基于运营商体系的应用安全
大家第一印象就是外部的病毒入侵、非法以及黑客攻击等等,我觉得网络安全体系的概念更多的是局限于网端和防护,可能以前更多的网络安全的举措都局限在这些方面。
很高兴今天能代表亿阳来参加此次论坛,我们也能和广大行业主管单位、电信运营商以及各位朋友进行很好的交流,今天我演讲的题目叫“基于运营商体系的应用安全”,希望得到在座各位专家的指正。
首先我想说一下为什么要说基于运营商体系应用安全这个概念,我觉得这和现在的运营商在运营中所碰到的问题是息息相关的,我感觉大家第一印象就是外部的病毒入侵、非法以及黑客攻击等等,我觉得网络安全体系的概念更多的是局限于网端和防护,可能以前更多的网络安全的举措都局限在这些方面。现在我们也看到在这方面的技术越来越多,这张图是结合1997年美国经济预测师戴维写的,他认为在当时有四个大的阶段,以主机为中心到以PC为中心,到网络为中心再到内容为中心,他做了一个大胆的预测,到2005还将发生重大的转移,可以把网络Internet比作路,信息就是在路上跑的货车,或者是货车上的货物,可能在网络建设的工作初期我们的工作重点就是如何保护交通的畅通,如何保护我的货物从起始点到重点,随着网络体系的越来越完善,我们发现信息内容本身的安全性越来越成为我们最核心关注的,所以我今天谈的题目是“基于运营商体系的应用安全”。
CIA D实际上抗抵赖性、可审计性是从机密性、完整性和可用性发展出来的,后面的A和D在应用安全当中现在发挥着越来越重要的作用。现在提应用安全其实需求可以说是来自于两方面的驱动力,第一我们可以认为是来自于社会整个运营大环境的要求,比如说社会和运营监管体系上法规的要求,说的最热的像美国的萨巴斯奥特立斯法案,实际上是体系流转中的规则遵循。另外一方面是自发的,来自于企业自身所需求的,比如说应用系统里面的权限认证等一些很现实的问题,实际上这些问题或多或少都会被遇到,这两方面的外动力促成了现在应用安全建设应该是迫在眉睫的。
说一些具体问题,当前企业可能面临哪些问题,这张图实际上是很复杂的访问链条,里面包括运营商企业内部合法的员工以及已经离职的员工,系统供货单位、客户等等,对其中形形色色的应用系统都有不同的权限和访问的管理链,交织起来形成了一个很复杂的网,如何使得这个访问、相关的授权是有效可靠的,其实在这个过程中我们会逐渐遇到很多问题,比如说已经离职的员工,但可能在我们的系统中还是一个合法的,这样的问题就是很现实的问题。
针对应用安全我们怎么来面对,这是亿阳提出针对电信运营商的应用安全的架构(PPT),首先我们认为任何一个安全体系架构是不可能流离于系统之外单独存在的,之所以称为应用安全一定和应用安全体系的流程、管理和所谓的操作是挂起钩来的,这才能真正的一套安全解决方法。分成两个部分,一个是技术标准,另外是规范,这两部分的重要性是等同的,经常有人说七分靠技术、三分靠管理,或者是反过来说三分靠技术、七分靠管理。从我们提出的这种解决方案来讲我们是基于对用户实施应用到整个系统流程梳理的基础上提出的解决架构,以管理为先、技术为辅助的支撑力量。
简单给大家讲一下应用保护构成的图(PPT),左边是系统里面非法用户,右方是身份认证,经过一系列管理手段才可以访问到图下方在他权限之内可以访问到的系统。从这里可以看出如果你不对应进行帐号的匹配、权限的上传、下传是没有办法访问到合理的应用系统当中来的。刚才说了半天说应用安全的体系也好、概念也好,实际上说到最终应用安全是在保护、管理什么,我们认为保护的是有效的信息和资源本身,管理的是没有合法权限访问系统的这些人。所以我们所提出的整套安全体系最核心的目标,就是用户生命周期的问题,每一个用户从你进入到我的企业中来,当然也不光是用户,还有运营商的支持维护人员都可以划在这个体系当中,创建一个合法的用户,你在我这套应用体系当中具有什么样的权限,访问什么样的系统,随着你身份的确立你的这套体系就建立起来了,随着你职位的升迁、部门的调动这套系统会随时随地跟着你,随着你身份的变化进行调整。一直到最后用户离职以后我们可以在系统里把这个人的身份注销掉,回过头来可以在整套用户生命周期管理里面看到你的权限和所经历过的,是紧密和人挂钩的。如果你要想对一个大的内部应用系统有效的管理起来,首先你要能够大规模的支持认证方式,我们认为除了像拨号VPN这种接入方式,Windows这种终端,我们认为所有的应用系统所支持的认证应该支持这些,而且并不仅仅局限于这些应用系统的认证,这样才能够更加广泛和全面支持到全网的使用。在经过了广泛的认证机制以后通过集中认证的管理能够统一下发每一个的权限,或者上传每个人的权限,实现了比较齐备管理的流程。
- 本文关键词:
