近年来，随着全球网络化的兴起，电子商务、信息服务和网络应用等信息化手段广泛应用于企业和客户之间，企业信息化建设蓬勃发展，伴随而来的是层出不穷的网络应用安全问题。由于缺乏对安全的重视和技术资金投入少，企业网络应用安全更是面临着巨大的威胁。特别是2011年底爆发的互联网用户信息泄露事件，更为我们敲响互联网安全的警钟，我们的企业存在哪些网络应用安全问题？又该采取何种措施来防范威胁？IT168企业级编辑部有幸邀请到梭子鱼中国区产品经理潘渊先生，为我们分析企业如何在2012年的互联网应用中做到无懈可击。

IT168企业级编辑部：梭子鱼产品经理专访

　　张玉森：各位网友大家好，我是IT168企业级编辑部上海分站主编张玉森，2011年底中国互联网发生了有史以来最大一次用户信息泄密事件，中国几大著名网站、论坛相继被黑客攻陷，仅CSDN一家网站600万用户的登录名及密码就遭到泄露。虽然泄露事件很快被平息，但是根据相关的证据显示，网站用户信息安全仍是我国互联网存在的最大问题之一，而且随着近几年企业信息化建设飞速成长，企业的信息安全也就成为了我们企业在发展中的重中之重。今天我们有幸邀请到了著名的企业网络安全服务提供商梭子鱼中国区产品经理潘渊先生，让他和我们一起来分享一下2012年网络安全方面的话题和企业网络信息安全的知识。潘经理，你好! 和我们网友们打个招呼。

　　潘  渊：大家好，我是梭子鱼中国区产品经理潘渊，今天很高兴有这样一个机会和大家、张主编来探讨一下互联网应用安全方面的一些课题。

　　张玉森：潘经理，在春节前夕，我国发生的一次大规模的网络泄密事件，据我所知，像最近的频繁发生的黑客攻击事件，在您看来，企业在网络化建设过程中，存在最大的安全漏洞是什么？

　　潘  渊：其实在我看来，企业的安全意识相对淡薄和安全防护手段相对缺失是目前企业面临最大的漏洞，对于一个企业而言，关注企业信息安全只有内部信息安全的一个团队，而基于这个团队设备的缺乏和安全维护手段的缺失，会导致在维护信息时无法做到真正地安全可靠，可以说是巧妇难为无米之炊。

　　张玉森：潘经理，随着互联网的不断发展，以及各种应用的不断深入，进入2012年，您觉得网络安全市场会有怎样的变化与挑战？

　　潘  渊：可以这么说，其实网络安全和网络应用是密不可分的，如何想了解网络安全的话，那么首先必须知道网络应用在2012年有什么巨大的发展？我们曾统计过，每一秒钟就会有一个域名被登记注册，并且有5个用户进行注册。随着APID平板电脑和安卓手机进入互联网应用，10个这样的用户中就有一个用户曾被攻击过。

　　张玉森：潘经理，对于现代企业来说，你刚才提到几个关键词，例如“注册量”、“注册频率”和“用户数据”。一般而言，安全分为两个层面：硬件和软件两方面，软件表现地比较被动，硬件则比较主动方式，那企业在做好数据防泄漏方面，您认为企业非常好的的数据安全架构是什么样子的？

　　潘  渊：从企业的数据安全架构来讲可以分为三个层次，第一个是终端客户的数据安全，另外一个是企业内部资源信息的安全，还有最重要的是终端客户和企业终端数据安全之间的交互传递时的信息安全，在这里有很多的产品能提供很多信息安全的防护手段。比如企业内部的数据库安全，我们可采用WEB应用安全防护设备来对内部资源进行保护。对于终端客户而言，由于潜在黑客的攻击而导致的信息泄露，我们可以针对终端进行信息安全防护。另外我们用户在访问企业内部时会使用VPN功能，那么我们能提供SSLVPN功能来保护用户在访问企业内部信息库的安全。

　　张玉森：那么我们知道企业信息化的过程中，针对现在应用层的安全威胁越来越多，企业也在考虑针对应用层的安全防护。那么我们企业在选择安全防护产品的过程中，WAF无疑是非常好的的选择，目前国内WAF市场又是怎样的局面？您能为我们分析下吗？

　　潘  渊：其实WAF也就是Web应用防火墙大约是在2007年进入市场，之前会有APS或ADS这样的设备，为什么WEB应用防火墙进入市场，最主要的是就是WEB应用越来越专业、深入到我们每一个人的生活当中，而针对WEB应用的攻击又层出不穷，所以根据这种情况，产生了WEB应用防火墙，专门应付WEB应用攻击，提供相对的防护手段。这是整体WEB应用防火墙能进入市场的主要原因。

　　张玉森：在您看来，标准的WEB应用防火墙应该具有哪些功能？

　　潘  渊：其实我们也分析过国内外的一些WAF的厂商，我们梭子鱼公司提出的反向代理的WAF产品已经成为业内安全产品市场的一个重要应用标准。在国外，很多金融企业一开始会把我们梭子鱼WEB应用防火墙作为防护WEB应用最主要的设备。而之后也很荣幸整个企业采用这个反向代理的技术，所以我认为反向代理技术是作为WAF产品的最重要的一个标准，能够中断整个信息流的传递，提供最直接安全的防护。

　　张玉森：那我们知道在中国应用安全市场上，有很多国外的一些品牌在国内经营，与国内外安全市场同类产品相比，梭子鱼Web应用防火墙又有哪些优势？

　　潘  渊：我可以概括为四点，梭子鱼Web应用防火墙提供最安全的防护和数据泄露防护、病毒过滤、扫描功能，另外梭子鱼Web应用防火墙可以和多个认证服务器想结合，提供给客户最完整全面的认证协议。梭子鱼Web应用防火墙提供应用交互功能、负载均衡、流量优化和其他一些应用控制手段，能够最大化地提供网络应用保护服务。另外梭子鱼Web应用防火墙是一个成熟的产品，我们在全球有数以千计的实际案例，相信能给每个客户最安全、全面的WEB应用安全防护。而且梭子鱼WEB进入中国市场非常早，结合上述中提到我们是一个成熟的产品和我们对中国互联网应用安全的了解，相信我们梭子鱼WAF能够提供给中国企业一个更全面的数据安全防护手段。

　　张玉森：潘经理，IT技术的发展总是让人应接不暇，WAF市场在2012年又会有怎样的变化？梭子鱼又会有怎样的应对措施？

　　潘  渊：我们WAF产品其实是一个技术相对成熟的产品，对于2012年而已，过去一年众多数据泄露事件实际上只是一个开始。在国外得到的反馈信息中，频繁的数据泄露已经成为重大的问题。那么2012年可能会更多更严重的信息安全事件，会有更多的目光集中在信息安全这个焦点上，同时WAF是防范信息泄露非常好的最有效的产品。

　　张玉森：在这里我想替企业的安全运维人员向您提一个问题，作为企业的安全运维人员，他们才是WAF的真正使用者，对于企业Web应用安全方面，您有哪些建议给大家？

　　潘  渊：我们梭子鱼包括WAF产品都有这么一个理念：simplify IT and protect your business.最主要的含义是我们会保护企业的信息安全，间接地保护了企业的投资安全，另外我们尽可能地简化IT的维护。所以我会给两个建议：首先挑选一款真正的、能提供给企业最大帮助的WAF产品，还有就是运行维护相当简单的WAF产品。如果产品界面不够友好，需要大量时间去维护管理，那始终无法为客户提供一个安全便利的安全防护手段。所以首先要考虑产品是否能提供一个安全的防护，另外操作起来简单便利，这是我们梭子鱼能提供给每一个人或企业最大的应用优势。 

　　张玉森：那各位网友，因为时间的关系，今天我们的访谈就暂时到此，如果大家对梭子鱼的产品有兴趣，欢迎大家访问IT168网络网站或者登录我们梭子鱼的网站来了解更进一步的信息，谢谢大家!

　　潘  渊：谢谢！