隨著雲計算不斷升溫以及其應用的不斷深入,一些重要機構和大型企業信息化水平得到飛速提升,其關鍵業務平台、辦公系統、 商務平台的不斷推出和投入運行,信息系統在企業的運營中全面滲透。尤其是電信、財政、公安、金融、電力、石油、醫療等重要行業的大型機構和企業的網絡中,數據更加集中,系統日益復雜,風險也更集中了,安全問題解決難度加大了。
國內知名安全廠商智恆科技公司針對以上問題從“外憂”與“內困”獨特的視角對雲計算環境下的安全問題做了全方位解析,並給出了相應的解決方案。
首先分析安全問題根本所在是人的復雜性,據俄羅斯RT電視台4月16日報道,多家美英政府網站日前遭到黑客組織“匿名者”攻擊,包括美國司法部、中央情報局(CIA)以及英國軍情六處網站等。CIA網站此前已經兩次遭“匿名者”組織襲擊,分別是2012年2月和2011年6月。“匿名者”組織宣稱,美國國土安全部、美國聯邦調查局(FBI)以及其他政府機構網站也曾遭到他們攻擊。匿名者黑客組織稱未確定時間攻擊中國政府網站。從最近頻頻發生的大量所謂“匿名者”黑客組織准備組織攻擊政府網站的事件不難分析出,“外憂”主要表現為以威脅國家安全、破壞公共秩序以及各種經濟目的注入攻擊、篡改攻擊、掛馬攻擊、DDos攻擊等。
“內困”主要是指內部攻擊主要來自內部管理控制不嚴格,缺乏有效的安全運維機制,導致管理運維的權限濫用、誤操作、無法審計等一系列問題,對核心業務系統造成巨大損失,出現安全事件後還無法准確定位,一系列的安全問題被頻頻曝光:
4月20日,公安部部署20個省市區公安機關展開侵害公民個人信息案統一收網行動。4天內,北京、河北等全國20個省市區公安機關全線出擊,一舉摧毀了一批犯罪網絡,抓獲1700余名犯罪嫌疑人。從政府部門、電信運營商等信息掌握者,到數據平台和中間商等非法中介,再到非法調查公司,本該屬於我們的信息,成為某些人牟利的工具,同時也將一個個潛在危害帶到我們身邊。此類犯罪主要是采取非正常的手段訪問數據庫,賬號無集中管理,以用自己預留的身份修改卡號和費用信息;偽裝成內部訪問行為,不受防火牆、接入和授權限制以及網絡安全措施的監控。沒有有效的監督,監控手段,導致運維人員為所欲為。
智恆科技針對當前Web應用安全現狀,提出了“攘外”與“安內”的全方位應用安全解決方案,主要包括以下四個方面:事情預警、事中防護、事後審計、網站優化。
事前預警