3月1日~5日,全球信息安全领域的盛会RSA大会在美国旧金山隆重举行。来自全球各地的众多专家和学者参加了这次会议。各大安全厂商纷纷亮相新技术新产品,反映出当前全球信息安全产业、技术的空前热度,会议内容异常丰富。作为系列深度报道,本文试图通过主题演讲和产品技术展出,捕捉全球应用安全发展趋势。
信息安全,其核心在于“信息数据”的安全,而在数据处理中,应用才是关键。随着网络的快速发展,网络应用类别越来越多,应用复杂度也越来越高,人们逐渐发现,单纯解决数据的访问和传输的安全已经无法很好地保障信息安全,必须高度重视维护关键应用的安全,从数据的产生、计算和存储等多个角度来思考和解决。因此,对于“网络应用”安全的关注度也逐渐升温。在本次RSA大会上,技术专家、知名安全厂商谈论的焦点来看,网络应用安全呈献出以下几大发展趋势。
趋势1: WEB应用安全市场成为各应用安全厂商的必争之地
如今,越来越多的企业用户已将核心业务系统转移到网络上,WEB浏览器成为业务系统的窗口。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。Gartner的一份分析报告指出:在调查的企业数据中心中,92%的Web应用有安全缺陷;80%存在跨站攻击;高达62%存在SQL注入风险,而参数篡改和Cookies毒化也分别达到60%和37%;同时,专门针对应用层进行攻击的手段越来越多,越来越难以防范。
从技术的角度,WEB应用的安全主要涉及两个方面:服务器端和客户端。服务器端的安全隐患主要有脚本安全、SQL注入、“盗链”、DoS/DDoS攻击。而客户端的安全隐患主要是Cookie、证书、可执行代码的限制、安全选项设置不当等。
参加本次RSA大会的国外安全厂商中,有相当大的比重在试图提供完善的Web应用安全解决方案,国内安全厂商如绿盟科技、联想网御也都展示了自己在Web应用安全防护方面的探索和努力。可以看出,各安全厂商已经开始瞄准并不断发力此细分市场。