“老三样”让我们很容易联想到在70、80年代中国流行的 “老三件”，也就是自行车、手表和缝纫机。这三件既是新人们结婚后必须要用到的生活用品，也是当时一个家庭生活水平的表现，可以说有了这“三件”，结婚才能显得“体面”些。

　　说到网络安全领域“老三样”，防火墙、入侵检测以及防病毒，几乎所有的企业在面对安全问题时，都会考虑网络安全“老三样”。这三种安全产品为企业信息安全建设起到功不可没的作用，但随着企业Web应用的不断多样化，传统的安全“老三样”或者说是以其为主的安全产品技术在面对新的安全问题与挑战时显得已经没那么“体面”了。

　　应用“Web”化呼唤Web安全产品问世

　　当前，随着机构的计算及业务资源逐渐向其数据中心高度集中，Web成为普适平台，其上越来越多地承载了各类客户的核心业务。金融机构、应用服务提供商、电子商务及政府单位对Web应用性能的增强、Web应用系统敏捷性的提高及成本控制等需求日益凸显。对于各种机构的IT决策者来说，面临的最大挑战在于如何缓解针对Web业务的各类安全威胁，优化业务资源，以及高效保障Web应用的可用性和可靠性。电子政务、在线营业厅、网上银行等对Web安全产品的需求愈来愈强，对于安全厂商而言Web安全是一次不错的试金石。

　　杭州安恒信息科技有限公司总裁 范渊

　　2010年快过去一半了，Web安全领域这半年中发生了哪些变化?安恒信息科技有限公司总裁范渊对笔者表示：“这半年中，明显感觉到Web安全市场的突飞猛进，这个发展速度甚至超过预期。一方面，得益于用户对Web应用安全的认识。另外一方面，Web安全市场发展有其必然性，因为原来网络安全“老三样”，企业都部署差不多以后，随着Web应用的不断深化，电子政务、在线营业厅、网上银行等以及黑客产业链愈演愈烈的背景下，Web安全关注度的提升已经成为必然。”

　　随着社会网络、微博等应用的迅速推广以及用户数迅速增大，产品模式迅速得以复制，漏洞也会迅速膨胀化和扩大化。之前已经出现过的跨站蠕虫泄露案例，也使的这类问题能够以级数方式递增，事先发现问题，事后迅速解决问题这是对安全厂商提出新的需求。

　　“打补丁”解决不了企业Web安全问题

　　中国有着“亡羊补牢，为时不晚。”的传统故事。漏洞似乎成为安全领域逃离不开的话题，在安恒信息总裁范渊看来：漏洞问题不是打个补丁就可以解决安全问题，Web安全问题是一个系统性工程。 以前我们经常抱怨Windows有很多问题，经常会等着微软发布一个补丁，但是Web应用安全有其自身特点，它是一个成千上万家应用安全的提供商，在这样的过程中，不是说哪家提供一个补丁来解决安全问题，而它是一个综合性工程。

　　如果说安全领域是一个大的网络环境，那么Web安全则是这个环境中一条重要的生态链，这个生态链需要各个安全厂商共同努力才能保证企业的正常运营。作为这个生态链中的一分子，安恒信息推出明鉴、明御两大系列的自主研发产品，明鉴的Web应用弱点扫描在误报率和漏报率方面有着显著提升，明御的Web应用防火墙在全透明之间部署以及针对于加密通道方面都表现出卓越优势。

　　防火墙、入侵检测以及防病毒这样的网络安全“老三样”已经不能解决Web应用爆增的这个多变时代，漏统已经不是解决企业安全问题之根本，“产品+服务”的安全模式需要安全厂商共同携手，各自发挥自身优势才能建设一个有序的安全网络生态环境。

　　下面是文字实录：

　　主持人：当前，随着企业管理与应用的不断“Web”化，Web安全威胁愈演愈烈，这给企业用户带来不小的压力，然而对于安全厂商而言Web安全或许是一次不错的试金石。那么在威胁不断加重的Web安全面前，企业用户该如何应对?Web安全是一个大家经常接触的话题，安恒信息可以说是这个话题之中的一个重要角色，首先请您介绍一下对Web安全的认识以及安恒信息在Web安全方面的一些产品与技术。

　　范渊：我是07年初从硅谷回来，一直在美国也是做的网络安全、应用安全这方面的研究。安恒信息应该说是国内最早进行Web安全系列解决方案的一个提供商和研发厂商。现在安恒信息拥有明鉴和明御两大系列产品，明鉴就是我们讲的鉴别发现问题，指的就是Web应用扫描，弱点扫描的这个系列，而明御指的是防御性产品，它包括了Web应用防火墙和数据库审计。我们当初刚回国的时候，在宣传Web安全概念的时候，感觉大家的关注度并不是很高，但是随着这几年奥运安保，60周年和以及世博的开展，实际上Web安全已经成为一个明显的焦点。

　　主持人：我想问一下范总，在奥运或者是世博，安恒信息有没有参与这方面的工作呢?

　　范渊：有参与。在08年奥运前夕，安恒信息提前10个月为奥组委网站进行了一系列的白盒黑盒相关评估及相关加固工作，并且使用了安恒信息相关产品与服务，最后还获得奥组委所颁发的奖章。

　　主持人：那世博会这块呢?

　　范渊：安恒信息为世博安保项目提供了Web应用防火墙和Web应用弱点检测服务，并取得了很好的效果。

　　主持人：2010年快过去一半，这半年来的Web安全市场给您留下哪些深刻印象?

　　范渊：从去年年底到现在，就是正好半年的时间。这半年中，明显感觉到Web安全市场的突飞猛进，这个发展速度甚至可以说是超乎了预期。一方面，得益于大家对Web应用安全的认识;从另外一方面讲，就是Web安全有其必然性，因为本身原来在网络的“老三样”产品，大家都已经部署差不多以后，随着Web应用，电子政务、在线营业厅、网银等这样一个大环境下下，黑客产业链愈演愈烈的背景下，Web安全关注度的提升已经成为必然。

　　主持人：那么，下半年安恒信息在Web安全这块有没有什么新的动作和大家透露?

　　范渊：下半年安恒信息会继续发布我们在国内，甚至在全球领先的Web应用弱点扫描，Web应用防火墙等系列产品。同时，安恒信息会有一些新产品发布，包括分布式的扫描平台以及一些SaaS平台，包括分布式的数据库审计和Web应用防火墙系列，这些应该说在国内甚至国际都是属于非常领先的产品与解决方案。

　　主持人：我看相关资料了解到，您毕业于美国加州州立大学，有着十多年的技术研发和项目管理经验。我想问您一个创业性的问题：是什么原因触动您要回国创办致力于Web安全方面的杭州安恒信息技术有限公司?

　　A：实际上，我也可以在美国很好的生活，也有很优越的条件。我的硕博的课题其实也是Web安全方面。那么在做这个课题过程当中，我发现，实际上当时美国也是刚刚处于一个应用安全起步的阶段，那么在这个过程当中，我也发现这里问题也是非常多，而且这个市场需要一些非常好的解决方案，它具有很大的社会价值和经济价值，那么正因为出于这个角度考虑，07年初我放弃了绿卡回到国内创办杭州安恒信息技术有限公司。那么应该说这几年来，经过整个团队的努力，已经取得了非常好的口碑和社会价值与经济价值。

　　主持人：您在07年创办安恒信息到现在已经有三年多了，您觉得现在的Web安全跟以前的大环境有什么区别吗?

　　范渊：我感触比较深的应该还是在群体意识这一方面，现在越来越多的有价值的系统信息，正在以惊人的速度在互联网化。那么在这个过程中，实际上Web安全问题会越来越突出，因为Web应用安全问题客观来说它不是哪一家提供一个固定问题。比如，以前我们经常抱怨Windows有很多问题，经常会等着微软发布补丁，但是Web应用安全有其自身的特点，它是一个成千上万家应用安全的提供商。在这样的过程中，不是说哪家提供一个补丁来解决安全问题，而它是一个综合性工程。甚至有很多时候，我们建议，就说是产品和服务的结合的过程，比如说你在开发阶段，你可能就要进行黑盒和白盒扫描发现问题并解决问题，尽可能的发现在这个阶段。然后在发布之后、部署之后，你可能要进行7*24小时的防护和监控，这就是我们讲的Web应用防火墙系列，所以说这实际上它是一个综合性的工程，远远比以往的网络安全复杂。

　　主持人：随着Web2.0普及，SNS以及微薄应用不断加剧以后，您觉得安全厂商会面临哪些挑战?

　　范渊：随着像这类应用的迅速推广和用户群迅速增大，实际上很多的模式迅速得以复制，或者漏洞会迅速膨胀化和扩大化，像之前已经出现过很多应用跨站蠕虫泄露的案例，也使的这类问题能够以级数的量化增加，这样也要求我们能够提供非常实时的解决方案，包括事先发现问题，事后迅速解决问题。

　　主持人：随着企业管理与应用的不断Web化，您怎么看待现在web安全威胁与Web安全相关产品的对峙状况?

　　范渊：这个也是我们常常说的网络安全、应用安全领域都有的道高一尺，魔高一丈的过程。那么正是因为这个过程正在激励着我们这样的应用安全提供商、提供商能够提供真正有用的产品给用户。那么我觉得跟传统的网络安全领域其实还是有一些不同，随着我们刚才讲的网络安全的这个问题基本解决，那么应用安全这块，更贴近于用户的核心业务，更贴近于用户的核心应用和数据库，那么这样实际上会直接关系到它的经济价值，像最近一个省级的运营商他就全面的采用了安恒信息的Web应用防火墙、数据库审计以及整体安全服务，那么他是在为他的所有的BOS系统进行了相关的安全评估加固和内控审计相关的工作，并取得很好的效果。那么我上次在一个会上我也讲到一个观点就是说，应用安全这块可能不仅仅是在防止我们被失去价值，而是很可能会成为创造价值，而不像以前那样成为网络安全，它就是为了一个防护性的东西。他有可能会提供很多的价值的增量。

　　主持人：范总，您回国创办安恒信息已经三年了，与国外相比，国内Web安全产品有哪些“中国特色”呢?

　　范渊：肯定是有的，因为Web应用安全我们刚才讲到就是它实际上是跟应用相关的，那么实际上就是千千万万开发的应用，它实际的漏洞会成为我们所关注的一个焦点，所以像我们也会专门有安全团队、安全研究小组对比国内的一些论坛，尽量提供论坛的一些产品，比如说国内的一些CMS产品我们也经常发现有各种各样的危险非常大的漏洞，那么这些漏洞很可能不一定是国外的产品他所能够解决的，而在国内我们是必须要面对解决的。那么当然了，另外像我们常常说的，比如说中文化报表，中文化界面，以及与中国特色的有一些管理的一些方式，这个可能当然也是我们产品的一些特点。

　　主持人：安恒信息是国内较早研发Web应用防火墙的厂商，国内07、08年还是处于网络层安全产品的市场争夺期，能谈谈您当初的想法吗?

　　范渊：07年刚刚回来的时候，我们开始宣传Web安全，很多客户他不以为然，觉得网站我被黑了，我就再恢复一下就行了。到了后来，实际上已经是开始像我刚才说的经历了08年的奥运安保，经历了09年的60周年，国庆安全大检查，经历了世博，实际上很多的领导开始被洗脑，我觉得这是个好事情包括我们的温总理，实际上第一次在他的报告里面提到了网络安全这个词汇，我觉得是我们整体的社会的一个进步。另外我刚才也讲到，应用安全和数据库安全，安恒信息也最专注，也是国内目前的第一个品牌。

　　主持人：那安恒一些包括明鉴跟明御这两款产品，现在国内处于怎样的一个地位?

　　范渊：你可能也知道，明鉴的Web应用弱点扫描器和明御的Web应用防火墙是国内第一个Web应用弱点扫描器以及第一个Web应用防火墙。那么实际上，我们很自豪的作为一个民族企业，我们生产了这样两款产品，目前功能都已经足以可以和国外的最高系列的产品相抗衡，甚至有很多功能会优于它和强于它，比如说像明鉴的Web应用弱点扫描，它的误报率和漏报率就明显高于国内外的一些竞争对手。明御的Web应用防火墙，比如说在全透明之间部署，以及像针对于加密通道适应于ITCBS加密通道，这方面是国内外几乎所有的产品都不具备的。

　　主持人：今年10月将在北京举办OWASP 2010中国峰会，对中国用户来说OWASP是一个比较陌生的峰会，今年的主题是什么?您能具体介绍这个大会吗?

　　范渊：今年的主题还是应用安全，应用安全我们讲白盒黑盒评估和加固这个系列， OWASP组织其实可能对网友来说可能相对比较陌生一点，但是在美国它是一个非常非常有名的个Web安全组织。那么这个组织，他是提供了很多Web安全前瞻性的研究，大家有兴趣也可以到OWASP网站去看一看，那么我是OWASP中国区的副会长，确实也有想为推动Web安全这样的一个社区化和大家提高这样一个意识和水平，尽可能尽自己的一份努力，那么Web安全，OWASP提供了很多的Web安全的标准，实际上它现在已经是一个国际性的Web安全的公认的标准。

　　主持人：安恒信息会在这次峰会上有什么新的产品或者技术吗?

　　范渊：主要是会和大家分享一些我们在Web安全领域的就是的一些最新的成果，可能从产品方面，我刚才讲我们也会按照自己的步调在今年会推出几款创新的产品。那么OWASP这个会议，主要是会以Web安全的研究探讨为主。那么这次我们也请到了美国的很多知名的专家过来做这个相关的主题演讲。

　　主持人：我代我们用户问您一个问题，您也知道IT168有三大社区， ChinaUnix、ITPUB以及 IXPUB社区 ，这三个社区的企业用户他能参加这个大会吗?

　　范渊：完全可以，非常欢迎。

　　主持人：是免费的吗?

　　范渊：不是免费的，会有相关的门票，但是我们可能会补充很多费用一起来推动这个社区对安全这样一个研究。

　　主持人：那我在这也代范总邀请一下IT168的网友、企业用户关注一下OWASP大会.非常感谢范在百忙之中参加IT168的视频访谈，我们这次的视频访谈到此结束，谢谢大家。

　　范渊：谢谢大家。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。