大主宰,玄幻小说完本,我欲封天耳根小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

是網(wǎng)絡(luò)安全重要還是應(yīng)用程序安全重要?

飛速發(fā)展的云計算和移動應(yīng)用程序使企業(yè)網(wǎng)絡(luò)的邊界得到了擴展，單純的網(wǎng)絡(luò)安全已經(jīng)不足以很好的保護組織的網(wǎng)絡(luò)，暴露在互聯(lián)網(wǎng)上供無數(shù)人隨時隨地進行訪問的應(yīng)用程序，同樣需要得到很好的保護。

看過電影《大魔域》的人都知道，主人公Atreyu的目的就是要尋找幻想國的邊界。然而令他失望的是，幻想國根本就沒有邊界，因為幻想國是人類幻想的產(chǎn)物。

在某種意義上講，幻想國和網(wǎng)絡(luò)安全有著異曲同工之處。曾經(jīng)的網(wǎng)絡(luò)安全就像早期還是一座城堡的幻想國一樣，只須守住城池即可，但隨著邊界的不斷擴張，關(guān)于如何更好地保護好企業(yè)的網(wǎng)絡(luò)安全使企業(yè)免受入侵，成為了一個難以具體限定和進退其難的問題。

另外，關(guān)于到底是在網(wǎng)絡(luò)安全中投入更多的時間和資源，還是在應(yīng)用程序安全中投入更多的時間和資源問題，也和保護企業(yè)的安全同等地重要。

邊界造成的困惑

據(jù)弗雷斯特研究公司(Forrester Research)最近的一份關(guān)于網(wǎng)絡(luò)安全的研究報告顯示，2015年安全技術(shù)中支出預(yù)算的最大部分是在網(wǎng)絡(luò)安全，并且有望在未來幾年內(nèi)持續(xù)增加。

“展望未來，41%的決策者預(yù)計2016年的網(wǎng)絡(luò)安全支出要比2015年至少增加5%，9%的安全決策者則預(yù)計2016年的網(wǎng)絡(luò)安全支出要比2015年增加10%以上?！庇纱丝梢姡m然應(yīng)用程序的安全性已經(jīng)存在了一段時間，IT專業(yè)人員卻仍然根深蒂固地固守在傳統(tǒng)的網(wǎng)絡(luò)安全。這種情況所造成的結(jié)果就是，在安全工具投資的預(yù)算上，往往只能二選一。但現(xiàn)實情況中，我們組織的網(wǎng)絡(luò)早已經(jīng)成了幻想國，是沒有邊界的。

模糊的邊界

我們很多人可能會認為，《大魔域》不過是一部童話電影而已。然而，無論是成人世界還是網(wǎng)絡(luò)安全領(lǐng)域，都可以從孩子身上學(xué)習(xí)到很多的東西。在最近一期電臺節(jié)目中，一個四年級學(xué)生就提出，“網(wǎng)絡(luò)安全應(yīng)當從娃娃抓起”。

他說，雖然自己還是個孩子，但在電腦方面已經(jīng)比自己的父母懂得多得多了。他指出，要實現(xiàn)良好的安全，不僅需要開發(fā)者清除自己代碼中的BUG，而且還需要使用者使用強密碼，否則，很容易就會遭遇入侵。

你看，連孩子都已經(jīng)意識到網(wǎng)絡(luò)安全不僅僅是網(wǎng)絡(luò)的事了。在過去二十年中，人們一直都在采取一種由外向內(nèi)的方法，專注于邊界安全和防火墻。但是，網(wǎng)絡(luò)發(fā)展到今天早已今非昔比，沒有了所謂的邊界，我們的世界需要互聯(lián)，我們的企業(yè)需要打開互聯(lián)網(wǎng)的大門來做生意。

我們的很多組織認為自己還處在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，卻沒有意識到自己的網(wǎng)絡(luò)環(huán)境根本沒有界限，邊界早已不復(fù)存在。我們在家中購買的設(shè)備是為了和外界相互溝通，在企業(yè)里的情況也并沒有什么不同。

網(wǎng)絡(luò)非常具有穿透性，并且隨著物聯(lián)網(wǎng)時代到來，這一趨勢將愈演愈烈。我們的一個基本的方針就是不要再為我們的基礎(chǔ)設(shè)施設(shè)置樊籬了，我們應(yīng)該認識到，設(shè)備的作用就是用來溝通的。

很多公司了解到自己公司的網(wǎng)絡(luò)受到比預(yù)期多得多的攻擊時，往往驚訝不已，但作為安全專業(yè)人士我們早已見多不怪了。如果一個傳統(tǒng)的系統(tǒng)包含有數(shù)據(jù)庫、服務(wù)器和客戶端，那么我們就認為其處理的瀏覽器連接是不受信任的。對于這樣的企業(yè)，風險主要在于備份、災(zāi)難恢復(fù)、事件響應(yīng)和任何其他外包的未經(jīng)編輯、加密、審計的連接。

從歷史上看，網(wǎng)絡(luò)安全都集中在端口和協(xié)議，依賴于掃描網(wǎng)絡(luò)流量的能力，屬于典型的企業(yè)網(wǎng)絡(luò)邊界的范疇。在傳統(tǒng)的網(wǎng)絡(luò)安全中，保護網(wǎng)絡(luò)的措施包括防火墻、入侵防御系統(tǒng)(IPS)、安全WEB網(wǎng)關(guān)(SWG)、分布式拒絕服務(wù)(DDoS)保護、虛擬專用網(wǎng)(VPN)等等。

其實，環(huán)境感知型網(wǎng)絡(luò)安全就已經(jīng)模糊了網(wǎng)絡(luò)安全和應(yīng)用程序安全之間的界限，網(wǎng)絡(luò)安全應(yīng)用程序和軟件與端點保護設(shè)備的集成同樣也在模糊著兩者之間的界限。然而，網(wǎng)絡(luò)安全仍然依賴于對企業(yè)網(wǎng)絡(luò)流量的掃描能力。

應(yīng)用程序安全帶來的挑戰(zhàn)

云計算和移動應(yīng)用程序的大范圍普及也在摧毀著傳統(tǒng)網(wǎng)絡(luò)安全的邊界圍墻。企業(yè)員工已經(jīng)在公司日常業(yè)務(wù)中大量使用基于云計算的企業(yè)應(yīng)用程序和移動應(yīng)用程序，這些基于云計算的應(yīng)用程序仍然必須得到安全保護。從另一方面講，應(yīng)用程序安全性更加側(cè)重于應(yīng)用程序如何操作以及如何在這些操作中查找異常操作。

應(yīng)用程序安全包含WEB應(yīng)用程序防火墻、數(shù)據(jù)庫安全、郵件服務(wù)器安全、瀏覽器安全和移動應(yīng)用安全。當然，我們也可以將應(yīng)用程序代碼的動態(tài)測試和靜態(tài)測試也包含進去，雖然這些通常是在企業(yè)應(yīng)用程序發(fā)布到生產(chǎn)環(huán)境之前就已經(jīng)完成的。

在我們想要保護的東西中建立安全機制不僅對于將來至關(guān)重要，對于當前也是如此。連接即是價值，而非什么趕時髦。在設(shè)備之間進行連接和建立信任的能力才是設(shè)備所具備的真正價值。

那些繼續(xù)把資源集中到網(wǎng)絡(luò)安全的組織當然也不能說其南轅北轍或是背道而馳，畢竟網(wǎng)絡(luò)安全的問題并沒有消失，并且還會一直存在下去。只是其他方面的安全挑戰(zhàn)已經(jīng)躍然其上，不得不引起足夠的重視了。

設(shè)置風險優(yōu)先級

關(guān)鍵資產(chǎn)外部的邊界是相當脆弱的，因為我們現(xiàn)在的網(wǎng)絡(luò)構(gòu)架早已不是當年的組織內(nèi)網(wǎng)加有限的外部接入了，在互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)的接入早已成為主流，而在互聯(lián)網(wǎng)接入過程中，大量的應(yīng)用程序和資源都會暴露在互聯(lián)網(wǎng)上。

在互聯(lián)網(wǎng)時代，尤其是當前正在高速進入的移動互聯(lián)網(wǎng)時代，外部用戶對組織網(wǎng)絡(luò)的接入，也已經(jīng)不再局限于使用單位辦公網(wǎng)絡(luò)進行接入了，繁忙的商務(wù)人士隨身攜帶筆記本，隨時隨地通過其他的網(wǎng)絡(luò)訪問著各個組織的應(yīng)用程序，甚至每個人也在到處尋找WIFI，走到哪里都是低頭一族，而這些其他的網(wǎng)絡(luò)大部分都是未知的網(wǎng)絡(luò)，其安全狀況完全是未知的，很容易給網(wǎng)絡(luò)攻擊制造切入點。

為了更好的保護自己，安全團隊應(yīng)當首先搞清楚已經(jīng)得到保護有哪些，還未得到保護而又亟待需要保護的又有哪些。我們應(yīng)該對這些設(shè)定風險優(yōu)先級并分步實施，特別是當我們資源有限的情況下。合理分配資源

對于任何安全團隊最大挑戰(zhàn)就是把時間、精力和資源全部都用到刀刃上。為了更好地利用好有限的資源，我們還需要了解最新的漏洞，并能夠快速分析和理解這些漏洞可能所帶來的影響。

信息網(wǎng)絡(luò)安全歷來側(cè)重于保護周邊邊界，但隨著互聯(lián)網(wǎng)的普及和移動應(yīng)用時代的到來，越來越多的信息通過網(wǎng)絡(luò)和應(yīng)用程序暴露在互聯(lián)網(wǎng)上，這才是各個公司當下所面臨的挑戰(zhàn)。

如今的信息網(wǎng)絡(luò)安全已經(jīng)不單單是網(wǎng)絡(luò)安全問題或應(yīng)用程序安全的問題了，它已經(jīng)上升到了組織風險管理的層面了。我們當前最實際的解決方案應(yīng)當基于數(shù)據(jù)或應(yīng)用程序的敏感性，并結(jié)合對風險高低的評估來設(shè)定優(yōu)先級。

無論是應(yīng)用程序和還是網(wǎng)絡(luò)都存在風險，并且有遭遇惡意黑客通過接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)或應(yīng)用程序內(nèi)部來獲取敏感信息的可能。我們要對我們的基礎(chǔ)設(shè)施了如指掌，對我們的應(yīng)用程序的對外暴露情況心知肚明。

這不是二選一的問題。我們不能只固守網(wǎng)絡(luò)安全，而忽視應(yīng)用程序安全，同時，也不能只重視應(yīng)用程序安全，而忽略了網(wǎng)絡(luò)安全。我們需要在網(wǎng)絡(luò)安全和應(yīng)用程序安全中更合理的分配資源。而所謂的合理分配，應(yīng)當是基于我們從風險的角度對兩者進行分析和權(quán)衡的結(jié)果。

分享文章：是網(wǎng)絡(luò)安全重要還是應(yīng)用程序安全重要?
轉(zhuǎn)載來于：http://m.fisionsoft.com.cn/article/ccogopd.html

新聞中心

其他資訊