應(yīng)用安全建設(shè)論文

導(dǎo)語：應(yīng)用安全建設(shè)論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1應(yīng)用安全問題分析

1.1傳統(tǒng)意義上的應(yīng)用安全

在等級保護國家技術(shù)標(biāo)準(zhǔn)中，對應(yīng)用提出了身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制七個方面的安全要求。南京地稅信息化起步早，程度高，應(yīng)用項目眾多，早期應(yīng)用在開發(fā)階段對安全考慮不周，導(dǎo)致其先天性安全防護措施不足。在等級保護整改過程中，我局碰到早期應(yīng)用不符合應(yīng)用安全要求，但為保證業(yè)務(wù)持續(xù)性只能選擇接受風(fēng)險。這就要求我們必須在運行維護階段做好應(yīng)用安全管控。同時，早期應(yīng)用下線退出時，也必須做好應(yīng)用安全相關(guān)工作。

1.2南京地稅應(yīng)用安全特點分析

南京地稅做為南京市政府部門信息化的先行者，已實現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)、其他單位網(wǎng)絡(luò)）的隔離，業(yè)務(wù)網(wǎng)和政務(wù)網(wǎng)的隔離。網(wǎng)絡(luò)的封閉性決定其對病毒、入侵的抵御有先天的優(yōu)勢，同時大部分地稅應(yīng)用是地稅自主開發(fā)，與互聯(lián)網(wǎng)應(yīng)用有較大的區(qū)別。南京地稅網(wǎng)絡(luò)隔離、應(yīng)用可知、設(shè)備可控等特點，為地稅應(yīng)用安全提供了完全可以優(yōu)于業(yè)界的基礎(chǔ)條件。我們對地稅應(yīng)用進(jìn)行分析，提煉出應(yīng)用的特征字段，以實現(xiàn)對應(yīng)用的自動識別。以應(yīng)用特征確定應(yīng)用作為安全保障對象，將網(wǎng)絡(luò)數(shù)據(jù)分成合法應(yīng)用數(shù)據(jù)和非法數(shù)據(jù)，有效管理非法應(yīng)用和未知鏈接，實現(xiàn)對運行維護階段應(yīng)用的安全防護。

2地稅應(yīng)用安全管控的實現(xiàn)

南京地稅嘗試對應(yīng)用安全管控系統(tǒng)開展研究工作中，實現(xiàn)應(yīng)用安全四大目標(biāo)：全生命周期應(yīng)用安全管理、違規(guī)行為發(fā)現(xiàn)、訪問關(guān)系管理、安全事件發(fā)現(xiàn)。

2.1全生命周期應(yīng)用安全管理

全生命周期應(yīng)用安全管理包括應(yīng)用開發(fā)設(shè)計階段安全、運行維護階段安全、退出廢棄階段安全。應(yīng)用安全管控平臺能加強全生命周期應(yīng)用安全管理。一是加強應(yīng)用上線階段安全管理。通過特征庫智能識別應(yīng)用，實現(xiàn)全網(wǎng)應(yīng)用清理，發(fā)現(xiàn)未知應(yīng)用。二是加強應(yīng)用運行階段安全管理。對識別出的應(yīng)用的流量、轉(zhuǎn)接數(shù)、RTT進(jìn)行監(jiān)控。同時以現(xiàn)實應(yīng)用數(shù)據(jù)建立應(yīng)用安全基線，總結(jié)應(yīng)用項目運行規(guī)律，發(fā)現(xiàn)應(yīng)用偏離基線及時報警。三是加強應(yīng)用下線階段安全管理。監(jiān)控在應(yīng)用特征庫中長期為有用戶訪問的應(yīng)用，為應(yīng)用下線管理提供有力證據(jù)。應(yīng)用安全管控平臺實現(xiàn)全生命周期應(yīng)用安全管理，做到應(yīng)用安全運行“看得到、說得清、管得住”。

2.2違規(guī)行為發(fā)現(xiàn)

在實際工作中發(fā)現(xiàn)，經(jīng)過應(yīng)用白名單過濾后的可疑數(shù)據(jù)不一定是病毒、木馬等安全事件，更大可能是用戶違規(guī)行為。違規(guī)行為指未被允許進(jìn)行或不符合信息安全需要的行為，該行為雖然暫進(jìn)不會對信息系統(tǒng)安全造成威脅，但會成為安全隱患。

2.3訪問關(guān)系管理

現(xiàn)在安全域間都部署了防火墻進(jìn)行隔離，但隨著時間的推移，部分舊策略或臨時策略由于沒有及時清理，日積月累，防火墻策略的逐漸膨脹，導(dǎo)致策略說不明、理不清。應(yīng)用安全管控系統(tǒng)的應(yīng)用白名單是根據(jù)應(yīng)用邏輯、安全規(guī)定由實際網(wǎng)絡(luò)數(shù)據(jù)生成，代表了應(yīng)用的安全訪問關(guān)系。兩個安全域間的應(yīng)用白名單形成兩個域間的訪問關(guān)系表，安全訪問關(guān)系表與防火墻策略匹配，實現(xiàn)統(tǒng)一的訪問控制策略管理，發(fā)現(xiàn)防火墻中不符合安全要求的策略，定期為防火墻策略進(jìn)行清理。

2.4安全事件發(fā)現(xiàn)

面對海量的安全報警，安全管理者都希望安全產(chǎn)品既能有效檢測出安全事件，又可以減少錯誤的報警。實際上在眾多數(shù)據(jù)中準(zhǔn)確發(fā)現(xiàn)安全事件是有難度的。但如果能將正常應(yīng)用流量從整體流量中分離，只針對可疑流量進(jìn)行安全分析，便能大大減少錯誤和重復(fù)的報警數(shù)。應(yīng)用白名單將應(yīng)用數(shù)據(jù)和可疑數(shù)據(jù)分離，重點針對可疑數(shù)據(jù)分析，可以提供發(fā)現(xiàn)安全事件的準(zhǔn)確率。同時，可以利用數(shù)據(jù)分離對應(yīng)用項目進(jìn)行整理，發(fā)現(xiàn)用戶自建未備案應(yīng)用，加強應(yīng)用項目管理。

3應(yīng)用安全展望

應(yīng)用安全是信息系統(tǒng)安全防護的重要組成部分，也是南京地稅信息安全的下一步發(fā)展重點，展望未來，結(jié)合其信息化建設(shè)現(xiàn)狀，管理與技術(shù)并重，以自主知識產(chǎn)權(quán)和國產(chǎn)化信息裝置為基礎(chǔ)，建成等級保護深度防御體系。在建設(shè)過程中，遵循統(tǒng)籌規(guī)劃、深度防御，統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范，自主產(chǎn)權(quán)、國產(chǎn)為主，強化管理、注重技術(shù)的原則。我們可以對應(yīng)用安全管控進(jìn)行拓展，實現(xiàn)大數(shù)據(jù)環(huán)境下的行業(yè)模式分析和安全云計算。

作者:薛劍秋朱嵐周建偉劉芝月單位:江蘇省南京地方稅務(wù)局電子稅務(wù)管理中心