如何走出應用安全的外憂與內困

　　隨著雲計算不斷升溫以及其應用的不斷深入，一些重要機構和大型企業信息化水平得到飛速提升，其關鍵業務平台、辦公系統、 商務平台的不斷推出和投入運行，信息系統在企業的運營中全面滲透。尤其是電信、財政、公安、金融、電力、石油、醫療等重要行業的大型機構和企業的網絡中，數據更加集中，系統日益復雜，風險也更集中了，安全問題解決難度加大了。

　　國內知名安全廠商智恆科技公司針對以上問題從“外憂”與“內困”獨特的視角對雲計算環境下的安全問題做了全方位解析，並給出了相應的解決方案。

　　首先分析安全問題根本所在是人的復雜性，據俄羅斯RT電視台4月16日報道，多家美英政府網站日前遭到黑客組織“匿名者”攻擊，包括美國司法部、中央情報局（CIA）以及英國軍情六處網站等。CIA網站此前已經兩次遭“匿名者”組織襲擊，分別是2012年2月和2011年6月。“匿名者”組織宣稱，美國國土安全部、美國聯邦調查局（FBI）以及其他政府機構網站也曾遭到他們攻擊。匿名者黑客組織稱未確定時間攻擊中國政府網站。從最近頻頻發生的大量所謂“匿名者”黑客組織准備組織攻擊政府網站的事件不難分析出，“外憂”主要表現為以威脅國家安全、破壞公共秩序以及各種經濟目的注入攻擊、篡改攻擊、掛馬攻擊、DDos攻擊等。

　　“內困”主要是指內部攻擊主要來自內部管理控制不嚴格，缺乏有效的安全運維機制，導致管理運維的權限濫用、誤操作、無法審計等一系列問題，對核心業務系統造成巨大損失，出現安全事件後還無法准確定位，一系列的安全問題被頻頻曝光：

　　4月20日，公安部部署20個省市區公安機關展開侵害公民個人信息案統一收網行動。4天內，北京、河北等全國20個省市區公安機關全線出擊，一舉摧毀了一批犯罪網絡，抓獲1700余名犯罪嫌疑人。從政府部門、電信運營商等信息掌握者，到數據平台和中間商等非法中介，再到非法調查公司，本該屬於我們的信息，成為某些人牟利的工具，同時也將一個個潛在危害帶到我們身邊。此類犯罪主要是采取非正常的手段訪問數據庫，賬號無集中管理，以用自己預留的身份修改卡號和費用信息；偽裝成內部訪問行為，不受防火牆、接入和授權限制以及網絡安全措施的監控。沒有有效的監督，監控手段，導致運維人員為所欲為。

　　智恆科技針對當前Web應用安全現狀，提出了“攘外”與“安內”的全方位應用安全解決方案，主要包括以下四個方面：事情預警、事中防護、事後審計、網站優化。

　　事前預警