应用安全大有可为：目的、挑战、总结 （1）

提到网络安全，以前人们想到的是防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字，现在大家逐步认识到需要安全集成。

然而目前的安全集成还处在初级阶段，往往只是产品的叠加，相互间缺乏标准的通信接口，更为重要的是这些安全产品还不能与应用紧密地结合起来。因此，用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用的安全解决方案。

值得一提的是，从2004年下半年至2005年，国家相关部门、专家学者以及众多安全厂商都对安全管理本身等提出了各自的看法与实践过程。然而在欣喜之余，我们更应该考虑：信息安全，究竟是为了什么？众多应用安全事件，如文后附表所示。

因此，我们不仅需要建立更为稳固与可靠的信息安全管理体系，有效利用现有安全措施和资源，同时我们也需要从另外一种角度——应用层面来思考安全。

应用安全：最终目的

目前，企业必须要支持各种各样的用户群体，这些用户群体需要访问各种重要程度和敏感程度不同的企业信息。我们需要网络足够的安全，但网络安全为日益增长并更加复杂的用户组管理安全的、经过精心处理的资源进行完全的安全防护就显得力不从心了。这也正是目前应用级别的安全对整个企业的安全策略至关重要的原因。那么应用安全的最终目的是什么呢？

其最终目的是实现企业业务应用程序的安全基础架构，这一架构不仅仅要在简化IT业务管理的复杂性同时提升业务效率，更要保障现有的应用基础措施以及业务资产得到充分的保护；前提是所有的业务应用系统必须按照所制定的应用安全规范：定义－设计－开发－部署－维护，进入一个安全的D4M（Define-Design-Develop-Deploy-Maintain）过程。

应用安全：挑战

从概念上，应用安全的目标非常简单：一是不让攻击者访问到任何受保护的资源，二是实施合法用户能够访问业务资源的安全策略并保证这些策略能够被确切得以执行。

很遗憾，达到这些目标实际上非常的困难。

1 2 下一页>>