企业信息安全的一个趋势
2011-03-21 12:52
176 查看
本篇文章版权由ECF和HP所有
大家好,我是中国惠普公司的高朗,非常高兴能在这里分享惠普在企业信息安全方面的观点和思路。
我们就先来讨论一下,黑客技术的发展。企业信息安全经过这么多年的发展,我们可以发现不同时代黑客的攻击方式是不一样的:
从最初的猜密码,暴力破解密码,e-mail炸弹,到基于DNS、基于TCP-IP协议的攻击等,到后来的木马、蠕虫、最近几年大家所熟知的 SQL 注入,跨站等基于应用软件的攻击等。
我们还可以看出,黑客攻击方式有一个很重要的变化,那就是逐渐地从攻击网络,攻击主机到攻击应用软件,攻击客户端。
再来看看我们的安全防御体系。我们的企业中正在使用的是什么?我们可以看到,企业的安全防护体系主要就是在网络上、主机上进行“加层”。加防火墙,加IPS,IDS,等等,这种安全防护体系是完全集中在网络和边界上,在以前很有用,但现在,这种安全防护体系是很不完整的,不能够完全防止黑客攻击。
因为现在的企业软件应用的架构,已经打破了我们这些保护层。现在的应用系统一般都是B/S架构。
这种新的应用软件架构一方面给我们的业务和使用带来了方便,工作/交流/沟通变得十分高效的同时。另一方面,这种架构也给我们的应用安全带来隐患。
用户可直接通过互联网进行访问和使用。我们的传统的,基于网络的防护层被打破。HTTP 80、HTTPS 443端口是不可以封闭的。那是用户使用的端口。
而那些黑客或者说攻击者,就是来自应用系统的用户,他们利用这些打开的端口,对这些应用系统,输入非法的攻击数据,对系统进行攻击。如果应用系统不够健壮不够安全,这些数据进入系统,建立联接,而且达到对私密信息,如数据库的入侵,偷取,破坏等目的。
攻击者经常利用的手段或者说是应用系统漏洞就是 SQL 注入,缓冲区溢出,系统信息泄露,等等。
而他们的成功率高吗?这里IDC的统计数据说:至少75%的企业被成功地攻击过。而据CERT报告:受攻击的企业中55%攻击来自内部人员。
当然,漏洞不止这几种,黑客可利用的漏洞还有很多。大家如果有兴趣可是到OWASP网站学习更多的安全知识。
总结一下,我们刚才讲过一方面黑客的攻击已经转到应用软件上来了,而软件本身的漏洞又不断增长,另一方面,我们的防御方式还是基于网络的防御,很不完整不能满足现在的安全需求。据NIST统计,92%的漏洞是来自应用系统,而不是网络。
那软件安全漏洞产生的根源是什么呢? 我们总结:如今的黑客攻击主要利用软件本身的安全漏洞,这些漏洞是由不良的软件架构和不安全的编码产生的。
基于这个原因,新的防御方案孕于而生:HP Building Security In,构建安全的代码,构建安全的软件。我会在下次与大家分享惠普的应用安全解决方案。
本篇文章版权由ECF和HP所有
大家好,我是中国惠普公司的高朗,非常高兴能在这里分享惠普在企业信息安全方面的观点和思路。
我们就先来讨论一下,黑客技术的发展。企业信息安全经过这么多年的发展,我们可以发现不同时代黑客的攻击方式是不一样的:
从最初的猜密码,暴力破解密码,e-mail炸弹,到基于DNS、基于TCP-IP协议的攻击等,到后来的木马、蠕虫、最近几年大家所熟知的 SQL 注入,跨站等基于应用软件的攻击等。
我们还可以看出,黑客攻击方式有一个很重要的变化,那就是逐渐地从攻击网络,攻击主机到攻击应用软件,攻击客户端。
再来看看我们的安全防御体系。我们的企业中正在使用的是什么?我们可以看到,企业的安全防护体系主要就是在网络上、主机上进行“加层”。加防火墙,加IPS,IDS,等等,这种安全防护体系是完全集中在网络和边界上,在以前很有用,但现在,这种安全防护体系是很不完整的,不能够完全防止黑客攻击。
因为现在的企业软件应用的架构,已经打破了我们这些保护层。现在的应用系统一般都是B/S架构。
这种新的应用软件架构一方面给我们的业务和使用带来了方便,工作/交流/沟通变得十分高效的同时。另一方面,这种架构也给我们的应用安全带来隐患。
用户可直接通过互联网进行访问和使用。我们的传统的,基于网络的防护层被打破。HTTP 80、HTTPS 443端口是不可以封闭的。那是用户使用的端口。
而那些黑客或者说攻击者,就是来自应用系统的用户,他们利用这些打开的端口,对这些应用系统,输入非法的攻击数据,对系统进行攻击。如果应用系统不够健壮不够安全,这些数据进入系统,建立联接,而且达到对私密信息,如数据库的入侵,偷取,破坏等目的。
攻击者经常利用的手段或者说是应用系统漏洞就是 SQL 注入,缓冲区溢出,系统信息泄露,等等。
而他们的成功率高吗?这里IDC的统计数据说:至少75%的企业被成功地攻击过。而据CERT报告:受攻击的企业中55%攻击来自内部人员。
当然,漏洞不止这几种,黑客可利用的漏洞还有很多。大家如果有兴趣可是到OWASP网站学习更多的安全知识。
总结一下,我们刚才讲过一方面黑客的攻击已经转到应用软件上来了,而软件本身的漏洞又不断增长,另一方面,我们的防御方式还是基于网络的防御,很不完整不能满足现在的安全需求。据NIST统计,92%的漏洞是来自应用系统,而不是网络。
那软件安全漏洞产生的根源是什么呢? 我们总结:如今的黑客攻击主要利用软件本身的安全漏洞,这些漏洞是由不良的软件架构和不安全的编码产生的。
基于这个原因,新的防御方案孕于而生:HP Building Security In,构建安全的代码,构建安全的软件。我会在下次与大家分享惠普的应用安全解决方案。
本篇文章版权由ECF和HP所有
相关文章推荐
- 未来趋势:企业信息内容安全重在“控管”
- Oracle信息安全管理架构帮助企业实现“由内到外”的整体安全
- 企业信息与网络通信安全(8)调查问卷
- 欢迎参加51CTO的技术门诊《OSSIM,企业信息安全管理利器》讨论
- 企业要兼顾信息安全 大狼狗安全产品上市
- Atitit cio之道 attilax著 2. CIO是企业组织很重要的一个官员,未来就靠信息取胜了 1 3. Cio职责 2 3.1. 企业信息化 对信息技术的利用来实现组织攻略目标 2 3
- 某省内所有企业交易信息泄漏,不知道你是其中的一个吗?
- 企业内网信息安全实践-记ChinaUnix技术交流
- DLP和DRM厂商合作推动企业信息安全保护
- Oracle信息安全管理架构帮助企业实现“由内到外”的整体安全
- 盘点2014信息安全六大趋势
- 企业信息与网络通信安全(4)公司的管理和产权
- 入侵侦测强化企业信息安全
- 企业信息安全之社工学审计
- 某省内所有企业交易信息泄漏,不知道你是其中的一个吗?
- 下载基于REST、SPDY、异步IO深入规模化网络、信息安全、通信优化企业应用系统
- 一起来学信息安全知识(1)——一个小故事的大道理
- 信息安全企业需要怎样的绩效管理