应用为王的时代 如何确保Web应用安全

不知从其何时，互联网已经成为人们生活当中不可或缺的“产物”，Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，给人们的生活带来了无法想象的变化。总而言之，以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术，已经在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时，也带来了前所未有的巨大安全风险。

“Web安全与你的应用环境以及使用方式是密切相关的！”安恒信息技术有限公司CEO&CTO范渊表示：“目前，企业用户都以全业务为发展目标，安全形势的焦点已经从之前的网络安全老三样到应用安全和全业务安全发展。而做好这项工作的实质就是我们的企业用户应具有良好的业务支撑环境及安全意识。”

应用为王的时代，安全问题如何避免

伴随互联网技术的迅速发展，基于传统网络架构的各类业务逐步向基于B/S架构的应用体系转变。业务类别越来越多，应用复杂度也越来越高。人们逐渐发现传统网络层的防护已经无法保障业务的安全运行。提升业务系统安全需要从业务流程、应用架构、应用系统等多个角度来思考从而寻求解决方案。因此，对于应用安全的关注度也逐渐升温。

面对来势汹汹的应用威胁，绝大多数企业并没有真正意识到其中的危机。一方面，恶意网站以600%的年增长速度在迅速增加；另一方面，77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。如果把前者比作明枪还可以避免的话，那么作为暗箭的后者可以轻而易举地攻击无辜普通网站访问用户，进而危及企业信誉。

安恒信息对于网页防篡改有很好的抵御方法，可以有效帮助用户避免来自“暗箭”的破坏，范渊指出：“安恒信息Web应用防火墙系列产品拥有快速的反应处理能力，该产品将实时监测网站服务器的相关是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。与此同时，WAF系统将对外显示之前的正确页面，防止被篡改的内容被访问到。”

网络安全老三样VS Web应用安全产品

在业务多样性发展的今天，越来越多的安全事件已经从网络层向应用层转移，趋于对利益的追求，以往破坏性的攻击方式已经被逐渐摒弃，取而代之的是对于信息的获取。随着攻击方式的改变，安全产品的部署策略也发生了天翻地覆的变化，传统的产品早已无法满足应用安全方面的防护，对于这种新兴的安全威胁完全是“自欺欺人”的状态，本来做不到的却偏偏又要灌输这样的能力，完全不从用户的安全角度去着想！

目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。

当谈到这一点时，范渊指出：“对于Web应用进行防护，Web应用防火墙是最有效的产品。Web应用防火墙的两个关键功能是，深入理解HTTP/HTTPS协议，可监测往返流量，能对web流量进行安全控制。Web数据中心是经常变化的，包括新的应用程序、新的软件模块，不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境，应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求。”

同时，范渊还指出了企业对Web应用安全防护的主要需求，比如部署简便，管理集中，操作简洁，性能影响甚微。包括：

对现有网络拓扑结构尽量无影响；

方便管理，无需进行复杂的配置；

对现有WEB服务器的访问速率不能造成太大的影响；

对正常业务访问不能进行错误的拦截阻断。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友