金蝶天燕成勇斌：用安全中间件构建应用软件自体安全防护体系

Posted 2021-05-07 金蝶天燕云

在刚刚结束的“2021中国信创产业安全生态高峰论坛”上，“安全中间件适配中心”的成立与金蝶天燕、开源网安联合向国家网安基地捐赠1500万安全中间件产品是本次论坛的重头戏，“安全中间件”毫无疑问的成为了本次大会的焦点之一。那么“安全中间件”究竟是一款什么样的产品呢？接下来就让我们来听听金蝶天燕副总经理、产品研发中心总经理成勇斌在论坛上的解读吧！

首先我们来说一下

我们为什么需要安全中间件？

根据安全机构统计，应用软件的漏洞占据了所有安全漏洞的92%，有约75%的攻击发生在应用软件层面，而现有的安全解决方案在准确率、及时性、有效性等各个方面都不能满足客户安全防护的需求，急需一种更为有效的安全方案来解决应用程序的安全问题。

 

成勇斌在大会的演讲中提到：“在过去十年里，应用软件缺陷一直是非常快速的增长趋势，当前应用软件信息安全问题是非常严重的。现有安全体系主要是边界防护，存在一定的局限性，如果攻击绕过防火墙，或者攻击来自内部，边界防护就会失效；另外，有些攻击会利用标准协议头携带攻击信息，或者利用网络访问控制层的配置误区，也会让边界防护失去防护效果。”

 

应用软件自身的漏洞多，边界防护又具有一定局限性，使得我们保护自己的系统安全变得很困难。更佳的方案是，让应用程序不止依赖于外部组件来进行保护，而且具备自我防护的能力，安全中间件就是基于这样思路去开发实现的。

那么，什么是安全中间件呢？

在之前的文章中，我们也为大家介绍过，让我们来一起回顾一下：“安全中间件，顾名思义，是一种提供企业信息安全防护的中间件软件。安全中间件集成了入侵检测、漏洞扫描、安全审计、实时防护等功能，是一个新的应用软件信息安全防护方案。与现有的提供边界攻击防护的应用防火墙（WAF）相比，安全中间件功能更全面，防护范围更广，防护粒度更细致，更适合于云环境下的应用安全防护。”

 

安全中间件是金蝶天燕与开源网安在技术、产品领域相融合的创新成果，成勇斌在大会上介绍说：“信创产业解决本质安全问题，安全体系解决过程安全问题，本质安全+过程安全才能解决整体安全问题。金蝶天燕是信息技术应用创新的核心软件企业，开源网安是软件安全行业的创新者与领导者，我们一起进行联合创新，共建安全中间件联合解决方案，为信息安全体系贡献了一个新的保护措施。我们把安全防护、应用软件以及应用软件所处的运行环境视为一个整体，让安全防护成为应用程序及其运行时环境的一部分，使得应用具备自防护能力，实现自我安全防护，全面抵御攻击。”

安全中间件是如何实现应用的安全防护的呢？

首先，从源头上杜绝安全隐患。在开发、构建、测试阶段，安全中间件就提供安全代码审核、开源组件安全检查、交互式安全检测等功能，确保应用代码以及开源组件的合规性与安全性。其次，在运行时加固应用安全。安全中间件为应用的安全运行提供了一个安全沙箱，不仅能够实现对外部恶意访问的检测和防御，而且能够实时检测、防御应用程序运行时内部操作及业务调用之间的安全漏洞。最后，是安全防护的主动性。安全中间件提供的安全防护能力完全是主动式的，具备了入侵检测、漏洞防护等安全免疫能力，并具备漏洞检测的智能性、攻击分析的可视化等特性。

 

成勇斌在大会上为大家详细解读了安全中间件的防护过程：

“安全中间件在应用程序和运行环境里面提供无侵入的漏洞防护机制，在发现应用软件漏洞时，通过安全沙箱和安全引擎及时提供抵御和防护，避免在漏洞修复之前被0day攻击利用。

其中，安全沙箱主要为上层应用提供安全的运行环境，在应用部署测试阶段即可对应用代码和字节码进行扫描，对应用构件模块进行验证，在上线后则识别漏洞、拦截攻击；安全引擎是安全沙箱的支撑环境，提供身份识别、国密算法支持、安全探针、安全防护策略、运行监控、入侵检测、漏洞防护等能力，在应用网络通讯、数据库操作、文件系统访问、方法调用参数等环节上设置防护点，对常见Web安全漏洞，包括SQL注入、跨站攻击、反序列化漏洞等进行防护。

同时，为帮助应用修复漏洞，安全中间件可将攻击细节和趋势可视化，使得应用程序开发者能够准确定位到漏洞所在，快速的进行修复。

最后，对应用软件的安全防护，在软件开发过程中就要开始重视，安全中间件的SDLC平台和工具链，可以提供DevSecOps过程支持，使应用程序的提供方能够在提交代码的时候进行代码安全审核，在集成构建的时候做全量代码安全扫描，构建完成后对开源组件进行分析，在测试阶段进行交互式应用安全测试和黑盒安全测试。经过上述软件安全开发过程，应用软件将更为安全可靠。

现有的安全防护体系保障了边界安全，而安全中间件提供的软件开发过程安全与应用运行时安全防护最终为应用软件注射了软件漏洞疫苗，穿上了安全软猬甲，确保了应用的本体安全，边界安全加上本体安全，是信息安全防护的一个新局面。”

相较于传统的应用防护

安全中间件具有哪有优势和特点呢？

成勇斌在大会中提到：“第一，中间件是保障应用安全的最佳场所。云计算时代，网络应用集约建设集中部署，有些则演进为微服务并走向分布式架构，网络应用规模越来越大、部署环境越来越复杂，内部攻击的风险也就比过去更大。中间件是应用的运行环境，是最贴近应用的基础软件，对应用运行时的上下文信息掌握最全面，因此能够检测整个调用过程，扫描运行过程中的很多执行细节，保护在运行期间被解密的加密信息，这是边界防护不具备的条件。安全中间件掌握着应用上下文信息，能够识别业务逻辑上的漏洞，在应用程序内部进行防护，避免某些绕过防火墙、绕过安全防护体系进行攻击的问题。同时，在运行环境里面去做安全防护也不会有性能和带宽的限制，在加入很多安全防护策略和检查的情况下，由于得到主机侧的分布式计算、多核计算的环境支持，可以将性能的影响控制在最小的范围。第二，传统的安全漏洞检测机制，比如白盒测试工具和防火墙，只在安全过程的某个环节上进行检测或防护，手段单一。而安全中间件参与应用软件的开发、构建、测试、部署、上线全过程，可以在整个软件开发过程都提供交互式安全检测和防护，检测速度、防护及时性和准确性都比其他检测防护机制要更高。通过安全中间件，除了可以检测防护用户自研应用软件的漏洞以外，还可以对引入的开源组件或者采购的外部应用系统一起进行检测，与自研应用软件合并输出漏洞报告。安全中间件还可以帮助建立开源软件风险控制体系，在开源软件引入过程中，以及在产品发布之前，对开源组件的一些漏洞进行检测与修复，同时能够根据开源组件开源协议识别里面的代码侵权和合规性问题，规避相关法律风险。”

总的来说，原有的安全防护体系主要基于边界防护，实现边界安全，就好比戴口罩，将病毒阻挡在外部；而安全中间件是与应用软件一起实现自我防护，实现本体安全，就好比注射疫苗，让应用软件实现对病毒的免疫。

在演讲的最后，成勇斌总结道：“网络空间是继陆、海、空、天之后的第五空间，我们每个人都有责任守护国家网络空间安全。愿得此身长报国，期待与产业伙伴一起共筑软件长城，捍卫国家信息安全！”

成勇斌

金蝶天燕副总经理

产品研发中心总经理

中间件领域专家，深圳市地方级领军人才，对应用中间件、消息中间件、企业服务总线、负载均衡网关等中间件技术有近二十年产品研发与应用实践经验，当前主要研究方向为分布式计算、中间件安全体系、云计算PaaS平台。

推荐阅读

关于APUSIC金蝶天燕云

金蝶天燕云计算股份有限公司（简称“金蝶天燕云”），成立于2000年，是金蝶集团旗下政府云平台技术服务提供商，凭借自主创新的核心技术能力，面向政府、金融、电信、能源等关键行业提供软件基础平台服务与数字化技术解决方案。

看到这了，点个在看吧