基于云環(huán)境下應(yīng)用系統(tǒng)的安全防護(hù)建議

馬 薇，王 娟，張 暉

（機(jī)械工業(yè)信息中心，北京 100040）

1 影響應(yīng)用系統(tǒng)的安全因素分析

隨著信息化、智能化的高速發(fā)展，各單位、企業(yè)的網(wǎng)站所承載業(yè)務(wù)的數(shù)量、面向?qū)ο蟮姆较蚣爸匾匀諠u增加，其面向公眾的性質(zhì)也發(fā)生了重要變化。服務(wù)器被攻擊、網(wǎng)頁被篡改、網(wǎng)絡(luò)釣魚、SQL 注入、跨站運(yùn)行腳本、勒索病毒肆虐等攻擊事件每天都在發(fā)生，嚴(yán)重影響各單位在線辦公的正常運(yùn)轉(zhuǎn)、影響人們對所瀏覽網(wǎng)站公信力的認(rèn)可度。究其原因，影響云環(huán)境下應(yīng)用系統(tǒng)安全的主要因素有以下四個(gè)方面：

1.1 網(wǎng)絡(luò)安全環(huán)境配置低

網(wǎng)絡(luò)安全環(huán)境配置的高低是影響應(yīng)用系統(tǒng)安全的第一重要因素，好比一座華麗的房子卻沒有匹配的門鎖，自然很容易被破門而入。應(yīng)用系統(tǒng)被攻擊，為各單位帶來巨大的政治風(fēng)險(xiǎn)，使部分單位的名譽(yù)損失、公信力下降，甚至還要承擔(dān)法律責(zé)任，這已經(jīng)成為在線業(yè)務(wù)健康發(fā)展的一個(gè)巨大障礙。

1.2 管理意識(shí)不足

一些單位存在重應(yīng)用輕安全的現(xiàn)象，沒有制定嚴(yán)格的安全管理制度，或者制定了制度，也沒有嚴(yán)格執(zhí)行。部分管理人員缺乏安全管理意識(shí)，其采取的安全防范措施存在不足，存在這樣那樣的漏洞，導(dǎo)致服務(wù)器或應(yīng)用系統(tǒng)很容易被攻擊破壞。

1.3 應(yīng)用系統(tǒng)沒有及時(shí)升級(jí)更新

隨著新技術(shù)的發(fā)展，應(yīng)用系統(tǒng)也應(yīng)該保持一定頻率的升級(jí)更新。面對來自全球范圍的網(wǎng)絡(luò)攻擊，一些運(yùn)行多年的應(yīng)用系統(tǒng)如果不及時(shí)進(jìn)行代碼升級(jí)，就容易被攻擊破壞，其維護(hù)人員也會(huì)在不斷的攻擊中疲于應(yīng)付，即便如此，也難免出現(xiàn)數(shù)據(jù)丟失甚至被毀的后果。

1.4 技術(shù)人員技術(shù)沒有及時(shí)提升

技術(shù)人員自身的計(jì)算機(jī)安全防范能力有限，無法有效的抵御外部攻擊或系統(tǒng)自身漏洞引發(fā)的運(yùn)行障礙，進(jìn)而導(dǎo)致應(yīng)用系統(tǒng)在運(yùn)行過程中出現(xiàn)了嚴(yán)重的安全風(fēng)險(xiǎn)。

2 應(yīng)用系統(tǒng)的安全防護(hù)措施

要想做好應(yīng)用系統(tǒng)的安全防護(hù)、保證防護(hù)工作的有效性，需要從以下幾個(gè)方面來深入考慮：

2.1 制定嚴(yán)格的安全管理制度

目前，國家對網(wǎng)絡(luò)安全保護(hù)方面的工作有了明確的法規(guī)，先后出臺(tái)了《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》（公安部令第33號(hào)2011.1.8修訂）和《中華人民共和國網(wǎng)絡(luò)安全法》（中華人民共和國主席令第五十三號(hào)2016.11.7）等法規(guī)。法規(guī)中都明確提出了國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。要想保證應(yīng)用系統(tǒng)的安全性，管理人員在進(jìn)行內(nèi)部人員工作行為的管理時(shí)，應(yīng)該結(jié)合相關(guān)法規(guī)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任，并嚴(yán)格執(zhí)行管理制度，真正達(dá)到約束員工行為，保證應(yīng)用系統(tǒng)運(yùn)行安全的目的。

2.2 提高網(wǎng)絡(luò)安全環(huán)境配置

一般的云平臺(tái)上都有基礎(chǔ)的防護(hù)措施和攻擊提醒，但是要保障服務(wù)器及應(yīng)用系統(tǒng)的安全還遠(yuǎn)遠(yuǎn)不夠，要想提高安全防護(hù)工作的效率和質(zhì)量，配置更高級(jí)的網(wǎng)絡(luò)安全環(huán)境十分必要。云WAF 應(yīng)用防護(hù)可以為應(yīng)用系統(tǒng)提供防攻擊（跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie 假冒、認(rèn)證逃避、表單繞過、非法輸入、強(qiáng)制訪問）、防篡改（隱藏變量篡改、頁面防篡改）、防CC 攻擊等安全防護(hù)；云DNS、云堡壘機(jī)的使用也能有效減少黑客對服務(wù)器的攻擊；同時(shí)安裝在服務(wù)器本身的安全防護(hù)軟件也必不可少，能有效檢測到大部分病毒文件并清理。

2.3 應(yīng)用系統(tǒng)程序更新

在應(yīng)用系統(tǒng)的規(guī)劃、建設(shè)與管理過程中，技術(shù)人員應(yīng)本著“安全重于應(yīng)用，安全促進(jìn)應(yīng)用”的原則開展相應(yīng)的防護(hù)設(shè)置工作，從系統(tǒng)架構(gòu)、代碼編寫到系統(tǒng)部署都要考慮到安全問題，從底層到頁面都盡量做到防攻擊、防注入、防篡改。有條件的單位或組織可以對應(yīng)用系統(tǒng)進(jìn)行周期性的代碼重構(gòu)或加固。

2.4 安全檢測及防護(hù)軟件更新

技術(shù)人員應(yīng)定期對服務(wù)器進(jìn)行漏洞檢測和補(bǔ)丁安裝，定期檢查服務(wù)器安全策略和日志，以及時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全問題，及時(shí)采取安全防護(hù)措施。在健全的監(jiān)督管理機(jī)制下，技術(shù)人員要嚴(yán)格按照系統(tǒng)安全管理制度的工作流程定期對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行安全檢查，使用專業(yè)的木馬、病毒查殺軟件對應(yīng)用系統(tǒng)的運(yùn)行環(huán)境進(jìn)行全面掃描，以此來消除系統(tǒng)運(yùn)行過程中潛在的安全隱患問題。同時(shí)，防護(hù)軟件也要定期更新，一成不變的安全防御系統(tǒng)無法檢測出新型的網(wǎng)絡(luò)病毒，因此，這就對技術(shù)人員的工作能力提出了更高的要求。

2.5 技術(shù)人員水平提高

技術(shù)人員應(yīng)該定期接受專業(yè)的培訓(xùn)教育工作，對云環(huán)境下新型的防護(hù)技術(shù)及時(shí)掌握，全面提高自身的工作能力和業(yè)務(wù)水平。必要的話還需要進(jìn)行安全防御程序的編寫工作，技術(shù)難度較高，需要靜下心來潛心研究。

3 結(jié)束語

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，導(dǎo)致云環(huán)境下應(yīng)用系統(tǒng)容易受到網(wǎng)絡(luò)病毒的攻擊。數(shù)據(jù)丟失、文件被篡改的情況時(shí)常可見，應(yīng)用系統(tǒng)陷入癱瘓、服務(wù)器崩潰的現(xiàn)象也屢見不鮮，因此各單位必須要制定出科學(xué)的網(wǎng)絡(luò)安全防護(hù)計(jì)劃，做好安全防護(hù)措施，提高專業(yè)技術(shù)水平，保障云環(huán)境下應(yīng)用系統(tǒng)的安全性、穩(wěn)定性和信息的保密性。