間(jiān)增加一名“守門(mén)員”,來(lái)阻止非法用戶的侵入,保護企業賴以生(shēng)存的核心數(shù)據資料。
上(shàng)網行(xíng)為(wèi)管理(lǐ)網關能夠基于應用進行(xíng)安全防護
那(nà)麽具體(tǐ)如何實現呢?針對應用層威脅的特點,并确保行(xíng)業用戶可(kě)以遵循國家(jiā)信息安全等級保護的要求,可(kě)以部署滿足用戶應用安全防護要求的上(shàng)網行(xíng)為(wèi)管理(lǐ)設備。如現在就有(yǒu)通(tōng)過前置主機的方式,采用應用業務邏輯與安全防護邏輯分離的設計(jì)思路,在應用服務器(qì)前以透明(míng)接入方式部署的上(shàng)網行(xíng)為(wèi)管理(lǐ)網關等設備的方案推出。
其最大(dà)優勢是在不改變現有(yǒu)應用的前提下,通(tōng)過身份認證、訪問控制(zhì)、安全審計(jì)、安全傳輸、防攻擊等功能和(hé)技(jì)術(shù),在應用層實現對業務應用系統訪問的全過程、系統化的安全管理(lǐ)控制(zhì)。
部署基于應用識别的網絡安全管控設備
因此,可(kě)以部署這樣的網關便于進行(xíng)系統故障隔離,保證業務應用人(rén)員和(hé)應用軟件專注于業務處理(lǐ)上(shàng),全面提高(gāo)了企業的工作(zuò)效率。另外,如果該系統支持針對使用第三方CA證書(shū)的行(xíng)業用戶,提供數(shù)字證書(shū)、用戶名/口令字、IP地址及USB KEY等多(duō)因子身份認證方式,就更加豐富了防護的手段了。
在具體(tǐ)使用過程中,管理(lǐ)員可(kě)以利用實現基于角色(崗位)的訪問控制(zhì),以及基于SSL協議的安全加密傳輸通(tōng)道(dào),确保存取訪問和(hé)傳輸過程的安全。在易用性方面,通(tōng)過為(wèi)用戶提供細緻的權限分工及透明(míng)的應用,實現了用戶應用流程不變、操作(zuò)習慣不變。而如果該設備支持特有(yǒu)的知識庫自學習功能,則可(kě)進一步輔助系統安全管理(lǐ)員制(zhì)定安全策略,減少(shǎo)安全運維管理(lǐ)的工作(zuò)負擔。
中小(xiǎo)企業數(shù)據安全加密軟件
