您的位置: 网界网 > 周报全文 > 正文

[周报全文]网络应用安全四大发展趋势

2010年04月20日 13:56:52 | 作者:王智民 | 来源:网界网 | 查看本文手机版

摘要:目前,对于网络应用安全的关注度正在逐渐升温,网络应用安全呈现出以下几大发展趋势。

标签
发展趋势
网络应用安全

【CNW.com.cn 专稿】目前,对于网络应用安全的关注度正在逐渐升温,网络应用安全呈现出以下几大发展趋势

【趋势一】Web应用安全市场成为必争之地

如今,越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业务系统的窗口。在此背景下,如何保障企业的应用安全,尤其是Web应用安全,成为新形势下信息安全保障的关键所在。Gartner的一份分析报告指出,在调查的企业数据中心中,92%的Web应用有安全缺陷;80%存在跨站攻击;高达62%存在SQL注入风险。而参数篡改和Cookies毒化也分别达到60%和37%。同时,专门针对应用层进行攻击的手段越来越多,越来越难以防范。

从技术的角度看,Web应用的安全主要涉及两个方面:服务器端和客户端。服务器端的安全隐患主要有脚本安全、SQL注入、盗链、DoS/DDoS[注]攻击。而客户端的安全隐患主要是Cookie、证书、可执行代码的限制、安全选项设置不当等。

目前已经有相当多的安全厂商提出了自己的Web应用安全解决方案。

【趋势二】加强应用本身的安全是网络应用安全的关键

网络应用之所以不安全,其中很关键的一点是应用程序本身不安全,给网络攻击留下了可乘之机。有几家安全厂商已经将注意力集中到应用程序开发过程中,提出了所谓的代码级解决方案,以确保应用服务本身的安全漏洞尽量少发生,尽可能地消除程序安全漏洞带来的可乘之机。

【趋势三】身份管理成为应用访问控制主流技术

基于身份的应用管理包括身份识别、权限控制、行为审计等多方面。网络边界正在逐渐变得模糊,移动终端越来越普及,我们面临的网络世界不再是清晰的内部与外部,身份成为网络世界的辨识要素。因此对于身份的管理就显得尤为重要。

传统的身份管理技术主要采用所谓的AAA技术,然而,随着应用安全需求的发展,不再是身份的识别和权限控制那么简单,更多的是希望通过“身份”的管理来实现应用访问控制。比如当前比较流行的P2P应用占据了大量的网络带宽,在某些场合已经严重影响到正常的业务操作,成为企业和网络运营商头疼的问题,但又不能简单地禁止这些应用。于是,如何识别这些P2P应用,如何给不同的身份配置不同的P2P应用权限(+本站微信networkworldweixin),如何监控这些应用下载数据的合法性和安全性,都成为了应用访问控制的关键。

【趋势四】采用多核硬件架构来解决应用安全处理性能不足的问题

要确保纷繁复杂的网络应用安全,就不得不深入分析报文。不仅仅需要分析报文的传输层,还需要分析报文的应用协议层、应用数据内容,甚至还需要分析报文之间的关联性,这就给应用安全技术带来更大挑战。既要分析准确,又要确保报文的实时性,在一定程度上,这两者是矛盾的。单纯希望从软件角度解决此矛盾已经不现实,必须寻求更高、更强的硬件架构才能解决根本问题。

部分实力雄厚的应用安全厂商已经采用多核硬件架构来解决性能瓶颈,将应用安全的处理能力提升到以前的5~10倍,基本满足了当前对网络应用安全的性能要求。(本文作者系联想网御新技术研究所所长) (更多内容详见:http://www.cnw.com.cn/P/2351)

参考资料

1.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]