“阿喀琉斯之踵”的谚语告诫我们,即使是再强大的英雄,也有致命的软肋或死穴。而在由各种安全设备搭建的防线上,如果不能转变固守的安全策略,看似固若金汤的网络,必然在各种应用过程中出现新的弱点,而这恰恰是黑客探测或是社交攻击的入口。正因如此,我国金融、通信、能源、交通、政府等关键领域的行业用户都应该行动起来,调整自身的网络安全治理策略,关注应用层可能出现的“安全短板”。
传统安全设备专注“底层” 应用威胁无人问津
曾经有一位技术并不高超的黑客,利用专长侵入了国内某通信公司充值中心数据库,修改窃取充值卡数据密码并向他人进行销售,造成数以百万计的资金损失。在信息安全领域,这个案例值得人深思:在长达半年的时间里面,耗资千万、由防火墙、IDS、防病毒系统构成的网络安全架构竟然一条报警信息都没有发出!
从上面的例子我们可以发现一个问题,对于运营商这样的用户,他们的安全措施无疑应该是比较完善的,不过我们也应看到,这些传统的安全防护手段主要是面向于网络层面,而没有在具体的应用层实施监控,用户和应用资源之间,以及整个访问过程和行为都是不受控制的。根据Gartner的研究数据表明,当前75%的攻击行为已经由网络层转移到了应用层,当黑客在应用层发动攻击时,或是内部人员非法存取数字资源时,网络防火墙和入侵检测产品发挥的作用往往极其有限。
对此,国路安(GLA)副总经理李宴祥表示:“对于一些特定行业用户的安全需求来说,这些传统的安全手段无法控制‘人’的操作行为,只能依靠应用系统自身携带的安全功能。但许多程序开发人员缺乏安全专业技能,虽然利用了身份认证及粗粒度的权限控制措施,却没有考虑到访问过程和访问行为的安全。因此,依赖传统安全设备,或是应用系统自带功能,都不能满足用户对业务应用系统防护的高安全等级要求,更难以符合信息安全等级保护的政策要求。”
符合信息安全等级保护 前置主机当好“守门员”
然而,在网络中排除“阿喀琉斯之踵”将是一件十分困难的事情。管理员是不是需要为每套新上线的业务系统都单独配备安全保护呢?或是对已经长期服役的业务系统来一次代码“大换血”呢?当然,如果你有足够的时间和资金,则可以启动这个浩大的工程。不过,最好的方式是在业务系统和访问者之间增加一名”守门员“,阻止非法用户闯入,保护赖以生存的核心数据。
针对应用层威胁的特点,并确保行业用户可以遵循国家信息安全等级保护的要求,国路安开发了满足用户应用安全防护要求的“可信应用安全系统”。该系统按照国家信息安全等级保护政策中对三级以上(含三级)系统的安全要求进行开发,采用了应用业务逻辑与安全防护逻辑分离的设计思路。通过前置主机的方式,在应用 服务器 前以透明接入方式部署GLA天璿可信应用安全系统,在不改变现有应用的前提下,通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术,在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。
GLA天璿可信应用安全系统能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题,可以保证在不改变应用及应用系统的前提下,提高应用的安全保证能力。因此,可以保证应用开发人员和应用软件专注于业务处理逻辑本身,全面提高了业务处理效率,更便于系统的故障隔离。另外,GLA天璿可信应用安全系统可针对使用第三方CA证书的行业用户,提供数字证书、用户名/口令字、IP地址及USB KEY等多因子身份认证方式。
在具体使用过程中,管理员可以利用实现基于角色(岗位)的访问控制,以及基于SSL协议的安全加密传输通道,确保存取访问和传输过程的安全。在易用性方面,可信应用安全系统为用户提供透明应用,实现了用户应用流程不变、操作习惯不变。而特有的知识库自学习功能,更可进一步辅助系统安全管理员制定安全策略,减少安全运维管理的工作负担。
建行网上银行安全吗 ?
1、使用国际认可的标准的安全技术SSL128位加密,确保安全可靠。 SSL (Secure Sockets Layer)是一种国际标准的加密及身份认证通信协议,使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。 它具备以下基本特征:信息保密性、信息完整性、相互鉴定;2、向您提供个人数字证书,提供安全身份认证功能;3、数字签名保证交易的真实和可靠;4、在服务器的系统层次上,使用两层防火墙体系,并建立了服务器运行实时监控系统。 因此,使用我行的网上银行系统是非常安全的。
怎么样使用手机才安全
接听或拔打的时候,等电话通了以后再放到耳边,,,,手机用到最后一格了,,尽快将电充足..充电的时候尽量不要拔打电话,,男生手机不要放在腰间...晚上睡觉的时候,手机不要放在床头柜上,,要远离自己的头部1米...
荣耀V10安装第三方应用时,通知提示“xxx应用可能损害您的设备”?
问题原因:谷歌服务会自动检测手机内安装的应用,没有经过 Google Play 认证的应用均会通知提示“可能损害您的设备”,并非手机问题。 该提示与应用是否存在损害手机的风险没有直接关系。 解决方案:如果您担心应用存在安全风险,建议您通过华为应用市场下载所需应用。 如果华为应用市场没有此应用,建议通过应用官方网站或官方合作下载平台下载相关应用。 华为应用市场的应用均通过安全认证,如果您不希望总是出现提示,您可以在【设置】 > 【Google】 > 【安全】 > 【Google Play 保护机制】,然后关闭【扫描设备以检测安全隐患】和【帮助我们检测有害应用】开关。
发表评论