3月1日~5日,全球信息安全领域的盛会RSA大会在美国旧金山隆重举行。来自全球各地的众多专家和学者参加了这次会议。各大安全厂商纷纷亮相新技术新产品,反映出当前全球信息安全产业、技术的空前热度,会议内容异常丰富。作为系列深度报道,本文试图通过主题演讲和产品技术展出,捕捉全球应用安全发展趋势。
信息安全,其核心在于“信息数据”的安全,而在数据处理中,应用才是关键。随着网络的快速发展,网络应用类别越来越多,应用复杂度也越来越高,人们逐渐发现,单纯解决数据的访问和传输的安全已经无法很好地保障信息安全,必须高度重视维护关键应用的安全,从数据的产生、计算和存储等多个角度来思考和解决。因此,对于“网络应用”安全的关注度也逐渐升温。在本次RSA大会上,技术专家、知名安全厂商谈论的焦点来看,网络应用安全呈献出以下几大发展趋势。
趋势1: WEB应用安全市场成为各应用安全厂商的必争之地
如今,越来越多的企业用户已将核心业务系统转移到网络上,WEB浏览器成为业务系统的窗口。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。Gartner的一份分析报告指出:在调查的企业数据中心中,92%的Web应用有安全缺陷;80%存在跨站攻击;高达62%存在SQL注入风险,而参数篡改和Cookies毒化也分别达到60%和37%;同时,专门针对应用层进行攻击的手段越来越多,越来越难以防范。
从技术的角度,WEB应用的安全主要涉及两个方面:服务器端和客户端。服务器端的安全隐患主要有脚本安全、SQL注入、“盗链”、DoS/DDoS攻击。而客户端的安全隐患主要是Cookie、证书、可执行代码的限制、安全选项设置不当等。
参加本次RSA大会的国外安全厂商中,有相当大的比重在试图提供完善的Web应用安全解决方案,国内安全厂商如绿盟科技、联想网御也都展示了自己在Web应用安全防护方面的探索和努力。可以看出,各安全厂商已经开始瞄准并不断发力此细分市场。
趋势2:加强应用本身的安全是网络应用安全的关键
网络应用之所以不安全,其中很关键的一点是应用程序本身不安全,给网络攻击留下了可乘之机。
如何保障网络应用服务本身的安全也成为本次RSA大会讨论较多的话题。与会者从网络应用程序开发、协议标准的制定到业务逻辑等各个层次进行了探讨。在本次RSA展会上,记者也注意到有几家安全厂商已经将目光覆盖到应用程序开发过程中,提出了所谓的代码级方案解决方案,确保应用服务本身的安全漏洞尽量少,尽可能地消除程序的安全漏洞带来的可乘之机。
趋势3:身份管理成为应用访问控制主流技术
基于身份的应用管理包括身份识别、权限控制、行为审计等多方面。网络边界正在逐渐变得模糊,移动终端越来越普及,我们面临的网络世界不再是清晰的内部与外部,身份成为网络世界的辩识要素,因此对于身份的管理就显得尤为重要。本次RSA大会充分印证了这一观点。相当数量的安全厂商展示了自己的身份管理解决方案,如:双因子认证、身份审计等。
传统的身份管理技术主要采用所谓的AAA技术,然而随着应用安全需求的发展,不再是身份的识别和权限控制那么简单,更多的是希望通过“身份”的管理来实现应用访问控制。比如当前比较流行的P2P应用占据了大量的网络带宽,在某些场合,事实上已经严重影响了正常的业务操作,成为企业和网络运营商头疼的问题,但又不能简单的禁止这些应用。于是如何识别这些P2P应用,如何给不同的身份配置不同的P2P应用权限,如何监控这些应用下载的数据的合法性和安全性,都成为了应用访问控制的关键。
除此之外,本届RSA展会上有关身份识别、权限控制、行为审计等安全类产品也备受关注。
趋势4:越来越多的厂商采用多核硬件架构来解决应用安全处理性能不足的问题
要确保纷繁复杂的网络应用的安全,就不得不深入分析报文,不仅仅需要分析报文的传输层,还需要分析报文的应用协议层,应用数据内容,甚至还需要分析报文之间的关联性,这就给应用安全技术带来更大挑战。既要分析准确,又要确保报文的实时性,在一定程度上,这两者是矛盾的,单纯希望从软件角度解决此矛盾已经不再现实,必须寻求更高更强的硬件架构才能解决根本问题。
在本次RSA大会上可以看到,部分实力雄厚的应用安全厂商已经采用多核硬件架构来解决性能瓶颈,将应用安全的处理能力提升到以前的5~10倍,基本满足了当前对网络应用安全的性能要求。有的国外厂商在非常显眼的位置宣传“用多核,实现真正的10G IPS”。事实上,国内厂商采用多核架构的高端IPS产品也有成功案例。记者发现此次联想网御参展的KingGuard IPS 9202在多项关键性能指标上已超过国外厂商。
随着信息化建设不断深入,基于网络的关键应用越来越丰富,特别是云计算已成为发展趋势。未来更多的业务将以WEB应用方式呈现,信息安全也必将从以边界防护为主向应用和数据安全防护为主过渡,同时加强在应用研发、部署以及维护等方面的安全管理并辅以必要的技术设备,才能跟上信息化发展的步伐,实现协调发展。