很多企业关注到应用系统安全,从接到协查通报开始。还有一些企业,是因为真的发生了安全事件,比如敏感信息泄露造成损失。
应用系统安全如何加固和预防?有五点建议。
第一,发现问题后,立刻开展漏洞扫描和渗透测试。为什么被通报,是因为被用漏洞扫描工具扫描,所以如果能够将漏扫做到前面,可以很大程度上避免。当然,最好是使用多种工具交叉扫描。
还有就是渗透测试,渗透测试就是安全专家模拟攻击者可能的攻击方法,发现潜在的漏洞并进行封堵。不断修缮堡垒,不给攻击者机会。攻击者在攻击之前,也是会进行漏扫和渗透,如果发现异常坚固就会放弃,因为继续下去,攻击者的成本也很高。
第二,减少攻击面。如何减少攻击面,说起来也很简单,就是能不对外的系统坚决不对外。非要外部访问的系统,优先通过VPN访问。对于大部分企业来说,难的地方在于改变习惯,原来在外部可以访问的系统,现在要通过VPN访问,安全性是增加了但也更麻烦了。这时候管理者的决心就很重要,其实在一些特别强调安全的行业,比如金融行业,通过VPN访问外部系统已是基本要求。其他行业迟早也会这样的,如果对内访问的OA系统放到公网上,最终的结果肯定是被攻破。
第三,加强防护。如果确实需要对外的业务,比如官网,比如对外运营系统,就需加强安全防护。应用层防火墙(WAF)是必须的,有明显的效果,可以将常见的攻击自动拦截。
第四,在编码阶段引入安全要求。如果是自研应用,编码阶段的代码安全扫描,软件成分检查,可以提前发现潜在漏洞,极大减少应用系统上线以后的安全投入成本。如果是外采得软件,也可以要求提供渗透测试报告,证明确实在信息安全方面有评估,是安全的。
第五,在设计阶段引入安全要求。如果能在设计阶段引入安全要求,就能做到应用安全的全周期覆盖,可以极大提高信息安全水平,极大减少后期的安全投入。其实,成熟的商业软件都是这样做的,注意这里说的成熟商业软件,不包括某些知名度很高,但是安全措施一塌糊涂,被喻为漏洞之王的软件。如何识别这样的商业软件其实很简单,就是看看这些软件的官网有没有漏洞通知,以及安全中心。如果有安全中心,有漏洞披露,说明这些企业有责任心,重视安全,反而可以信赖。
上面的一、二、三点适合于发生了安全事件亡羊补牢,四、五点适合未发生事件时练习内功,应用系统安全要做好需内外兼修。
