日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

影子戰(zhàn)爭——沒有任何東西比信息更能改變世界

創(chuàng)新互聯(lián)專注于烏達企業(yè)網站建設,響應式網站建設,商城系統(tǒng)網站開發(fā)。烏達網站建設公司,為烏達等地區(qū)提供建站服務。全流程定制網站開發(fā)，專業(yè)設計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

“國際舞臺風云變幻，常常讓人看得眼花繚亂。不過也有人歸納出了簡單的3條：一切的爭奪，無非就是為了物質、能源，還有信息。前面兩種顯而易見，但最后一種，卻是一場看不見的影子戰(zhàn)爭?！?/p>

提到網絡安全，以前人們想到的是防火墻、入侵檢測、加密、認證、VPN等等一系列產品的名字，現(xiàn)在大家逐步認識到需要安全集成。然而目前的安全集成還處在初級階段，往往只是產品的疊加，各自擁有不同的管理界面，各自擁有不同格式的日志記錄，相互間缺乏標準的通信接口，更為重要的是這些安全產品還不能與應用緊密地結合起來。因此，用戶迫切需要一個完整的、與應用緊密相關的并且是容易部署、管理和應用的安全解決方案。

值得一提的是，近幾年，國家相關部門、專家學者以及眾多安全廠商都對安全管理本身等提出了各自的看法與實踐過程。這是十分令人振奮的，然而在欣喜之余，我們更應該考慮：WEB應用安全，究竟是為了什么？

首先，它不能夠阻礙正常的業(yè)務應用;其次從威脅、攻擊、漏洞等的角度上來說，已經讓安全措施很難跟得上攻擊手法與速度的進一步提升。因此，不僅需要建立更為穩(wěn)固與可靠的WEB應用安全管理體系，有效利用現(xiàn)有安全措施和資源，同時也需要從另外一種角度--應用層面來觀察安全。

從2000年開始已經有諸多信息安全廠商涉足應用安全領域，不僅提供了溝通應用安全的社區(qū)與論壇，并在應用安全的發(fā)展方向上做出了卓越的成績與貢獻。越來越多的企業(yè)開始關注如何讓自己的業(yè)務應用安全、穩(wěn)定可靠并為之投入大量的安全資源(人-安全管理員、財-安全預算、物-安全設備)，然而IT環(huán)境本身的惡化與嚴峻的考驗給業(yè)務應用系統(tǒng)的安全部署提出了更為苛刻的要求。

它需要在業(yè)務應用系統(tǒng)設計之初就被實施并貫徹其整個生命周期始末。因此，在這里我們來看一下安恒信息技術有限公司所提倡的一種基于“前端檢測+中端防護+后端追溯”的安全理念的“結合傳統(tǒng)網絡層基礎防護體系的新型應用層安全解決方案”的安全錦囊計：

并戰(zhàn)計——應用層安全功能技術體系建設

對于應用層安全解決方案建議，目前行業(yè)內所流行的安全模型，如：APPDRR、WPDRRC等，實際上都是參照于PDR安全防護體系的基礎上而發(fā)展和衍生出來的。

因此，鑒于PDR安全防御體系的模型，同樣適用于指導應用層安全防護體系的建設。即：

在Protection防護層面：可以采用Web應用防火墻，針對應用層的攻擊進行有效防護;

在Detection檢測層面：可以采用Web應用弱點掃描器，針對在線Web業(yè)務應用系統(tǒng)或B/S架構的系統(tǒng)進行掃描和評估，從而發(fā)現(xiàn)其弱點和安全問題和隱患;

在Response響應層面：可以采用審計系統(tǒng)+應急響應服務+評估加固服務的方式，針對發(fā)生的安全事件進行深度調查、取證，了解原因和問題所在。從而通過人工進行有效彌補，從根本上去除威脅和風險。

另外，從用戶角度考慮，應用安全需求還應滿足以下要求：

產品部署簡便，管理集中，操作簡潔，性能影響甚微;

對用戶現(xiàn)有網絡拓撲結構盡量無影響;

方便管理，無需進行復雜的配置;

對現(xiàn)有WEB應用和業(yè)務系統(tǒng)的訪問速率不能造成太大的影響;

對正常業(yè)務訪問不能進行錯誤的攔截阻斷;

部署后效果明顯，起到關鍵的安全防范作用。

攻戰(zhàn)計——安全服務支持體系建設

同時，任何信息系統(tǒng)的安全保障建設不能單純的依靠各類安全產品的部署，盡管安全產品的部署能夠從大的方面對信息系統(tǒng)進行整體的安全功能改善，但是許多安全功能無法利用安全產品實現(xiàn)，需要采用專門的安全服務進行完善整體安全性能。安全服務支持體系的建設將為用戶提供持續(xù)的安全動力。

同時，信息系統(tǒng)安全保障是一個動態(tài)的安全過程，安全產品往往不能夠及時的響應系統(tǒng)安全狀態(tài)的的某些變化，而專業(yè)安全服務往往能夠更及時的針對安全勢態(tài)的變化做出響應。因此建議用戶建設安全服務支持體系。

勝戰(zhàn)計——安全策略管理體系建設

不管是安全功能技術體系的建設，還是安全服務支持體系的建設，都是從技術的角度解決WEB應用安全問題。但是安全不單純是技術的問題，“三分技術，七分管理”充分說明了安全管理的重要性，突出了用戶對WEB應用安全管理的重視程度。

建議在用戶的安全管理體系建設主要做以下幾方面的工作：

（1）安全人員和組織架構的規(guī)劃

（2）需要合理的進行安全人員和組織架構的規(guī)劃，包括：

1.人員崗位與職責的劃分

2.安全組織或部門的設定與職責劃分

3.安全策略規(guī)范的建設與完善

4.安全策略規(guī)范是指導用戶進行日常WEB應用安全運行維護的基本綱領，是用戶系統(tǒng)WEB應用安全工作的指導精神，安全策略需要依據(jù)用戶的業(yè)務結構的變化進行動態(tài)的調整，使之服務于用戶的良性發(fā)展。

5.安全管理規(guī)范的建設與完善

安全管理規(guī)范建設是安全系統(tǒng)建設的重要部分，指定安全管理規(guī)范的根本目的是要規(guī)范和約束業(yè)務運行維護過程的操作行為，輔助各項安全技術手段發(fā)揮正常功效，貫徹執(zhí)行安全策略的各項要求。

不同企業(yè)的網絡環(huán)境存在一定的共性，但各自的差異也尤為突出。不同行業(yè)有著不同行業(yè)的特點，即使是相同行業(yè)，其行業(yè)下所屬的企業(yè)也各有特色。企業(yè)的網絡架構的不同，業(yè)務及技術特點的不同，以及企業(yè)文化的不同等等，這些都會加大用戶對反病毒安全產品需求的不同。因此具有向用戶提供有個性化、立體化安全方案的能力才能保證多元化的網絡安全。

總而言之，安全是一個持續(xù)性的螺旋上升的過程，其與業(yè)務應用之間的關系密不可分。當我們發(fā)現(xiàn)業(yè)務應用系統(tǒng)的復雜程度以及所帶來的風險已經遠遠不是單獨的一個進化速度滯后于病毒、漏洞等威脅的增長速度的UTM統(tǒng)一威脅管理方案或者單獨的一個網絡安全解決方案所能夠應對之時，我們必須該換種眼光，換個思路來思考業(yè)務應用與安全之間的辯證關系。

安全措施與業(yè)務應用二者之間的倒沙漏模型帶給了我們更多的思考。那么我們究竟如何尋找到最恰當?shù)慕Y合點？如何更有效的關聯(lián)業(yè)務應用與安全措施等等一系列的問題都給WEB應用安全技術的發(fā)展提出了更嚴峻的挑戰(zhàn)。

當前文章：“應用”是王道錦囊妙計謀安全之駐守WEB安全
文章轉載：http://www.5511xx.com/article/cogicgj.html