绿盟科技李从宇 ：WAF是Web应用系统的贴身保镖

开发人员安全意识薄弱 需要提升

黑客对各类网站进行攻击，大部分是受经济利益的驱使，也有为了表示炫耀自己技术高超的原因，或者仅仅是抱着泄愤、报复的目的。对于黑客的各种行为我们可能无法左右，但是我们也要更多的从企业自身去寻找原因，减少各类攻击事故的发生。对于当前企业中开发人员水平参差不齐，安全意识比较薄弱，也是导致企业网站留有安全隐患，时常遭到威胁攻击，面对这种情况，企业应该如何应对呢？

绿盟科技李从宇表示，“安全意识是一个棘手的问题，但并不容易。比方说，企业要建一个网站或者把一个流程（例如：财务报销）迁移到Web平台上，它就要做Web应用系统的开发，目前国内普通的开发水平的确会在这个代码开发过程中遗留下很多安全隐患，也就是漏洞，黑客可以在你的Web应用系统上线后，通过扫描等方法找到这些漏洞，实施攻击，造成破坏。出现这种情况，有安全意识的原因，即开发者没有足够的安全意识，更重要的是没有很好的工作规范对代码进行安全方面的测试。但这非常困难，因为承担Web应用系统开发的工程师，一般面临比较紧张的时间压力，他们的绝大部分精力是确保应用功能的实现，软件测试也是在验证功能的实现，比如我在表单中输入数据，是否能得到预期的输出，排在功能实现后面的关注点可能是页面效果，甚至还到不了安全方面。目前，大部分Web应用系统上线前都没有“足够好”的安全测试，已经有很多人注意到了这一点，有一些学术组织在做这方面的努力，试图提高开发、测试人员的安全意识，当然更理想的办法是在Web应用系统上线前，设置“足够好”的安全测试流程，但这又带来成本方面的问题。”

“所以，如果说到如何应对，这应该是个漫长的螺旋式上升过程，随着严重安全事件的出现，程序员的安全意识一定会逐渐提升，但受精力、成本、客户要求等因素的影响，这种提升赶不上黑客攻击技术的提升，而且开发程序员不能对具体安全事件应急，归根到底，还是无法将Web应用系统拥有者的“风险”降到可以接受的程度。采用专业的安全产品，能够大幅降低“风险”，从而达到客户的“风险”控制要求（级别），这也是我们绿盟科技开发WAF（Web Application Firewall，Web应用防火墙）产品的原因所在。”

医疗、教育行业未来需求明显

目前在金融、电信、医疗、大企业等各个行业都在应用web安全设备，那么不同的行业是否在需求上有明显的差异呢？

绿盟科技李从宇告诉记者，“各企业对Web安全设备的需求没有什么太大的差异，不过，我觉得我们国家的政府客户对网页防篡改的需求喊得特别厉害，而企业用户更担心的是数据库里面的客户信息。但这都是相对的特点，政府网站里也有数据，企业也担心页面被篡改。”

“相对来说，金融行业对Web安全的要求更高，只要想想网银系统就知道了，在Web平台上有那么多面向公众涉及“钱”的操作，其它行业的Web应用没有这么关键的。未来，大家都明白Web应用会越来越多，也肯定涉及各行各业，哪些行业在Web平台上开发出高价值应用，哪些行业的Web安全需求就大，我个人觉得医疗、教育行业也是很有可能的。”

对于WAF 国内国外差异大

提到国内与国外在Web应用安全方面的发展和需求,李从宇表示，“对于Web应用安全，国内和国外的差异还是比较明显的，国外主要在谈WAF，而国内谈防篡改比较多，国外技术领域主要在谈软件工程或软件测试流程中为什么会产生安全隐患，如何解决，而国内显得比较功利，就是在谈防篡改，如何恢复，有点“只顾面子”的感觉。当然，现在国内外的沟通越来越多了，国内客户和技术领域内的人也会很快明白，“只顾面子”是不行的，还是要分析本质原因，采用更主动的解决方案。”

世界在不断变化，攻击种类在不断增加，各种抗攻击手段也是五花八门的变化。企业到底该如何评估自己的安全水平呢？李从宇最后讲到，这是老问题了，我们国家推行的“等级化保护”对于风险评估、安全加固之间的关系有详细的论述。对Web安全也是一样适用的。对于企业来说，只要把Web安全风险控制在可以接受的程度之内就可以，没有百分之百的Web安全。黑客攻击技术在不断提升，现在很难执行的攻击难题，今后可能会变得很简单，所以企业不能指望一劳永逸地做好安全防范，也要根据技术的发展，不断进行更新。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友