應用安全建設論文

導語：應用安全建設論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1應用安全問題分析

1.1傳統意義上的應用安全

在等級保護國家技術標準中，對應用提出了身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制七個方面的安全要求。南京地稅信息化起步早，程度高，應用項目眾多，早期應用在開發階段對安全考慮不周，導致其先天性安全防護措施不足。在等級保護整改過程中，我局碰到早期應用不符合應用安全要求，但為保證業務持續性只能選擇接受風險。這就要求我們必須在運行維護階段做好應用安全管控。同時，早期應用下線退出時，也必須做好應用安全相關工作。

1.2南京地稅應用安全特點分析

南京地稅做為南京市政府部門信息化的先行者，已實現內部網絡和外部網絡（互聯網、其他單位網絡）的隔離，業務網和政務網的隔離。網絡的封閉性決定其對病毒、入侵的抵御有先天的優勢，同時大部分地稅應用是地稅自主開發，與互聯網應用有較大的區別。南京地稅網絡隔離、應用可知、設備可控等特點，為地稅應用安全提供了完全可以優于業界的基礎條件。我們對地稅應用進行分析，提煉出應用的特征字段，以實現對應用的自動識別。以應用特征確定應用作為安全保障對象，將網絡數據分成合法應用數據和非法數據，有效管理非法應用和未知鏈接，實現對運行維護階段應用的安全防護。

2地稅應用安全管控的實現

南京地稅嘗試對應用安全管控系統開展研究工作中，實現應用安全四大目標：全生命周期應用安全管理、違規行為發現、訪問關系管理、安全事件發現。

2.1全生命周期應用安全管理

全生命周期應用安全管理包括應用開發設計階段安全、運行維護階段安全、退出廢棄階段安全。應用安全管控平臺能加強全生命周期應用安全管理。一是加強應用上線階段安全管理。通過特征庫智能識別應用，實現全網應用清理，發現未知應用。二是加強應用運行階段安全管理。對識別出的應用的流量、轉接數、RTT進行監控。同時以現實應用數據建立應用安全基線，總結應用項目運行規律，發現應用偏離基線及時報警。三是加強應用下線階段安全管理。監控在應用特征庫中長期為有用戶訪問的應用，為應用下線管理提供有力證據。應用安全管控平臺實現全生命周期應用安全管理，做到應用安全運行“看得到、說得清、管得住”。

2.2違規行為發現

在實際工作中發現，經過應用白名單過濾后的可疑數據不一定是病毒、木馬等安全事件，更大可能是用戶違規行為。違規行為指未被允許進行或不符合信息安全需要的行為，該行為雖然暫進不會對信息系統安全造成威脅，但會成為安全隱患。

2.3訪問關系管理

現在安全域間都部署了防火墻進行隔離，但隨著時間的推移，部分舊策略或臨時策略由于沒有及時清理，日積月累，防火墻策略的逐漸膨脹，導致策略說不明、理不清。應用安全管控系統的應用白名單是根據應用邏輯、安全規定由實際網絡數據生成，代表了應用的安全訪問關系。兩個安全域間的應用白名單形成兩個域間的訪問關系表，安全訪問關系表與防火墻策略匹配，實現統一的訪問控制策略管理，發現防火墻中不符合安全要求的策略，定期為防火墻策略進行清理。

2.4安全事件發現

面對海量的安全報警，安全管理者都希望安全產品既能有效檢測出安全事件，又可以減少錯誤的報警。實際上在眾多數據中準確發現安全事件是有難度的。但如果能將正常應用流量從整體流量中分離，只針對可疑流量進行安全分析，便能大大減少錯誤和重復的報警數。應用白名單將應用數據和可疑數據分離，重點針對可疑數據分析，可以提供發現安全事件的準確率。同時，可以利用數據分離對應用項目進行整理，發現用戶自建未備案應用，加強應用項目管理。

3應用安全展望

應用安全是信息系統安全防護的重要組成部分，也是南京地稅信息安全的下一步發展重點，展望未來，結合其信息化建設現狀，管理與技術并重，以自主知識產權和國產化信息裝置為基礎，建成等級保護深度防御體系。在建設過程中，遵循統籌規劃、深度防御，統一標準、統一規范，自主產權、國產為主，強化管理、注重技術的原則。我們可以對應用安全管控進行拓展，實現大數據環境下的行業模式分析和安全云計算。

作者:薛劍秋朱嵐周建偉劉芝月單位:江蘇省南京地方稅務局電子稅務管理中心