應用安全改造的要點(diǎn)與難點(diǎn)

算機與網(wǎng)技術(shù)論壇應用安全改造的要點(diǎn)與難點(diǎn)李陽(yáng)(上海三零衛士信息安全有限公司,上海200000[摘要]基于等級保護應用安全的要求,結合應用安全咨詢(xún)經(jīng)驗,分析了應用安全主要問(wèn)題點(diǎn),針對性的從應用安全功能和應用安全場(chǎng)景兩大維度提出了應用安全改造的要點(diǎn),剖析了應用安全改造整個(gè)過(guò)程中主要的難點(diǎn),并明確了應用安全改造后的驗證的重要性。[關(guān)鍵詞]應用安全改造等級保護安全功能安全場(chǎng)景中圖分類(lèi)號:TN91508文獻標識碼:A文章編號:1008-1739(2015)16-73-3ain Points and Difficulties of Application Security reformLI Yang(Shanghai 30wish Information Security Co, Ltd, Shanghai 200000, ChinAbstract: Based on the requirement of classified protection application security, combined with application security consultingexperience, analyze the main problems, from the application security function and security scenario, put forward the main points of theapplication security reform, analyze the main difficulties in the whole process, and made clear the importance of the application securityverification after reformingKey words: application security; level protection; safety function; security scenario1引言2應用安全主要問(wèn)題點(diǎn)結合近幾年等級保護咨詢(xún)和客戶(hù)單位的等級測評結果分等級保護機制促進(jìn)了信息系統的安全保障,在應用安全而如何進(jìn)行應用安全改造成了系統安全責任單位應用安全保下9個(gè)現狀,可發(fā)現當前應用安全的問(wèn)題點(diǎn)主要集中在以析應用安層面,提出了具體的基本要求,也明確了詳細的測評指標身份鑒別,未實(shí)現雙因素身份鑒別機制和登錄失敗處理功障的薄弱環(huán)節,缺乏系統性的應用安全改造指導建議。同時(shí)應用開(kāi)發(fā)商在面對已發(fā)現的應用安全風(fēng)險和不足點(diǎn)時(shí),也缺應用安全改造方向,在進(jìn)行應用安全改造時(shí),無(wú)法有效的判訪(fǎng)問(wèn)控制,對重要信息資源未設置敏感標記及嚴格控制用戶(hù)相關(guān)操作;斷應用安全改造的可行性和價(jià)值,加上多種新型應用環(huán)境的安全審計,僅實(shí)現用戶(hù)登錄登出操作記錄,未實(shí)現用戶(hù)大出現,進(jìn)一步加大了應用安全改造的難點(diǎn)和深度。本文為本人容性操作的審計報表憑借近些年有關(guān)網(wǎng)絡(luò )信息安全方面的咨詢(xún)經(jīng)驗,尤其是等級剩余信息保護,未有效進(jìn)行空間釋放及信息清除保護建設與整改的經(jīng)歷,結合對等級保護基本要求中應用安通信完整性,未采用密碼技術(shù)保證通信過(guò)程中數據的完整全層面的深度理解,分析總結出有關(guān)應用安全改造的要點(diǎn)和難點(diǎn),尤其在改造要點(diǎn)方面針對主要問(wèn)題點(diǎn)逐一展開(kāi)安全功通信保密性,未實(shí)現對整個(gè)報文及會(huì )話(huà)過(guò)程加密能的實(shí)現論述。整篇文章可供安全責任單位、應用開(kāi)發(fā)商及安抗抵賴(lài)方面,未實(shí)現有關(guān)數據原發(fā)和接接收的數據原發(fā)證全咨詢(xún)機構等單位在應用安全改造環(huán)節時(shí)參考。據的功能軟件容錯定稿日期:2015-07-26TH中國煤化工時(shí),應用系統無(wú)CNMHG技術(shù)論壇算機與網(wǎng)絡(luò )資源控制,缺乏對應用系統的最大并發(fā)會(huì )話(huà)連接數、單個(gè)操作,保證應用系統按照安全策略進(jìn)行了合理、正確的訪(fǎng)間控賬戶(hù)的多重并發(fā)會(huì )話(huà)數以及一個(gè)時(shí)間段內可能的并發(fā)會(huì )話(huà)連制配置接數的限制;對資源分配未設置最大限額和最小限額;未實(shí)現3.1.3安全審計根據服務(wù)優(yōu)先級分配系統資源。為了保持對應用系統的運行情況以及系統用戶(hù)行為的跟蹤,以便事后追蹤分析,安全審計功能實(shí)現必不可少。然而應3應用安全改造要點(diǎn)用系統開(kāi)發(fā)時(shí),基本上都不會(huì )開(kāi)發(fā)應用系統自身的日志及審計功能模塊,用來(lái)對應用用戶(hù)的各種行為、操作進(jìn)行記錄和審應用系統面臨的風(fēng)險是來(lái)自多方面的,不僅來(lái)自于應用計,或者對應用用戶(hù)僅記錄登錄、登出等登錄信息。而且目前軟件自身、所依托的支撐平合(包括服務(wù)器操作系統、網(wǎng)絡(luò )平市場(chǎng)上的安全審計類(lèi)產(chǎn)品,大部分都是針對網(wǎng)絡(luò )、操作系統和臺和支撐軟件等),在客戶(hù)端、應用協(xié)議等方面,風(fēng)險也是無(wú)所數據庫這類(lèi)標準件、成熟產(chǎn)品的,針對個(gè)性化很強的應用系統不在的;加之移動(dòng)應用、云服務(wù)等新技術(shù)的誕生與發(fā)展,進(jìn)的安全審計功能的產(chǎn)品極少。故在應用安全改造時(shí),應用系統步誘發(fā)新的風(fēng)險。應用安全的改造已從早期的安全功能實(shí)現,的審計功能的實(shí)現尤為重要逐漸轉變成體系性的集安全功能、安全場(chǎng)景于一體的安全再3.14剩余信息保護建設。為防止存儲在硬盤(pán)、內存或緩沖區中的信息被非法授權3.1應用安全功能的訪(fǎng)問(wèn),應用系統必須加強硬盤(pán)、內存或緩沖區中剩余信息的應用安全應能從需求、設計、編碼、測試以及發(fā)行等各個(gè)保護。同時(shí),應用系統必須將文件、目錄和數據庫記錄等資源階段加強安全性考慮,盡可能避免和消除漏洞,即建設單位應清除后才能分配給其他用戶(hù)。明確安全需求,包括系統本身的業(yè)務(wù)需求、國家政策、標準、行對內存中剩余信息保護的重點(diǎn)是,在釋放內存前,將內存業(yè)規范等合規性要求,并將安全需求傳達給應用開(kāi)發(fā)商,應用中存儲的信息刪除,即將內存清空或者寫(xiě)入隨機的無(wú)關(guān)信息開(kāi)發(fā)商在知曉相關(guān)安全需求的基礎上,基于軟件安全開(kāi)發(fā)硬盤(pán)中剩余信息保護的重點(diǎn)是,在刪除文件前,將對文件中存型,進(jìn)行軟件的安全開(kāi)發(fā)。儲的信息進(jìn)行刪除,即將文件的存儲空間清空或者寫(xiě)人隨機而應用安全改造,實(shí)際上也是應用安全需求一安全設計的無(wú)關(guān)信息。安全編碼一安全測試等階段的又一次周期性實(shí)現;同時(shí),軟對剩余信息的清除是會(huì )對應用系統的性能造成影響的,件的安全漏洞可以在軟件開(kāi)發(fā)生命周期的任何階段被引入相對于寫(xiě)入垃圾數據的方式,清空存儲區或者文件的方式對因此在應用安全改造過(guò)程中,安全開(kāi)發(fā)意識應貫穿整個(gè)應用能的影響更3.1.5通信完整性合等級保護三級應用安全主要問(wèn)題點(diǎn),可分析出當前為防止數據傳輸時(shí)被篡改,應用系統應實(shí)現通訊雙方利應用安全開(kāi)發(fā)應主要關(guān)注以下方面。用密碼算法(如利用Hash函數計算通信數據的散列值,并用3.1.1身份鑒別非對稱(chēng)加密算法對散列值進(jìn)行加解密)來(lái)保證通信過(guò)程數據對登錄的用戶(hù)進(jìn)行身份鑒別,確保只有通過(guò)驗證的的用的完整性。戶(hù)才能在系統規定的權限內進(jìn)行操作。當前最常見(jiàn)的應用雙3.1.6通信保密性因素身份鑒別通常采用用戶(hù)名/口令與CA認證組合身份認為防止發(fā)生通信過(guò)程中的信息泄露,在通信雙方建立連證實(shí)現。CA認證作為身份鑒別機制,對應用安全身份驗證起接之前,應用系統應利用密碼技術(shù)進(jìn)行會(huì )話(huà)初始化驗證。對到了顯著(zhù)的作用。同時(shí),為了防止非授權用戶(hù)對應用系統用戶(hù)通信過(guò)程加密的范圍為整個(gè)報文或會(huì )話(huà)過(guò)程。即,需要改進(jìn)開(kāi)的身份鑒別信息進(jìn)行暴力猜測,應用系統需實(shí)現登錄失敗發(fā)架構,服務(wù)器與客戶(hù)端的數據傳輸不要使用明文方式或易理功能,如采取結束會(huì )話(huà),限制非法登錄次數,當登錄連接超破解方式;使用加密通訊方式,如B/S架構的應用系統,使用htps協(xié)議,而不要使用htp協(xié)議;必要時(shí),使用專(zhuān)業(yè)加密機3.1.2訪(fǎng)問(wèn)控制類(lèi)設備應用系統的訪(fǎng)問(wèn)控制能力,是保證應用系統合法地使用4應用安全改造難點(diǎn)的重要措施。通過(guò)安全策略,控制用戶(hù)對客體的訪(fǎng)問(wèn)權限。尤其重要信息資源,如應用系統中的身份證號、手機號等信息,41應用安全改中國煤化工須進(jìn)行敏感標記,控制用戶(hù)對有敏感標記重要信息資源的應用開(kāi)發(fā)安CNMHG安全開(kāi)發(fā)模算機與網(wǎng)絡(luò )「技術(shù)論壇型、安全管理流程),應用安全改造能力低下,甚至不凊楚如何系統風(fēng)險評估的結果報告等結果,以及應用安全改造過(guò)程中改善所面臨的應用安全問(wèn)題。尤其是軟件開(kāi)發(fā)人員大多數僅所發(fā)現的整改初期未意識到的問(wèn)題,從而整體上把握應用安會(huì )進(jìn)行軟件功能的實(shí)現,不知道如何將安全需求、安全要求和全改造的完善性編程方法相結合。應用安全改造后的驗證最好的方式是進(jìn)行新一輪的應用4.2應用安全改造推動(dòng)力薄弱安全檢測,即基于等級保護要求第三極的應用安全要求進(jìn)行應用安全的改造成本相比新建應用的成本,在大多數情應用系統的安全實(shí)現差距再分析,同時(shí)結合應用漏洞掃描、滲況下,顯得較高,應用需求方和應用開(kāi)發(fā)商均覺(jué)得應用安全改透測試以及應用安全評估進(jìn)行全方面的檢測,叫以評估應用安造的意義不如待新版系統升級時(shí)一并考慮,便導致目前很多全改造的成果。應用需求方知曉當前所面臨的安全問(wèn)題,但基于成本效益原則,暫不處理,讓?xiě)孟到y繼續暴露在當前的網(wǎng)絡(luò )環(huán)境中存6結束語(yǔ)在嚴重的安全隱患4.3應用行業(yè)的特殊性要求本文指明了等級保護應用安全改造的要點(diǎn)和難點(diǎn),提出每個(gè)行業(yè)都有其自身的特殊性要求,對于應用開(kāi)發(fā)商來(lái)從身份鑒別、訪(fǎng)間控制、安全審計剩余信息保護通信完整說(shuō),對行業(yè)所具有的特殊性很可能把握不足,或者對個(gè)別行業(yè)性、通信保密性、抗抵賴(lài)、軟件容錯、資源控制等安全功能展開(kāi)改造;站在應用安全保證的基礎上,分析出應用安全改造水平分析不透徹,必然會(huì )對應用安全的改造造成一定的難度。如醫療衛生行業(yè)應用系統涉及病患者診療等強隱私性的敏感信差異推動(dòng)力薄別,行業(yè)特朱性、持續性等主要難點(diǎn);并提出應息,因此它在可靠性、穩定性、安全性等性能上比其他行業(yè)更用安全改造驗證的重要性,有效保障了應用安全改造閉環(huán)的為重要參考文獻5應用安全改造后的驗證]GB/T25070-2010信息系統等級保護安全設計技術(shù)要求驗證應用安全改造成功與否是應用安全整個(gè)改造環(huán)節中(2GB/T22392008信息安全技術(shù)信息系統安全等級保護不可或缺的一部分,不應該僅僅根據系統整改環(huán)節明確的應基本要求S用安全整改計劃中所確認的整改內容,還應結合不當初的安3GA/T712-207信息安全技術(shù)應用軟件系統安全等級保全測評報告中的應用安全部分的內容、應用掃描漏洞報告和護通用測試指南SJD. Power客戶(hù)滿(mǎn)意度啁查富上施樂(lè )連續6年蟬聯(lián)榜首近日,全球市場(chǎng)信息服務(wù)機構 J D. Power亞太公司發(fā)布和服務(wù)幫助客戶(hù)創(chuàng )造更多價(jià)值了“2015日本彩色復印機客戶(hù)滿(mǎn)意度指數調查”和“2015日本此次報告是JD. Power亞太公司于今年5月在日本進(jìn)行彩色打印機客戶(hù)滿(mǎn)意度指數調査”報告。調查結果顯示,富土的年度調查成果。調查主要面向日本國內30人以上規模的企施樂(lè )株式會(huì )社以絕對優(yōu)勢高居榜首,這是富士施樂(lè )連續第6業(yè)。針對彩色復印機和彩色打印機的調查分別收到了6,688份咩聯(lián)客戶(hù)滿(mǎn)意度調查冠軍。和2,396份有效回復。JD. Power目前還未在日本以外的其他在此次調查中,富士施樂(lè )在“產(chǎn)品”和“銷(xiāo)售代表及裝機服市場(chǎng)進(jìn)行該調查?！眱身椫苯佑绊懻w客戶(hù)滿(mǎn)意度分數權重的指標上均獲得長(cháng)期以來(lái),富士施樂(lè )秉承“客戶(hù)至上”的原則不斷努力提了最高分升客戶(hù)滿(mǎn)意度,并獲得了市場(chǎng)和各國客戶(hù)的好評。在JD富土施樂(lè )始終視客戶(hù)滿(mǎn)意為企業(yè)經(jīng)營(yíng)的基礎。早在201 Power亞太公司的《日本I解決方案供應商客戶(hù)滿(mǎn)意度調查》年,富士施樂(lè )便制定了《客戶(hù)滿(mǎn)意行動(dòng)指南》,這不僅使令每位中,富士施樂(lè )連續三年蟬聯(lián)第一。同時(shí),在《日經(jīng)電腦》2013直接面對客戶(hù)的銷(xiāo)售,甚至連研發(fā)部門(mén)以及總部的所有員工2014年發(fā)布的“客戶(hù)滿(mǎn)意度調查”中,富士施樂(lè )連續兩年獲得都能為實(shí)現客戶(hù)滿(mǎn)意而努力行動(dòng)?！荰咨詢(xún)/上游設計服務(wù)類(lèi)排名第一。值得一提的是,富士施樂(lè )富士施樂(lè )將繼續為客戶(hù)提供具有行業(yè)最高美譽(yù)度的產(chǎn)有限公司自2012TH中國煤化工度第品,并致力于成為客戶(hù)最信賴(lài)的合作伙伴,以最優(yōu)的解決方案CNMHG(王進(jìn))