確保網(wǎng)絡(luò)安全:要有真功夫
責(zé)編:admin |2015-01-12 12:21:04在現(xiàn)實(shí)生活中,任何人只有自己掌握“真功夫”,才能更好地保護(hù)和發(fā)展自己;對(duì)于網(wǎng)絡(luò)中的應(yīng)用程序也是如此。即使防火墻再健全,如果應(yīng)用程序本身漏洞百出,又怎能抵御漏洞利用的種種伎倆?所以,只有應(yīng)用程序自身足夠強(qiáng)健,才能在面臨各種網(wǎng)絡(luò)攻擊時(shí)真正做到“敵軍圍困萬(wàn)千重,我自巋然不動(dòng)”。
在未來(lái)的幾年中,影響企業(yè)應(yīng)用程序及企業(yè)安全的一個(gè)戰(zhàn)略性問(wèn)題就是,如何利用基于風(fēng)險(xiǎn)的安全感知和自我保護(hù)技術(shù)。
完全安全的環(huán)境是不可能的,但企業(yè)可以利用更高級(jí)的風(fēng)險(xiǎn)評(píng)估和遷移工具來(lái)提升安全性。其中包括安全感知的應(yīng)用程序設(shè)計(jì)、動(dòng)態(tài)和靜態(tài)的應(yīng)用程序安全測(cè)試,運(yùn)行時(shí)應(yīng)用程序的自我保護(hù)與積極的環(huán)境感知、自適應(yīng)訪問(wèn)控制等。
應(yīng)用程序的“自我感知”,其本意是可以在某些惡劣條件(威脅、錯(cuò)誤)下保護(hù)和自動(dòng)地重新配置而無(wú)需人為的干預(yù)。
如何理解這種技術(shù)?
提高應(yīng)用程序安全性的一種方法就是編寫(xiě)更安全的代碼。而靜態(tài)的應(yīng)用程序安全測(cè)試可以在部署應(yīng)用程序之前更好地實(shí)施保護(hù),它也有助于提高安全性。另一種方法就是實(shí)施特定應(yīng)用程序的訪問(wèn)安全(在這一點(diǎn)上不妨考慮一下Web應(yīng)用防火墻),其目的是為了在網(wǎng)絡(luò)層上檢測(cè)應(yīng)用程序的入侵。
第三種方法是使應(yīng)用程序能夠更好地感知潛在的安全問(wèn)題,或是將防御構(gòu)建到應(yīng)用程序內(nèi)部。這就是應(yīng)用程序的感知安全,即在應(yīng)用程序部署之后保護(hù)應(yīng)用程序的問(wèn)題。
自我感知和自我保護(hù)的應(yīng)用程序可以將安全控制和動(dòng)作直接嵌入到應(yīng)用程序代碼中。對(duì)于移動(dòng)應(yīng)用,黑客的主要攻擊就是要在面向公眾的應(yīng)用商店中找到流行應(yīng)用進(jìn)而嵌入惡意軟件,并通過(guò)第三方商店發(fā)布惡意程序的副本。
而自我保護(hù)的應(yīng)用程序可以使惡意行為的實(shí)施更困難。而且,自我保護(hù)的應(yīng)用還可以通過(guò)加密數(shù)據(jù)保護(hù)來(lái)應(yīng)用程序接收或發(fā)送的數(shù)據(jù)。
例如,將安全控制嵌入到正在運(yùn)行的Web應(yīng)用中就是運(yùn)行時(shí)應(yīng)用程序的自我保護(hù)的一個(gè)例子。這些控制位于應(yīng)用程序的虛擬機(jī)中,并可以截獲對(duì)系統(tǒng)的所有調(diào)用。從本質(zhì)上說(shuō),這種技術(shù)就是將數(shù)據(jù)請(qǐng)求的確認(rèn)和驗(yàn)證直接嵌入到應(yīng)用程序中。
利弊一覽
在強(qiáng)化總體的安全性方面,自我感知或自我保護(hù)的應(yīng)用程序可以給企業(yè)帶來(lái)諸多益處。例如,保護(hù)應(yīng)用程序的傳統(tǒng)方法一般都是由人工創(chuàng)建實(shí)施的,其速度可能很慢,而且,保護(hù)主要是基于靜態(tài)的后續(xù)部署。這是一種非常被動(dòng)的方法,且不能實(shí)時(shí)地適應(yīng)新威脅。而自我保護(hù)的應(yīng)用程序可以保證在已知的狀態(tài)中的有效性。
在強(qiáng)化總體的安全性方面,這種應(yīng)用程序可能無(wú)法清除漏洞,卻可有助于移除被感染的組件。當(dāng)然,日后打補(bǔ)丁可以修補(bǔ)漏洞,并使影響最小化。創(chuàng)建自我保護(hù)的應(yīng)用程序要求開(kāi)發(fā)團(tuán)隊(duì)和操作人員之間的密切協(xié)作。
運(yùn)行時(shí)應(yīng)用程序的自我保護(hù)技術(shù)可以監(jiān)視(正如Web應(yīng)用防火墻的許多功能一樣)更多的細(xì)節(jié)。通過(guò)強(qiáng)化應(yīng)用程序并將其部署在可以監(jiān)視所有進(jìn)入請(qǐng)求、數(shù)據(jù)庫(kù)操作、虛擬機(jī)調(diào)用甚至是操作系統(tǒng)調(diào)用的地方,那么,運(yùn)行時(shí)應(yīng)用程序保護(hù)這種技術(shù)就可以更詳細(xì)地監(jiān)視系統(tǒng)的動(dòng)作。與其它方法相比,這種方法有助于提高準(zhǔn)確性。
與自我感知或自我保護(hù)應(yīng)用程序有關(guān)的一個(gè)問(wèn)題可能是,在應(yīng)用程序執(zhí)行自我救治過(guò)程時(shí),可能會(huì)有性能影響。最糟糕的情況是,對(duì)業(yè)務(wù)產(chǎn)生重大影響。從投資收益角度來(lái)說(shuō),驗(yàn)證這種應(yīng)用程序可能會(huì)比較困難,因?yàn)橛袝r(shí)自我救治的應(yīng)用程序要求較高的冗余度,這會(huì)增加成本。
在使用這種應(yīng)用程序時(shí),企業(yè)必然有一種學(xué)習(xí)曲線。企業(yè)必須考慮在應(yīng)用程序的自我救治、聲譽(yù)降低、失效轉(zhuǎn)移過(guò)程中,應(yīng)用程序狀態(tài)可能發(fā)生的狀態(tài)轉(zhuǎn)換。這可能與企業(yè)的固定預(yù)算、更短的開(kāi)發(fā)及發(fā)布周期相沖突。
關(guān)于自物保護(hù)和“容錯(cuò)”的困惑是另一個(gè)問(wèn)題。雖然容錯(cuò)是好事,但在出錯(cuò)后,自我保護(hù)如何實(shí)施卻是問(wèn)題的關(guān)鍵。
期望
就方案的可用性來(lái)說(shuō),應(yīng)用程序的自我感知和自我保護(hù)可謂年富力強(qiáng),也非常具有創(chuàng)新性,它把安全數(shù)據(jù)分析的邊界推向了云和本地應(yīng)用中。
從強(qiáng)化和封裝安全性的角度看,這種技術(shù)在移動(dòng)領(lǐng)域中有很大的吸引力,在將來(lái)也會(huì)繼續(xù)增長(zhǎng)和發(fā)展。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧