当应用爱上Web：解析Web安全技术与产品

随着互联网的广泛应用和电子商务的迅速发展，基于Web环境的计算机网络安全日益引起世界各国政府和企业的关注;与此同时，Web安全技术水平也在与病毒、黑客等的较量中不断得到提高。近几年兴起的Web 2.0也在相当程度上，更加凸显出了Web安全技术以及产品市场在人们生产生活中所起到的重要作用。

一、Web安全市场概述

随着互联网产业的发展，国内外基于Web环境的网线信息安全技术也不断得到发展和改进。目前，国内安全产品仍然主要集中在防病毒、防火墙、数据加密、入侵检测、VPN应用。其中，尤其以防病毒和防火墙应用最为广泛，其他技术产品则会随着市场需求的多元化而出现较快增长。

在网络安全产品上，防火墙产品在网络安全产品中依然占据绝对的市场份额，国内市场防火墙品牌之争中，国产防火墙与国外品牌基本持平，国内以启明星辰、绿盟、天融信、安恒信息等为主，国外的则以Websense、Checkpoint和思科为主。

IDS产品在国内网络安全市场的普及与认知程度仅次于防火墙产品，目前在国内占有较高市场份额的产商主要有启明星辰、金诺网安等。

我国VPN市场发展速度比较快，一些厂商已经推出单独的VPN产品，另有一些厂商在防火墙中集成了VPN模块，能够实现VPN的部分功能。目前在国内占有较高市场份额的产商主要有启明星辰、绿盟、天融信等。

安全服务已成为网络安全整体解决方案的重要组成部分。各网络安全厂商正在向“产品+服务”的综合提供商的方向上发展。安全服务从一开始就贯穿在整个的安全体系中，从售前的安全咨询、安全风险评估，到安全产品项目实施，一直延续到售后的安全培训、技术支持、系统维护、产品更新等项目周期的全过程。

从行业来看，目前在银行、保险、证券、邮电、军队、海关、税务、政府部门等行业用户以及电子商务公司与网站对防火墙、扫描器、入侵检测、访问控制、数据加密等安全产品的需求日益增加，安全服务市场也随之看涨。根据CCID的调查数据,政府、金融、电信等用户成为网络安全软件市场的主要消费者，三者合计占据市场份额的65.5%;同时，交通、军队和中小企业也享有一定的市场份额。

二、Web安全技术与产品

1、杀毒软件

杀毒软件作为一种重要的安全应用工具，一直备受用户青睐。正所谓“魔高一尺道高一丈”，杀毒软件会随着各种病毒的变种和泛滥而不断完善查杀技术和运行机制。

近年来，杀毒软件市场竞争日趋激烈，国内厂商也更加注重产品技术的创新和广告宣传。既有颠覆传统杀毒模式、使用29道安全防护的江民杀毒软件KV2010，也有主打智能主动防御、极速查杀的瑞星杀毒软件2010，更有只占19MB内存号称真正云查杀的金山毒霸2011。另外一方面，国外安全厂商在国内的企业级市场刚站稳脚跟，纷纷投入到进入国内零售市场的角逐之中。更有甚者一改以往忽视中国安全市场的观念，大举进入中国，比如今年德国杀毒软件鼻祖Avira(俗称:小红伞)进入中国市场就是最好的例子。

目前，国内的安全市场上国内外杀毒软件可谓各占半壁江山。国外杀毒软件占据主导地位的五大品牌有：趋势科技的PC-cillin、Macfee、卡巴斯基、赛门铁克的Norton Antivirus和Panda的杀毒软件产品。国内则是金山、360杀毒、江民和瑞星。

需要指出的是，杀毒软件的网络版(企业版)市场也是一个不容忽视的领域。这些企业级杀毒软件需要比普通版具有更高的技术水平和服务层次。不仅需要提供多平台支持，还要支持企业可能应用到的所有网络协议和邮件系统。

相比较国外安全厂商，国内杀毒软件厂商目前具有两方面的优势：价格和查杀本土病毒。但从长远来看，随着互联网应用的日益深入和生活水平的提高，人们对网络安全会更加重视，这就使得只有那些提供最优服务和先进技术的安全软件产品才能长久不败。

2、防火墙

防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。它可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离，将攻击和入侵造成的威胁分别限制在较小的子网内，提高网络体系的整体安全水平。常见的路由器、虚拟局域网、防火墙都是当前主要的网络分段手段。

从实现原理上分，防火墙的技术包括四大类：网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。

网络级防火墙——一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

应用级网关——应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。

电路级网关——电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器(Proxy Server)。

规则检查防火墙——该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点，但是不同于一个应用级网防火墙关的是，它并不打破客户机/服务器模式来分析应用层的数据，允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

一般来说，防火墙可以配置在以下网络连接处：

A.内部网与互联网之间连接。可利用防火墙作为网关设备实现地址转换(NAT)、网络隔离(DMZ)、存取安全控制。

B.在广域网系统中，企业总部的局域网将各分支机构的局域网视为不安全系统。需要各自安装防火墙，并可以利用防火墙的VPN功能组成虚拟专网。

C.需要为移动拨号用户服务时，利用防火墙的VPN功能组成拨号VPN(VPDN)。

D.SP可利用防火墙的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志记录等功能。

E.企业网各部门网络之间存在信息控制需求时,可使用防火墙。

目前防火墙在国内市场的竞争也十分激烈。一方面，国外厂商纷纷进入中国市场，国内市场上较著名的外商防火墙有Checkpoint、Gauntlet、Pix、Netscreen等;另一方面，由于防火墙市场需求量大，国内很多网络安全厂商基本以防火墙作为生产的首选。比如天网、天融信、中科网威、联想、海信、紫光等都有自己开发的防火墙。

相比较国内产品，国外防火墙占据技术成熟知名度高的优势。金融、电信、大型ISP等一般都选用国外防火墙产品。而国内自主开发的防火墙主要集中在低端领域。不过考虑到国外防火墙的潜在危害，国家机关和军队等部门一般使用自主防火墙产品。

3、扫描器和入侵检测

安全扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告。在网络安全体系建设中，安全扫描工具花费低、见效快，安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。

评价一款网络安全扫描工具的性能主要考虑一下因素：扫描发现漏洞的数量和漏洞数据库更新速度;扫描效率;模拟攻击方法的灵活性;易用性和稳定性;分析报告的形式。

入侵检测系统(Intrusion-detection system，下称“IDS”)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志(signature-based)，另一种基于异常情况(anomaly-based)。

对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。

经历了连续几年的高速发展与激烈竞争，中国入侵检测市场格局走向稳定。根据IDC中国安全市场报告，中国入侵检测产品市场排名前三名的厂商所占市场空间较去年明显升高，小厂商所占空间明显缩小。而国际知名的入侵检测厂商包括ISS、CISCO等在中国市场均一直表现欠佳。

国外厂商在中国入侵检测市场表现较差的主要原因是入侵检测产品的核心价值在威胁呈现，不同区域的用户需求有明确差异，在这方面本土厂商占据了较大优势，可以快速跟进用户需求，而国际厂商则很难做到快速响应本地市场的需求，因此导致了国内厂商主导中国入侵检测市场的格局。

4、云安全

云安全是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。它不仅能解决未来杀毒软件无法有效地处理日益增多的恶意程序的困境，也能通过协同计算来过滤网络上的垃圾邮件。

中国企业创造的“云安全”概念，在国际云计算领域独树一帜。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件。

趋势、卡巴斯基、MCAFEE、金山、360安全卫士、江民科技、瑞星、PANDA、SYMANTEC等都推出了云安全解决方案。由于云安全是近年最新流行起来的安全技术，因此在这方面，国内厂商非但没有落后国外，反而还有所创新，与企业自主研发技术结合使用。

三、Web安全总体分析

从总体上看，网络安全涉及网络系统的多个层次和多个方面，同时，它也是动态变化的过程。因此，网络安全实际上是一项系统工程。它既涉及对外部攻击的有效防范，又包括制定完善的内部安全保障制度;既涉及防病毒攻击，又涵盖实时检测、防黑客攻击等内容。因此，网络安全解决方案不应仅仅提供对于某种安全隐患的防范能力，而是应涵盖对于各种可能造成网络安全问题隐患的整体防范能力;同时，它还应该是一种动态的解决方案，能够随着网络安全需求的增加而不断改进和完善。

目前国内的安全产品已经成为网络用户的专属配置，像时尚达人的潮流服饰一样属于必备品。在安全厂商注重产品易用性和用户界面上的同时，应该进一步加快产品技术的研发，缩短与国外厂商的技术差距。

另外，国内安全厂商应该有更为长远的战略眼光，贴心为用户设计和开发产品，不留后门不为眼前而损害用户利益，把更多的精力放在整个行业的技术角逐和服务大比拼上，只有这样，才能为企业自身创造良好的经营环境和树立良好的企业声誉，企业也才能获得更加持久的良性发展。