應用安全建設論文

時間:2022-04-09 04:17:42

導語:應用安全建設論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

應用安全建設論文

1應用安全問題分析

1.1傳統(tǒng)意義上的應用安全

在等級保護國家技術(shù)標準中,對應用提出了身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制七個方面的安全要求。南京地稅信息化起步早,程度高,應用項目眾多,早期應用在開發(fā)階段對安全考慮不周,導致其先天性安全防護措施不足。在等級保護整改過程中,我局碰到早期應用不符合應用安全要求,但為保證業(yè)務持續(xù)性只能選擇接受風險。這就要求我們必須在運行維護階段做好應用安全管控。同時,早期應用下線退出時,也必須做好應用安全相關(guān)工作。

1.2南京地稅應用安全特點分析

南京地稅做為南京市政府部門信息化的先行者,已實現(xiàn)內(nèi)部網(wǎng)絡和外部網(wǎng)絡(互聯(lián)網(wǎng)、其他單位網(wǎng)絡)的隔離,業(yè)務網(wǎng)和政務網(wǎng)的隔離。網(wǎng)絡的封閉性決定其對病毒、入侵的抵御有先天的優(yōu)勢,同時大部分地稅應用是地稅自主開發(fā),與互聯(lián)網(wǎng)應用有較大的區(qū)別。南京地稅網(wǎng)絡隔離、應用可知、設備可控等特點,為地稅應用安全提供了完全可以優(yōu)于業(yè)界的基礎(chǔ)條件。我們對地稅應用進行分析,提煉出應用的特征字段,以實現(xiàn)對應用的自動識別。以應用特征確定應用作為安全保障對象,將網(wǎng)絡數(shù)據(jù)分成合法應用數(shù)據(jù)和非法數(shù)據(jù),有效管理非法應用和未知鏈接,實現(xiàn)對運行維護階段應用的安全防護。

2地稅應用安全管控的實現(xiàn)

南京地稅嘗試對應用安全管控系統(tǒng)開展研究工作中,實現(xiàn)應用安全四大目標:全生命周期應用安全管理、違規(guī)行為發(fā)現(xiàn)、訪問關(guān)系管理、安全事件發(fā)現(xiàn)。

2.1全生命周期應用安全管理

全生命周期應用安全管理包括應用開發(fā)設計階段安全、運行維護階段安全、退出廢棄階段安全。應用安全管控平臺能加強全生命周期應用安全管理。一是加強應用上線階段安全管理。通過特征庫智能識別應用,實現(xiàn)全網(wǎng)應用清理,發(fā)現(xiàn)未知應用。二是加強應用運行階段安全管理。對識別出的應用的流量、轉(zhuǎn)接數(shù)、RTT進行監(jiān)控。同時以現(xiàn)實應用數(shù)據(jù)建立應用安全基線,總結(jié)應用項目運行規(guī)律,發(fā)現(xiàn)應用偏離基線及時報警。三是加強應用下線階段安全管理。監(jiān)控在應用特征庫中長期為有用戶訪問的應用,為應用下線管理提供有力證據(jù)。應用安全管控平臺實現(xiàn)全生命周期應用安全管理,做到應用安全運行“看得到、說得清、管得住”。

2.2違規(guī)行為發(fā)現(xiàn)

在實際工作中發(fā)現(xiàn),經(jīng)過應用白名單過濾后的可疑數(shù)據(jù)不一定是病毒、木馬等安全事件,更大可能是用戶違規(guī)行為。違規(guī)行為指未被允許進行或不符合信息安全需要的行為,該行為雖然暫進不會對信息系統(tǒng)安全造成威脅,但會成為安全隱患。

2.3訪問關(guān)系管理

現(xiàn)在安全域間都部署了防火墻進行隔離,但隨著時間的推移,部分舊策略或臨時策略由于沒有及時清理,日積月累,防火墻策略的逐漸膨脹,導致策略說不明、理不清。應用安全管控系統(tǒng)的應用白名單是根據(jù)應用邏輯、安全規(guī)定由實際網(wǎng)絡數(shù)據(jù)生成,代表了應用的安全訪問關(guān)系。兩個安全域間的應用白名單形成兩個域間的訪問關(guān)系表,安全訪問關(guān)系表與防火墻策略匹配,實現(xiàn)統(tǒng)一的訪問控制策略管理,發(fā)現(xiàn)防火墻中不符合安全要求的策略,定期為防火墻策略進行清理。

2.4安全事件發(fā)現(xiàn)

面對海量的安全報警,安全管理者都希望安全產(chǎn)品既能有效檢測出安全事件,又可以減少錯誤的報警。實際上在眾多數(shù)據(jù)中準確發(fā)現(xiàn)安全事件是有難度的。但如果能將正常應用流量從整體流量中分離,只針對可疑流量進行安全分析,便能大大減少錯誤和重復的報警數(shù)。應用白名單將應用數(shù)據(jù)和可疑數(shù)據(jù)分離,重點針對可疑數(shù)據(jù)分析,可以提供發(fā)現(xiàn)安全事件的準確率。同時,可以利用數(shù)據(jù)分離對應用項目進行整理,發(fā)現(xiàn)用戶自建未備案應用,加強應用項目管理。

3應用安全展望

應用安全是信息系統(tǒng)安全防護的重要組成部分,也是南京地稅信息安全的下一步發(fā)展重點,展望未來,結(jié)合其信息化建設現(xiàn)狀,管理與技術(shù)并重,以自主知識產(chǎn)權(quán)和國產(chǎn)化信息裝置為基礎(chǔ),建成等級保護深度防御體系。在建設過程中,遵循統(tǒng)籌規(guī)劃、深度防御,統(tǒng)一標準、統(tǒng)一規(guī)范,自主產(chǎn)權(quán)、國產(chǎn)為主,強化管理、注重技術(shù)的原則。我們可以對應用安全管控進行拓展,實現(xiàn)大數(shù)據(jù)環(huán)境下的行業(yè)模式分析和安全云計算。

作者:薛劍秋朱嵐周建偉劉芝月單位:江蘇省南京地方稅務局電子稅務管理中心