首页 > 信息安全 > 正文

Web应用安全实现加速度发展

2012-05-18 09:44:33  来源:比特网

摘要:今天,我们步入了全面信息化网络时代,网络安全问题已经成为一个广受关注的社会问题,Web应用安全的重要性无论怎样强调也不过分。如果说,
关键词: Web应用安全 We

    今天,我们步入了全面信息化网络时代,网络安全问题已经成为一个广受关注的社会问题,Web应用安全的重要性无论怎样强调也不过分。如果说,在以上网行为管理为代表的Web内容安全产品市场早已进入充分竞争阶段,那么在今天,Web应用安全产品市场也实现了加速度发展。


    早在7年前,作为第一个登上美国黑帽子大会上的中国人,安恒信息创始人范渊曾就Web应用安全话题在会上演讲。今天,在此领域积累多年的他对应用安全近几年的发展感受颇深。范渊清楚地记得,在2004年到2005年间,美国发生了信用卡数据失窃事件,应用安全和数据安全由此广受关注,但在当时的美国,这个市场也几乎是一片空白。当时,在美国做的第一代数据库审计与现在相比不可同日而语,但即便是这样,在当时也很受欢迎。


    从2007年开始,范渊带领安恒公司持续致力于提高用户的应用安全意识,但直到去年CSDN数据泄密事件发生后,他才真正感觉到,应用安全市场已经完成了第一阶段的培育。如果说,过去的企业网站只是个门户,那么在今天,业务系统已经到了真正扛大梁的时候,如:在金融、电信、财税、电商领域,业务系统已经成了企业业务支撑的核心力量,容不得其间断,也容不得数据篡改和失窃。在经历这一阶段后,今后会出现大量重要系统的部署。


    未来,信息安全作为最后一道防线,国产化非常重要。民族产业必须挑起重任。与芯片、操作系统不同,在应用安全领域,国内外基本是处在同一起跑线上,在技术上并不存在明显差距。而除了核心技术外,在业务系统、行业特性方面,国内企业在本土化方面更有优势。


    虽然Web应用安全市场正在迎来快速增长期。但在目前,国内还没有统一的Web应用防火墙(WAF)标准。那么,在现有的发展阶段,用户在选择WAF产品时,主要应该考虑哪些因素呢?Web应用安全资深专家杨勃告诉记者,评价WAF产品,最基本的是,要看该产品能否做到在保证安全同时又要透明化,目前国内厂商中能做到的大约只有两三家。IPS是透明的,但防护功能不够;用代理技术做防护最安全,但是不透明。只有采用了透明代理技术的WAF,才能真正称其为Web应用防火墙,才能帮助企业实现在安全防护的同时不影响业务系统运行。与杀毒软件不同,对应用防火墙防护能力的评估并没那么简单。因为它与业务关系非常紧密,如:在防护网银和防护教育考试系统时,它们所传递的每个参数都是不同的,网银里传递的往往是身份证号、手机号、密码,不会有sql注入的关键字,但考试系统就允许这种字符存在。这就涉及到WAF第二个非常重要的衡量指标,即:能否智能化地去适应不同的业务环境,降低WAF的实施难度,提高易用性。


    在范渊看来,应用安全不同于网络安全, 它应该是一个包含开发安全、测试安全、黑盒风险评估、上线实时监测、实时防护、关联分析和实时预警以及数据库数据安全、内部人员风险防范,事后的审计、追溯、合规等在内的全生命周期的完整体系。未来,打造Web应用全生命周期主动防御体系,将会成为安恒的核心竞争力。5月17日,在安恒信息成立5周年之际,安恒发布了一款网站安全监测平台,向打造全生命周期防御体系又迈进了一步。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:某月某日

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。