安全是与信息系统的业务价值密不可分的,Web应用安全问题自互联网诞生以来就已存在,但Web应用的价值是近几年来越来越走进人们的生活成为业务系统中不可分割的一部分之后才变得尤为重要。如今的Web已经不仅仅是指大的门户网站,而是遍及每个单位企业,如官方网站、电子商务、电子政务、ERP等均是以Web为基础的重要应用,其承载的业务价值越高所面临的安全威胁也就越大。
信息安全在中国经历了近十年的发展,从传统的老三样网络防火墙、入侵检测、防病毒已经发展到了信息系统的各个方面。当前的Web应用安全现状主要存在以下几个方面:
1、安全意识需要转变:目前大部分还停留在网络安全,防病毒
2、Web安全还停留在防篡改层面
3、Web应用安全防御技术有待完善,技术、制度和法律方面都有待改进和健全。
4、入侵者形成的地下黑色产业链严重危害Web应用安全。
Web应用防护依据业务价值的不同,有着不同的安全基线,政府、金融、电子商务、社交网络等不同的领域有着明显的差异。从安全防护的角度来看,针对于Web应用层的防御是非常必要的,当前的安全形势也一再表明,75%以上的威胁来自应用层,而传统安全防护措施的功能,如网络防火墙、入侵检测和防病毒,这些防护措施当然也是必须的。
从Web应用防护技术上讲应该提供有效的防御工具和长效的防御措施,结合我们的实践经验推荐建立定期安全检测的制度,采用专业的安全防御产品,以及建立应急恢复机制。
Web应用防火墙的防护重点
Web应用防火墙即专注于Web应用防御的安全产品,用于防御应用层的如SQL注入攻击、跨站脚本攻击等传统安全设备无法防御的安全威胁,除了针对已知的应用攻击,安恒的Web应用防火墙还提供积极模式的安全防护功能,可以防护大量的未知攻击,最大程度的保护应用系统的安全。从产品形态上讲有硬件Web应用防火墙和软件Web应用防火墙。其产品的定位是专用于对原有信息安全架构下如网络防火墙,入侵防御系统等的一个有效补充。从而提高信息安全体系的安全保障。
Web应用防火墙的优势
Web应用防火墙与传统防火墙的主要区别在于防护的主体不同,传统网络防火墙主要用于网络协助的第三层、第四层的访问控制和攻击防御,另外一个重要功能就是做网络地址转换(NAT),而Web应用防火墙是专用于Web应用防护的产品,可以体现代码级的安全。另一方面从安全事件上也可以看出其区别,安恒信息在处理大量的应急响应的事件中绝大多数的用户都部署了网络防火墙,但是Web应用系统还是经常被入侵,而部署Web应用防火墙后几乎所有的攻击事件就再也没有发生过,都被应用防火墙有效的拦截掉了。
Web防火墙是对传统安全设备对应用层防护的一个有效补充,足可以看出与网络防火墙的差异,所以说Web应用防火墙与网络防火墙是有机统一的,而不是对立的。
Web应用防火墙国内外情况及未来发展趋势
Web应用防火墙在国外出现的时间比国内早,国外也有Web应用防火墙,市场的认知度相对比国内要早3年左右,像美国的几家专业的Web应用防火墙厂商相继被大的安全公司并购,一线的大安全公司均在Web应用防火墙大力投入。从目前市场发展情况来看,Web应用防火墙的发展还是很被看好的,从2008年开始国内陆续有不少公司开发Web应用防火墙,如传统的网络安全厂商,以及新兴的专业开发Web应用防火墙的公司在不断的增加。另一方面从用户的认知度也可以看出有了明显的改变,在2007年的时候用户都不知道什么是Web应用防火墙,都要问和网络防火墙的区别,而到了今年大多数用户都听说过或试用过Web应用防火墙了。
杭州安恒公司是国内最早从事Web应用防火墙研究的公司之一。安恒2006年时就对Web应用防火墙进行了研发,2007年以Web深度防御系统的方式在国内首家发布了Web应用防火墙。
Web应用防火墙的发展目前有两个方向,其一向高性能专业设备的方面发展,其二是朝Web应用综合网关的方面发展。从两年来的Web应用防火墙开发和营销的经历上看,安恒公司认为Web应用防火墙市场即将进入井喷时期。
防护Web安全注意事项
首先Web应用安全是一个整体,所以我们谈安全时最好从信息安全风险分析的角度来考虑,如基本的网络层安全、操作系统安全是否到位?在这些基础安全的情况下,Web应用安全则应作为防护的重心来考虑。而一套Web应用系统的安全最好从程序安全的设计、应用定期安全检测、即时安全防护等多个方面来提高安全防护的水平。
嘉宾介绍
范渊先生,毕业于美国加州州立大学,计算机科学博士。国际著名安全公司十多年的技术研发和项目管理经验。对在线安全,数据库安全和审计,Compliance(如SOX、PCI、ISO17799/27001)有极其深刻的研究。由于他在信息安全领域的技术创新的成功实践,成为第一个登上全球优异安全大会BLACKHAT(黑帽子)大会进行演讲的中国人。