Web应用安全实现加速度发展

发布者： 发布时间：2013-03-15来源：

    今天，我们步入了全面信息化网络时代，网络安全问题已经成为一个广受关注的社会问题，Web应用安全的重要性无论怎样强调也不过分。如果说，在以上网行为管理为代表的Web内容安全产品市场早已进入充分竞争阶段，那么在今天，Web应用安全产品市场也实现了加速度发展。

　　早在7年前，作为第一个登上美国黑帽子大会上的中国人，安恒信息创始人范渊曾就Web应用安全话题在会上演讲。今天，在此领域积累多年的他对应用安全近几年的发展感受颇深。范渊清楚地记得，在2004年到2005年间，美国发生了信用卡数据失窃事件，应用安全和数据安全由此广受关注，但在当时的美国，这个市场也几乎是一片空白。当时，在美国做的第一代数据库审计与现在相比不可同日而语，但即便是这样，在当时也很受欢迎。

　　从2007年开始，范渊带领安恒公司持续致力于提高用户的应用安全意识，但直到去年CSDN数据泄密事件发生后，他才真正感觉到，应用安全市场已经完成了第一阶段的培育。如果说，过去的企业网站只是个门户，那么在今天，业务系统已经到了真正扛大梁的时候，如：在金融、电信、财税、电商领域，业务系统已经成了企业业务支撑的核心力量，容不得其间断，也容不得数据篡改和失窃。在经历这一阶段后，今后会出现大量重要系统的部署。

　　未来，信息安全作为最后一道防线，国产化非常重要。民族产业必须挑起重任。与芯片、操作系统不同，在应用安全领域，国内外基本是处在同一起跑线上，在技术上并不存在明显差距。而除了核心技术外，在业务系统、行业特性方面，国内企业在本土化方面更有优势。

　　虽然Web应用安全市场正在迎来快速增长期。但在目前，国内还没有统一的Web应用防火墙（WAF）标准。那么，在现有的发展阶段，用户在选择WAF产品时，主要应该考虑哪些因素呢？Web应用安全资深专家杨勃告诉记者，评价WAF产品，最基本的是，要看该产品能否做到在保证安全同时又要透明化，目前国内厂商中能做到的大约只有两三家。IPS是透明的，但防护功能不够；用代理技术做防护最安全，但是不透明。只有采用了透明代理技术的WAF，才能真正称其为Web应用防火墙，才能帮助企业实现在安全防护的同时不影响业务系统运行。与杀毒软件不同，对应用防火墙防护能力的评估并没那么简单。因为它与业务关系非常紧密，如：在防护网银和防护教育考试系统时，它们所传递的每个参数都是不同的，网银里传递的往往是身份证号、手机号、密码，不会有sql注入的关键字，但考试系统就允许这种字符存在。这就涉及WAF第二个非常重要的衡量指标，即：能否智能化地去适应不同的业务环境，降低WAF的实施难度，提高易用性。

　　在范渊看来，应用安全不同于网络安全， 它应该是一个包含开发安全、测试安全、黑盒风险评估、上线实时监测、实时防护、关联分析和实时预警以及数据库数据安全、内部人员风险防范，事后的审计、追溯、合规等在内的全生命周期的完整体系。未来，打造Web应用全生命周期主动防御体系，将会成为安恒的核心竞争力。5月17日，在安恒信息成立5周年之际，安恒发布了一款网站安全监测平台，向打造全生命周期防御体系又迈进了一步。