近日，安全圈内发生一件让大家关注的大事，众多网站的用户数据“泄密门”令“信息安全”这个话题在一夜之间便成为了大家关注的焦点和热议的话题，随着事态的发展，让我们深刻感受到，“泄密门”与我们近在咫尺。

早在2006年，Gartner公司的一份调查显示，当时成功的攻击案例中有75%发生在应用层。到2009年，80%的企业成为了应用层攻击的受害者。众所周知，如今的IT系统日益复杂，IT业务面临的威胁及风险也越来越大，如Web下载、IM病毒、网络攻击、网站挂马等，“泄密门”也只是众多安全问题中的其中一个。而这些安全事件的核心更多集中在应用层面，如何保证应用的安全，将是用户对安全需求的重点。

针对本次的“泄漏门”事件，舆论焦点基本集中在“客户账号口令信息是明文保存”这个话题上，但就今天的硬件计算能力和密码破解技术来说，加密的用户密码只是增加了“信息被泄漏”后的破解成本，达到了“即使被偷了也很难解密”的效果，更积极的应对方式是“尽量不被偷走”、“即使被偷走了也很难解密”两手同时抓。最大程度地减少信息泄漏的可能性，降低信息泄漏带来的风险。

应用安全解决方案是核心

目前，我们所熟知的安全防范大致可分为几种：传统的防火墙、IPS/IDS/DLP,应用安全解决方案。

传统的防火墙采用的是被动的安全原则，使用白名单的机制，只允许符合安全原则的访问通过。从技术上来看，防火墙工作在七层网络协议的第三层，采用状态检测技术检查和转发TCP/IP包，从而实现安全区域的隔离和访问控制。这就决定了防火墙只能判断TCP层面的网络攻击，而不能防Web应用攻击，因为它识别不了数据包的内容。黑客利用系统本身漏洞、程序漏洞，通过正常的连接完全可以取得Web权限，进而篡改网页，如常见的 SQL 注入攻击，其表现层面完全是正常的数据交互查询。对于防火墙而言，这是正常的访问连接，没有任何特征能够说明此种访问连接存在攻击，但其实系统已经受到攻击。

IPS/IDS可以识别网络数据包的内容，进而判断是否安全，但IPS/IDS采用的是负向安全原则，是一种黑名单的机制，这就导致两个问题：一是难以跟上新的攻击手段;二是要判断的攻击行为太多，必然影响性能。

DLP产品和技术是最近几年兴起的一个新的安全分支，但若想DLP系统能够达到预期效果，需要企业事前对对敏感数据的数据模式特点，存放格式，存放位置，泄漏场景有全面和清晰的定义，比较适用于对于例如信用卡，身份证信息，电话号码等有明确数据格式的信息实施防泄漏防护，而对于用户账号/口令这类无法提取数据格式特性的数据泄漏，做起来就会比较吃力。

而应用安全解决方案可准确采用全代理的方式解析应用层数据包，，实现对应用层攻击的实时检测与防范。扩展了防火墙与IPS的优势，将其防护层面从经典的3-4层扩展到了全七层，填补了经典安全产品的防护空白。

保护敏感数据，远离“泄密门”

随着计算机网络技术的发展，方便快捷的互连网使人们渐渐习惯了从Web页上收发E-mail、购物和交易，这时Web页面上需要传输重要或敏感的数据，例如用户的银行帐户、密码等。现行网上银行和电子商务等大型的网上交易系统普遍采用HTTP和SSL相结合的方式。服务器端采用支持SSL的Web服务器，用户端采用支持SSL的浏览器实现安全通信，泄密从某种意义上解决了客户信息在互联网上明文传输易于被窃听和截取的问题。

(责任编辑：)