不论是大型企业，还是中小企业，在网络技术快速发展，设备快速更迭的今天，网络安全管理都在威胁对抗中变得越来越复杂。为了确保企业网络的安全稳定，就需要制定多样化、有针对性的安全防护策略，否则即使看似固若金汤的网络，也可能由于网络设备或业务上的不当应用而引发出新的安全漏洞，而这恰恰容易成为黑客探测或攻击的入口。

应用威胁被忽视

我们常常听到企业网受到黑客攻击的事件，而其中更不乏一些菜鸟级黑客。记得就曾经有一位技术并不高超的黑客，利用网上购买的黑客软件侵入了国内某通信公司充值中心数据库，修改窃取充值卡数据密码并向他人进行销售，在半年时间里造成了数以百万计的资金损失。

基于应用层的黑客行为常常被忽视

而这样案例在IT安全领域，不得不说是引人深思的：在长达半年的时间里面，耗费千万巨资，由多台防火墙、IDS、防病毒系统构成的网络安全架构，竟然连一条报警信息都没有发出过。

对于运营商这样的大型企业用户，他们的网络安全措施无疑应该是比较完善的。不过也应看到，由于网络技术的不断演进，传统的安全防护手段还主要停留在保障网络设备“底层”安全的层面上。一些安全措施在具体的应用层上还没有实施监控，用户与应用资源之间，以及整个访问过程和行为还都有不受控制的隐患。

根据Gartner的研究数据表明，当前75%的攻击行为已经由网络层转移到了应用层，当黑客在应用层发动攻击时，或是内部人员非法存取数字资源时，网络防火墙和入侵检测产品发挥的作用往往是极其有限。

对一些特定行业用户的安全需求来说，传统的安全手段已无法满足控制“人”的操作行为，只能依靠应用系统自身携带的安全功能。但许多企业的网络安全部署，虽然利用了身份认证及粗粒度的权限控制措施，却没有考虑到访问过程和访问行为的安全。因此，只依赖传统安全设备，或是应用系统自带防护功能，都不能满足用户对业务应用系统防护的高安全等级要求，更难符合信息安全等级保护的更高要求。

部署安全“守门员”

为了排除网络中的各个隐患，是不是需要为每套新上线的业务系统都单独配备安全防护？或是对已经部署的业务系统来一次安全代码“大换血”呢？当然，如果你的企业有足够的时间和资金的话，是可以展开这项浩大工程的。不过，最好的方式是在业务系统和访问者之间增加一名“守门员”，来阻止非法用户的侵入，保护企业赖以生存的核心数据资料。

上网行为管理网关能够基于应用进行安全防护

那么具体如何实现呢？针对应用层威胁的特点，并确保行业用户可以遵循国家信息安全等级保护的要求，可以部署满足用户应用安全防护要求的上网行为管理设备。如现在就有通过前置主机的方式，采用应用业务逻辑与安全防护逻辑分离的设计思路，在应用服务器前以透明接入方式部署的上网行为管理网关等设备的方案推出。

其最大优势是在不改变现有应用的前提下，通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术，在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。

部署基于应用识别的网络安全管控设备

因此，可以部署这样的网关便于进行系统故障隔离，保证业务应用人员和应用软件专注于业务处理上，全面提高了企业的工作效率。另外，如果该系统支持针对使用第三方CA证书的行业用户，提供数字证书、用户名/口令字、IP地址及USB KEY等多因子身份认证方式，就更加丰富了防护的手段了。

在具体使用过程中，管理员可以利用实现基于角色（岗位）的访问控制，以及基于SSL协议的安全加密传输通道，确保存取访问和传输过程的安全。在易用性方面，通过为用户提供细致的权限分工及透明的应用，实现了用户应用流程不变、操作习惯不变。而如果该设备支持特有的知识库自学习功能，则可进一步辅助系统安全管理员制定安全策略，减少安全运维管理的工作负担。

综上所述，一台好的上网行为管理网关能够很好地解决既有应用系统与应用安全防护机制之间的兼容问题，可以保证在不改变应用及应用系统的前提下，提高应用的安全保证能力。因此，在金融、通信、能源、交通、政府等关键领域的行业用户都应该行动起来，调整自身的网络安全治理策略，关注和消除在应用层可能出现的“安全短板”。