算機(jī)與網(wǎng)技術(shù)論壇應(yīng)用安全改造的要點(diǎn)與難點(diǎn)李陽(上海三零衛(wèi)士信息安全有限公司,上海200000[摘要]基于等級(jí)保護(hù)應(yīng)用安全的要求,結(jié)合應(yīng)用安全咨詢經(jīng)驗(yàn),分析了應(yīng)用安全主要問題點(diǎn),針對(duì)性的從應(yīng)用安全功能和應(yīng)用安全場(chǎng)景兩大維度提出了應(yīng)用安全改造的要點(diǎn),剖析了應(yīng)用安全改造整個(gè)過程中主要的難點(diǎn),并明確了應(yīng)用安全改造后的驗(yàn)證的重要性。[關(guān)鍵詞]應(yīng)用安全改造等級(jí)保護(hù)安全功能安全場(chǎng)景中圖分類號(hào):TN91508文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1008-1739(2015)16-73-3ain Points and Difficulties of Application Security reformLI Yang(Shanghai 30wish Information Security Co, Ltd, Shanghai 200000, ChinAbstract: Based on the requirement of classified protection application security, combined with application security consultingexperience, analyze the main problems, from the application security function and security scenario, put forward the main points of theapplication security reform, analyze the main difficulties in the whole process, and made clear the importance of the application securityverification after reformingKey words: application security; level protection; safety function; security scenario1引言2應(yīng)用安全主要問題點(diǎn)結(jié)合近幾年等級(jí)保護(hù)咨詢和客戶單位的等級(jí)測(cè)評(píng)結(jié)果分等級(jí)保護(hù)機(jī)制促進(jìn)了信息系統(tǒng)的安全保障,在應(yīng)用安全而如何進(jìn)行應(yīng)用安全改造成了系統(tǒng)安全責(zé)任單位應(yīng)用安全保下9個(gè)現(xiàn)狀,可發(fā)現(xiàn)當(dāng)前應(yīng)用安全的問題點(diǎn)主要集中在以析應(yīng)用安層面,提出了具體的基本要求,也明確了詳細(xì)的測(cè)評(píng)指標(biāo)身份鑒別,未實(shí)現(xiàn)雙因素身份鑒別機(jī)制和登錄失敗處理功障的薄弱環(huán)節(jié),缺乏系統(tǒng)性的應(yīng)用安全改造指導(dǎo)建議。同時(shí)應(yīng)用開發(fā)商在面對(duì)已發(fā)現(xiàn)的應(yīng)用安全風(fēng)險(xiǎn)和不足點(diǎn)時(shí),也缺應(yīng)用安全改造方向,在進(jìn)行應(yīng)用安全改造時(shí),無法有效的判訪問控制,對(duì)重要信息資源未設(shè)置敏感標(biāo)記及嚴(yán)格控制用戶相關(guān)操作;斷應(yīng)用安全改造的可行性和價(jià)值,加上多種新型應(yīng)用環(huán)境的安全審計(jì),僅實(shí)現(xiàn)用戶登錄登出操作記錄,未實(shí)現(xiàn)用戶大出現(xiàn),進(jìn)一步加大了應(yīng)用安全改造的難點(diǎn)和深度。本文為本人容性操作的審計(jì)報(bào)表憑借近些年有關(guān)網(wǎng)絡(luò)信息安全方面的咨詢經(jīng)驗(yàn),尤其是等級(jí)剩余信息保護(hù),未有效進(jìn)行空間釋放及信息清除保護(hù)建設(shè)與整改的經(jīng)歷,結(jié)合對(duì)等級(jí)保護(hù)基本要求中應(yīng)用安通信完整性,未采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整全層面的深度理解,分析總結(jié)出有關(guān)應(yīng)用安全改造的要點(diǎn)和難點(diǎn),尤其在改造要點(diǎn)方面針對(duì)主要問題點(diǎn)逐一展開安全功通信保密性,未實(shí)現(xiàn)對(duì)整個(gè)報(bào)文及會(huì)話過程加密能的實(shí)現(xiàn)論述。整篇文章可供安全責(zé)任單位、應(yīng)用開發(fā)商及安抗抵賴方面,未實(shí)現(xiàn)有關(guān)數(shù)據(jù)原發(fā)和接接收的數(shù)據(jù)原發(fā)證全咨詢機(jī)構(gòu)等單位在應(yīng)用安全改造環(huán)節(jié)時(shí)參考。據(jù)的功能軟件容錯(cuò)定稿日期:2015-07-26TH中國煤化工時(shí),應(yīng)用系統(tǒng)無CNMHG技術(shù)論壇算機(jī)與網(wǎng)絡(luò)資源控制,缺乏對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)、單個(gè)操作,保證應(yīng)用系統(tǒng)按照安全策略進(jìn)行了合理、正確的訪間控賬戶的多重并發(fā)會(huì)話數(shù)以及一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連制配置接數(shù)的限制;對(duì)資源分配未設(shè)置最大限額和最小限額;未實(shí)現(xiàn)3.1.3安全審計(jì)根據(jù)服務(wù)優(yōu)先級(jí)分配系統(tǒng)資源。為了保持對(duì)應(yīng)用系統(tǒng)的運(yùn)行情況以及系統(tǒng)用戶行為的跟蹤,以便事后追蹤分析,安全審計(jì)功能實(shí)現(xiàn)必不可少。然而應(yīng)3應(yīng)用安全改造要點(diǎn)用系統(tǒng)開發(fā)時(shí),基本上都不會(huì)開發(fā)應(yīng)用系統(tǒng)自身的日志及審計(jì)功能模塊,用來對(duì)應(yīng)用用戶的各種行為、操作進(jìn)行記錄和審應(yīng)用系統(tǒng)面臨的風(fēng)險(xiǎn)是來自多方面的,不僅來自于應(yīng)用計(jì),或者對(duì)應(yīng)用用戶僅記錄登錄、登出等登錄信息。而且目前軟件自身、所依托的支撐平合(包括服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)平市場(chǎng)上的安全審計(jì)類產(chǎn)品,大部分都是針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)和臺(tái)和支撐軟件等),在客戶端、應(yīng)用協(xié)議等方面,風(fēng)險(xiǎn)也是無所數(shù)據(jù)庫這類標(biāo)準(zhǔn)件、成熟產(chǎn)品的,針對(duì)個(gè)性化很強(qiáng)的應(yīng)用系統(tǒng)不在的;加之移動(dòng)應(yīng)用、云服務(wù)等新技術(shù)的誕生與發(fā)展,進(jìn)的安全審計(jì)功能的產(chǎn)品極少。故在應(yīng)用安全改造時(shí),應(yīng)用系統(tǒng)步誘發(fā)新的風(fēng)險(xiǎn)。應(yīng)用安全的改造已從早期的安全功能實(shí)現(xiàn),的審計(jì)功能的實(shí)現(xiàn)尤為重要逐漸轉(zhuǎn)變成體系性的集安全功能、安全場(chǎng)景于一體的安全再3.14剩余信息保護(hù)建設(shè)。為防止存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)中的信息被非法授權(quán)3.1應(yīng)用安全功能的訪問,應(yīng)用系統(tǒng)必須加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的應(yīng)用安全應(yīng)能從需求、設(shè)計(jì)、編碼、測(cè)試以及發(fā)行等各個(gè)保護(hù)。同時(shí),應(yīng)用系統(tǒng)必須將文件、目錄和數(shù)據(jù)庫記錄等資源階段加強(qiáng)安全性考慮,盡可能避免和消除漏洞,即建設(shè)單位應(yīng)清除后才能分配給其他用戶。明確安全需求,包括系統(tǒng)本身的業(yè)務(wù)需求、國家政策、標(biāo)準(zhǔn)、行對(duì)內(nèi)存中剩余信息保護(hù)的重點(diǎn)是,在釋放內(nèi)存前,將內(nèi)存業(yè)規(guī)范等合規(guī)性要求,并將安全需求傳達(dá)給應(yīng)用開發(fā)商,應(yīng)用中存儲(chǔ)的信息刪除,即將內(nèi)存清空或者寫入隨機(jī)的無關(guān)信息開發(fā)商在知曉相關(guān)安全需求的基礎(chǔ)上,基于軟件安全開發(fā)硬盤中剩余信息保護(hù)的重點(diǎn)是,在刪除文件前,將對(duì)文件中存型,進(jìn)行軟件的安全開發(fā)。儲(chǔ)的信息進(jìn)行刪除,即將文件的存儲(chǔ)空間清空或者寫人隨機(jī)而應(yīng)用安全改造,實(shí)際上也是應(yīng)用安全需求一安全設(shè)計(jì)的無關(guān)信息。安全編碼一安全測(cè)試等階段的又一次周期性實(shí)現(xiàn);同時(shí),軟對(duì)剩余信息的清除是會(huì)對(duì)應(yīng)用系統(tǒng)的性能造成影響的,件的安全漏洞可以在軟件開發(fā)生命周期的任何階段被引入相對(duì)于寫入垃圾數(shù)據(jù)的方式,清空存儲(chǔ)區(qū)或者文件的方式對(duì)因此在應(yīng)用安全改造過程中,安全開發(fā)意識(shí)應(yīng)貫穿整個(gè)應(yīng)用能的影響更3.1.5通信完整性合等級(jí)保護(hù)三級(jí)應(yīng)用安全主要問題點(diǎn),可分析出當(dāng)前為防止數(shù)據(jù)傳輸時(shí)被篡改,應(yīng)用系統(tǒng)應(yīng)實(shí)現(xiàn)通訊雙方利應(yīng)用安全開發(fā)應(yīng)主要關(guān)注以下方面。用密碼算法(如利用Hash函數(shù)計(jì)算通信數(shù)據(jù)的散列值,并用3.1.1身份鑒別非對(duì)稱加密算法對(duì)散列值進(jìn)行加解密)來保證通信過程數(shù)據(jù)對(duì)登錄的用戶進(jìn)行身份鑒別,確保只有通過驗(yàn)證的的用的完整性。戶才能在系統(tǒng)規(guī)定的權(quán)限內(nèi)進(jìn)行操作。當(dāng)前最常見的應(yīng)用雙3.1.6通信保密性因素身份鑒別通常采用用戶名/口令與CA認(rèn)證組合身份認(rèn)為防止發(fā)生通信過程中的信息泄露,在通信雙方建立連證實(shí)現(xiàn)。CA認(rèn)證作為身份鑒別機(jī)制,對(duì)應(yīng)用安全身份驗(yàn)證起接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證。對(duì)到了顯著的作用。同時(shí),為了防止非授權(quán)用戶對(duì)應(yīng)用系統(tǒng)用戶通信過程加密的范圍為整個(gè)報(bào)文或會(huì)話過程。即,需要改進(jìn)開的身份鑒別信息進(jìn)行暴力猜測(cè),應(yīng)用系統(tǒng)需實(shí)現(xiàn)登錄失敗發(fā)架構(gòu),服務(wù)器與客戶端的數(shù)據(jù)傳輸不要使用明文方式或易理功能,如采取結(jié)束會(huì)話,限制非法登錄次數(shù),當(dāng)?shù)卿涍B接超破解方式;使用加密通訊方式,如B/S架構(gòu)的應(yīng)用系統(tǒng),使用htps協(xié)議,而不要使用htp協(xié)議;必要時(shí),使用專業(yè)加密機(jī)3.1.2訪問控制類設(shè)備應(yīng)用系統(tǒng)的訪問控制能力,是保證應(yīng)用系統(tǒng)合法地使用4應(yīng)用安全改造難點(diǎn)的重要措施。通過安全策略,控制用戶對(duì)客體的訪問權(quán)限。尤其重要信息資源,如應(yīng)用系統(tǒng)中的身份證號(hào)、手機(jī)號(hào)等信息,41應(yīng)用安全改中國煤化工須進(jìn)行敏感標(biāo)記,控制用戶對(duì)有敏感標(biāo)記重要信息資源的應(yīng)用開發(fā)安CNMHG安全開發(fā)模算機(jī)與網(wǎng)絡(luò)「技術(shù)論壇型、安全管理流程),應(yīng)用安全改造能力低下,甚至不凊楚如何系統(tǒng)風(fēng)險(xiǎn)評(píng)估的結(jié)果報(bào)告等結(jié)果,以及應(yīng)用安全改造過程中改善所面臨的應(yīng)用安全問題。尤其是軟件開發(fā)人員大多數(shù)僅所發(fā)現(xiàn)的整改初期未意識(shí)到的問題,從而整體上把握應(yīng)用安會(huì)進(jìn)行軟件功能的實(shí)現(xiàn),不知道如何將安全需求、安全要求和全改造的完善性編程方法相結(jié)合。應(yīng)用安全改造后的驗(yàn)證最好的方式是進(jìn)行新一輪的應(yīng)用4.2應(yīng)用安全改造推動(dòng)力薄弱安全檢測(cè),即基于等級(jí)保護(hù)要求第三極的應(yīng)用安全要求進(jìn)行應(yīng)用安全的改造成本相比新建應(yīng)用的成本,在大多數(shù)情應(yīng)用系統(tǒng)的安全實(shí)現(xiàn)差距再分析,同時(shí)結(jié)合應(yīng)用漏洞掃描、滲況下,顯得較高,應(yīng)用需求方和應(yīng)用開發(fā)商均覺得應(yīng)用安全改透測(cè)試以及應(yīng)用安全評(píng)估進(jìn)行全方面的檢測(cè),叫以評(píng)估應(yīng)用安造的意義不如待新版系統(tǒng)升級(jí)時(shí)一并考慮,便導(dǎo)致目前很多全改造的成果。應(yīng)用需求方知曉當(dāng)前所面臨的安全問題,但基于成本效益原則,暫不處理,讓應(yīng)用系統(tǒng)繼續(xù)暴露在當(dāng)前的網(wǎng)絡(luò)環(huán)境中存6結(jié)束語在嚴(yán)重的安全隱患4.3應(yīng)用行業(yè)的特殊性要求本文指明了等級(jí)保護(hù)應(yīng)用安全改造的要點(diǎn)和難點(diǎn),提出每個(gè)行業(yè)都有其自身的特殊性要求,對(duì)于應(yīng)用開發(fā)商來從身份鑒別、訪間控制、安全審計(jì)剩余信息保護(hù)通信完整說,對(duì)行業(yè)所具有的特殊性很可能把握不足,或者對(duì)個(gè)別行業(yè)性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等安全功能展開改造;站在應(yīng)用安全保證的基礎(chǔ)上,分析出應(yīng)用安全改造水平分析不透徹,必然會(huì)對(duì)應(yīng)用安全的改造造成一定的難度。如醫(yī)療衛(wèi)生行業(yè)應(yīng)用系統(tǒng)涉及病患者診療等強(qiáng)隱私性的敏感信差異推動(dòng)力薄別,行業(yè)特朱性、持續(xù)性等主要難點(diǎn);并提出應(yīng)息,因此它在可靠性、穩(wěn)定性、安全性等性能上比其他行業(yè)更用安全改造驗(yàn)證的重要性,有效保障了應(yīng)用安全改造閉環(huán)的為重要參考文獻(xiàn)5應(yīng)用安全改造后的驗(yàn)證]GB/T25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求驗(yàn)證應(yīng)用安全改造成功與否是應(yīng)用安全整個(gè)改造環(huán)節(jié)中(2GB/T22392008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)不可或缺的一部分,不應(yīng)該僅僅根據(jù)系統(tǒng)整改環(huán)節(jié)明確的應(yīng)基本要求S用安全整改計(jì)劃中所確認(rèn)的整改內(nèi)容,還應(yīng)結(jié)合不當(dāng)初的安3GA/T712-207信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級(jí)保全測(cè)評(píng)報(bào)告中的應(yīng)用安全部分的內(nèi)容、應(yīng)用掃描漏洞報(bào)告和護(hù)通用測(cè)試指南SJD. Power客戶滿意度啁查富上施樂連續(xù)6年蟬聯(lián)榜首近日,全球市場(chǎng)信息服務(wù)機(jī)構(gòu) J D. Power亞太公司發(fā)布和服務(wù)幫助客戶創(chuàng)造更多價(jià)值了“2015日本彩色復(fù)印機(jī)客戶滿意度指數(shù)調(diào)查”和“2015日本此次報(bào)告是JD. Power亞太公司于今年5月在日本進(jìn)行彩色打印機(jī)客戶滿意度指數(shù)調(diào)査”報(bào)告。調(diào)查結(jié)果顯示,富土的年度調(diào)查成果。調(diào)查主要面向日本國內(nèi)30人以上規(guī)模的企施樂株式會(huì)社以絕對(duì)優(yōu)勢(shì)高居榜首,這是富士施樂連續(xù)第6業(yè)。針對(duì)彩色復(fù)印機(jī)和彩色打印機(jī)的調(diào)查分別收到了6,688份咩聯(lián)客戶滿意度調(diào)查冠軍。和2,396份有效回復(fù)。JD. Power目前還未在日本以外的其他在此次調(diào)查中,富士施樂在“產(chǎn)品”和“銷售代表及裝機(jī)服市場(chǎng)進(jìn)行該調(diào)查?！眱身?xiàng)直接影響整體客戶滿意度分?jǐn)?shù)權(quán)重的指標(biāo)上均獲得長期以來,富士施樂秉承“客戶至上”的原則不斷努力提了最高分升客戶滿意度,并獲得了市場(chǎng)和各國客戶的好評(píng)。在JD富土施樂始終視客戶滿意為企業(yè)經(jīng)營的基礎(chǔ)。早在201 Power亞太公司的《日本I解決方案供應(yīng)商客戶滿意度調(diào)查》年,富士施樂便制定了《客戶滿意行動(dòng)指南》,這不僅使令每位中,富士施樂連續(xù)三年蟬聯(lián)第一。同時(shí),在《日經(jīng)電腦》2013直接面對(duì)客戶的銷售,甚至連研發(fā)部門以及總部的所有員工2014年發(fā)布的“客戶滿意度調(diào)查”中,富士施樂連續(xù)兩年獲得都能為實(shí)現(xiàn)客戶滿意而努力行動(dòng)?！荰咨詢/上游設(shè)計(jì)服務(wù)類排名第一。值得一提的是,富士施樂富士施樂將繼續(xù)為客戶提供具有行業(yè)最高美譽(yù)度的產(chǎn)有限公司自2012TH中國煤化工度第品,并致力于成為客戶最信賴的合作伙伴,以最優(yōu)的解決方案CNMHG(王進(jìn))