应用安全与加固
一、什么是应用安全规划与加固
应用系统安全规划是指在对应用系统的全生命周期进行安全规划和管理,包括应用系统的需求分析、设计、实现及测试、运行和维护等阶段,要确保信息系统安全性要求在此阶段的各个具体工作过程中的贯彻和实施。开发阶段的安全规划可以保证交付具有高安全特性的应用系统,为将来应用系统的安全投产运行奠定坚实的基础。运行维护阶段的安全规划可以及时发现应用系统存在的安全问题,保证系统持续运行在安全的状态之下。应用系统安全加固是指对在系统运行中发现的安全隐患进行处置,包括进行补丁升级、配置参数和配置文件调整等等。
应用系统安全规划与加固服务包括对应用系统本身及相关的数据库和中间件的安全规划与加固工作。
二、为什么要实施应用安全规划与加固
实施应用安全规划与加固服务的必要性主要体现在三个方面:组织业务对应用系统的依赖性、应用系统漏洞存在的客观性、外部对应用系统攻击的多发性。
随着组织信息化程度的提高,组织业务对信息系统的依赖程度越来越大,因此保护应用系统正常运行和业务数据的安全成为组织业务正常运转的必要条件。
实践证明,无论采取多么严格控制措施,应用系统由于逻辑结构设计不合理或者程序设计错误,总会存在可以被恶意人员利用的漏洞。就是这些漏洞给不法分子攻击应用系统提供了可乘之机。
据统计,目前恶意的攻击有70%以上是集中在应用层,并且这一数字还在呈上升趋势。应用层的攻击有可能会造成非常严重的后果,因此,对具体应用系统的有效保护就显得越发重要。
三、应用安全规划与加固的基本原则
为了最大化发挥应用系统作用,提高应用系统建设投资效益,保证应用系统安全、持续、有效运行,进行应用系统安全规划与加固时,需遵守以下基本原则:
高可靠性原则应用系统规划和设计中应充分考虑系统的安全和可靠;
标准化原则系统采用的各项技术应遵循国际标准、国家标准、行业和相关规范;
成熟性原则系统应采用国际主流、成熟的体系架构进行规划和构建;
专业性原则系统加固工作必须由专业的安全人员依照规范操作流程进行,对操作过程和结果要提供规范记录,并形成完整服务报告;
最小影响原则系统加固工作应尽可能小的影响系统的正常运行,不能产生系统性能明显下降、网络拥塞、服务中断的情况;
保密性原则对加固过程中获知的任何信息都不得泄露给第三方单位或个人。
四、怎么实施应用安全规划与加固
创想信息技术根据在多个行业、多家客户、多个系统的安全规划与加固服务的成功经验,形成了规范化的服务流程和标准化的交付成果物。