部署安全“守门员”
为了排除网络中的各个隐患,是不是需要为每套新上线的业务系统都单独配备安全防护?或是对已经部署的业务系统来一次安全代码“大换血”呢?当然,如果你的企业有足够的时间和资金的话,是可以展开这项浩大工程的。不过,最好的方式是在业务系统和访问者之间增加一名“守门员”,来阻止非法用户的侵入,保护企业赖以生存的核心数据资料。
上网行为管理网关能够基于应用进行安全防护
那么具体如何实现呢?针对应用层威胁的特点,并确保行业用户可以遵循国家信息安全等级保护的要求,可以部署满足用户应用安全防护要求的上网行为管理设备。如现在就有通过前置主机的方式,采用应用业务逻辑与安全防护逻辑分离的设计思路,在应用服务器前以透明接入方式部署的上网行为管理网关等设备的方案推出。
其最大优势是在不改变现有应用的前提下,通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术,在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。
部署基于应用识别的网络安全管控设备
因此,可以部署这样的网关便于进行系统故障隔离,保证业务应用人员和应用软件专注于业务处理上,全面提高了企业的工作效率。另外,如果该系统支持针对使用第三方CA证书的行业用户,提供数字证书、用户名/口令字、IP地址及USB KEY等多因子身份认证方式,就更加丰富了防护的手段了。
在具体使用过程中,管理员可以利用实现基于角色(岗位)的访问控制,以及基于SSL协议的安全加密传输通道,确保存取访问和传输过程的安全。在易用性方面,通过为用户提供细致的权限分工及透明的应用,实现了用户应用流程不变、操作习惯不变。而如果该设备支持特有的知识库自学习功能,则可进一步辅助系统安全管理员制定安全策略,减少安全运维管理的工作负担。
综上所述,一台好的上网行为管理网关能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题,可以保证在不改变应用及应用系统的前提下,提高应用的安全保证能力。因此,在金融、通信、能源、交通、政府等关键领域的行业用户都应该行动起来,调整自身的网络安全治理策略,关注和消除在应用层可能出现的“安全短板”。
