众观Web安全形势

    之所以当前Web安全成为热门话题，关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计，目前针对Web应用的威胁正以爆炸式的速度增长，全球范围内企业与终端用户面临的风险已经到了非常严重的地步。

    对此，Wedge Networks全球CTO张鸿文博士介绍，无论是美国还是中国，随着“社会网络、Web2.0、SaaS”的兴起，网络本身已经成为社会生活的一部分。在这种环境下，与传统的病毒制造不同，当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。

图二

    事实上，随着当前Web应用开发越来越复杂与迅速，攻击者可以很容易地通过各种漏洞实施诸如：注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击，从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。

    另外，通过木马、漏洞控制海量的普通用户主机组成僵尸网络，利用这些“肉鸡”，控制者可以通过多种方式获取利益，比如发起攻击、点击广告、增加流量等行为。

    “从实际的经验看，在一个典型的Web服务架构中，很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面，从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务，恶意Web站点总是能够快速建立起来，并在搜索引擎的推动下袭击无辜的用户。”

    从Wedge Networks全球合作伙伴反馈的信息来看，美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上，那些国家中一些垂直行业与机构，比如公共安全、金融、医疗、交通、能源等企业，对于Web安全保护的技术关注与投入都非常高。

    实际情况是可悲的。根据趋势科技发布的统计数字，从今年二季度开始，国内就有超过1万个大型网站遭受“注入攻击”，这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。

    有用户BBS上留言：“我们重视Web安全造成的损失，但是我不清楚，这部分预算究竟应该分配给谁：是分配给负责网络基础设施的管理团队，还是分配给管理Web服务器和数据库服务器的团队?”无疑，Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。

    问题已经很清楚了，当前针对Web应用的威胁，企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出：“当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范，而针对Web应用的威胁是基于协议的七层攻击(应用层攻击)，从技术角度来看，传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。”