论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
 文章标题 : 【涂鸦】应用安全大杂烩
帖子发表于 : 2007-11-13 16:22 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,467.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
开一个帖子,专门讨论一些跟应用层安全有关的技术和方案,交流一下从业人员对于这一领域的理念和观点,这部分内容涉及面也很广泛,所以不可能一次把所有话都说利索,还是看时间和状态方便,慢慢的侃吧。 :lol: :lol: :lol: :lol:


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-11-13 16:44 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,467.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
到底应用安全包括什么?

其实很多产品和机制,大家都已经接触过,或者比较了解了,总体来说,一个完整的应用安全解决方案可以简单归纳为4A+S

A 身份管理 (身份标识管理、单点登录管理)

A 身份认证 (基本认证手段、双因素认证、多因素认证)

A 授权管理 (DAC/MAC/RBAC)

A 操作审计 (这个就没啥可说的了)

S 安全传输 (注意是应用层的,类似于IPSec之类的其他机制不在此范围内)

当然,在一部分应用场合中,对于类似抗否认抗抵赖也有特殊的安全需求,如果需要,也可以将其囊括进来。

目前在市场上比较常见的应用安全产品,大致有 统一身份管理和单点登录、身份认证系统(各类动态口令、PKI、甚至包括生物特征识别等)、统一授权和访问控制(基于角色的控制、基于属性证书的PMI体系)、安全审计系统、还有类似于SSL VPN一类的应用层安全传输系统等。

与其他层次的安全机制有所不同,应用层控制机制,其控制的对象是“实体的访问行为”,其中的实体往往主要是人,是用户,人是信息系统面临的最大和最危险的威胁,所以对于人的控制,往往是最为复杂和困难的。而且,从生命周期的角度来看,应用层安全机制往往以实现的预防性(preventive)措施为主,辅助以部分的检测性(Detective)措施,例如审计管理。

由于应用层控制机制直接为应用系统提供保障,因此往往相对来说,与应用业务结合得更为紧密,多数情况下,通用的成熟产品往往还需要进一步的客户化定制开发,才能被部署到特定的应用环境中。当然,很多产品在尽可能实现独立的模块化实现,并且遵循开放的接口标准,这都使得产品的部署和实施能够降低成本和风险。

从一个电子商务应用的案例,来形象认识一下应用层安全的范畴:

网上银行系统,典型的电子商务应用平台,我们可以看到什么呢?

【认证】PKI证书和类动态口令认证机制被广泛使用

【授权】每个用户能访问的服务和系统资源是不同的,换句话说,就是你只能看到自己的那个帐户,只能在里面作操作

【审计】干过啥,都要被记下来,也许没用,没用最好,真出事了,就要查看分析了

【抗否认】关键设计资金流的交易,必须电子签名,避免以后出现否认和抵赖的麻烦和纠纷,打官司也不怕,电子签名法已经推出了

【安全传输】别管是SSL还是HTTPS,总之业务数据的HTTP流,必须在SSL隧道里面保证机密性和完整性

就先说这么多,慢慢再补充了。


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012