您的位置: 网界网 > 周报全文 > 正文

[周报全文]再议“应用安全”

2006年08月04日 13:06:30 | 作者:张建清 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:

标签

         上期本报“技术特写”栏目专门讨论了应用安全的内容,本期我们继续从相关底层技术与上层应用的关系上,进一步帮助读者了解“应用安全”的特点与部署要素。

关注“威胁转化”

         一般来说,信息安全防范体系的层次可划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。此外,针对TCP/IP协议模型来看,可分为网络接口层、网络层、传输层、应用层四个层次。不同层次反映了不同的安全问题,根据网络的应用情况和部署结构,全方位的网络安全防范体系也是分层次的。

         一般最常提到的是网络层安全及应用层安全。全球知名咨询公司英丰宝指出:“今日企业面临的攻击超过75%是属于应用层,而非网络层或是系统层。”另外IDC的研究指出,每年因为应用层安全问题而产生的损失达到600亿美元之多。

         网络威胁从网络层转化到应用层的趋势非常明显。除了历史悠久的病毒蠕虫之外,木马程序、间谍软件、垃圾邮件、网络钓鱼等攻击,新应用的出现也伴随新的安全风险,包括Web  Mail、实时通信、P2P共享软件、VoIP、RSS阅读器等。像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及,企业宝贵带宽资源被业务无关流量浪费,形成巨大的资源损失。英国网络流量统计公司CacheLogic表示,去年全球有超过一半的文件交换是通过BT进行的,BT占了互联网总流量的35%。同时,以上不同攻击可能互相结合,形成复合型威胁,使威胁更加危险和难以抵御。

应用层重在防御

         在这种情况下,多层立体防御就成了很多人期待的技术方案。希望在原本的网络层防御之外,也能加上应用层防御,提高保护的安全性。但是多层防御功能如何达成呢?读者应该先从了解包过滤技术入手,一般分为以下三种层次:

         一般包过滤

         一般包过滤只能对于TCP/IP的包作TCP/UDP及IP信息的过滤,例如阻挡特定的TCP/UDP端口或是特定的IP地址包,但是对于包的前后关系及正常与否,没有判断能力。一般的小型路由器往往采用这种方式。

         状态检测封包过滤(SPI)

         状态检测封包过滤比一般包过滤更深入,是以联机的概念处理包过滤的,它可以记录包进出的前后关系,因此对于突然从外面要求进入内网的包,就会直接加以拒绝。当网络包被修改过或伪装过,它也可以辨别出来。因此它可提供更高的保护机制。一般的防火墙及高阶的路由器可提供这个功能。

          深度封包过滤(深度包检测)

         深度封包过滤技术需要把封包的内容也打开,进行仔细的比对,可以完全了解传送的内容。例如当包的内容是压缩时,深度封包过滤会把压缩的文档也解开,以进行内容的检查。深度封包过滤可提供的防御是最高的,但相对地需要较大的运算能力,转发率也往往受到限制。而且需要大量的特征码与规则数据库,否则也认不出威胁来。新形态的IPS及IDS设备都是用这种技术。

          面向应用做定制

         从以上说明可以了解到,深度封包过滤较为安全,但是相对的设备价格高昂,而且效能也不佳。对于安全厂商来说,除了提供各种包过滤技术以外,还需要针对常见应用,提供应用层阻挡功能。具体包括:
12
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]