应用安全从整个信息安全的生命周期中是一个动态的、长期的过程,是从建设开始,风险评估、安全加固、安全防护、安全审计、再评估、再加固的过程。而从实际应用考虑,应用安全至少应满足以下要求:
一、事前预警:
通过应用系统及数据库的风险评估,发现可能存在的信息泄密点,并进行安全加固随着应用系统及数据库的不断升级,企业能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布,降低信息受泄密的危害;
二、事中防护:
恶意攻击者对应用系统及数据库进行攻击或恶意操作时,管理人员及系统能够具有有效地手段阻止恶意行为的发生,减少信息泄密的发生次数,避免对企业和信息造成影响;
三、事后追溯:
对于何人何地何时访问企业信息时能够具有追溯手段,对发生的信息泄密事件提供查询工具,方便维护人员及管理员进行事件跟踪和定位,并为事件的还原提供有力依据。
传统网络层安全防护措施和防御体系在安全管理中相当重要,但在面临数据被泄露的安全问题中,应用安全的防护能力更加重要。使用安恒信息技术有限公司所提倡的一种基于风险评估模型及“事前+事中+事后”的安全理念的结合传统网络层防护措施的新型应用安全解决方案,将有效降低应用安全风险和出现被泄露信息的风险。
风险评估与加固层面
威胁一个信息系统的风险可能来自不同的层面,从网络层、系统层到应用层,都有可能形成对信息系统直接或间接的威胁。通过风险评估对整个信息系统进行有效地安全评估,发现信息系统技术与管理方面存在的威胁。通过专业安全团队的加固,减少或降低威胁对系统造成的影响,避免因存在的威胁造成的信息泄密影响。
事前安全防范层面
当前绝大多数企业缺少必备的WEB安全和数据库安全的评估工具,使事前的风险评估难以实施。专业的安全产品需要有效的安全策略才能发挥应有的功能,而事前的安全评估则显得尤为重要。企业业务系统最重要的资产集中在WEB应用层和数据库系统,因此长期有效的保障企业业务系统的安全,安全运维人员应有必备的安全评估工具及技术实力。
事中安全防护层面
安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前绝大多数的企业基本上把信息系统的相关主机托管至IDC机房,根据IDC的不同等级分别具备了物理层安全和网络层安全。但企业尚缺少有力的安全防御措施如专业的远程安全接入主机的VPN,网络防火墙,WEB应用防火墙等安全设施,应切实建设相应的安全防御措施,提高系统的抗风险能力。
事后安全审计层面
企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
(责任编辑:闫小琪)
