Web應用安全實現加速度發展

   今天，我們步入了全面信息化網絡時代，網絡安全問題已經成為一個廣受關注的社會問題，Web應用安全的重要性無論怎樣強調也不過分。如果說，在以上網行為管理為代表的Web內容安全產品市場早已進入充分競爭階段，那麼在今天，Web應用安全產品市場也實現了加速度發展。

    早在7年前，作為第一個登上美國黑帽子大會上的中國人，安恆信息創始人范淵曾就Web應用安全話題在會上演講。今天，在此領域積累多年的他對應用安全近幾年的發展感受頗深。范淵清楚地記得，在2004年到2005年間，美國發生了信用卡數據失竊事件，應用安全和數據安全由此廣受關注，但在當時的美國，這個市場也幾乎是一片空白。當時，在美國做的第一代數據庫審計與現在相比不可同日而語，但即便是這樣，在當時也很受歡迎。

    從2007年開始，范淵帶領安恆公司持續致力於提高用戶的應用安全意識，但直到去年CSDN數據洩密事件發生後，他才真正感覺到，應用安全市場已經完成了第一階段的培育。如果說，過去的企業網站只是個門戶，那麼在今天，業務系統已經到了真正扛大梁的時候，如：在金融、電信、財稅、電商領域，業務系統已經成了企業業務支撐的核心力量，容不得其間斷，也容不得數據篡改和失竊。在經歷這一階段後，今後會出現大量重要系統的部署。

    未來，信息安全作為最後一道防線，國產化非常重要。民族產業必須挑起重任。與芯片、操作系統不同，在應用安全領域，國內外基本是處在同一起跑線上，在技術上並不存在明顯差距。而除了核心技術外，在業務系統、行業特性方面，國內企業在本土化方面更有優勢。

    雖然Web應用安全市場正在迎來快速增長期。但在目前，國內還沒有統一的Web應用防火牆（WAF）標准。那麼，在現有的發展階段，用戶在選擇WAF產品時，主要應該考慮哪些因素呢？Web應用安全資深專家楊勃告訴記者，評價WAF產品，最基本的是，要看該產品能否做到在保證安全同時又要透明化，目前國內廠商中能做到的大約只有兩三家。IPS是透明的，但防護功能不夠；用代理技術做防護最安全，但是不透明。只有采用了透明代理技術的WAF，才能真正稱其為Web應用防火牆，才能幫助企業實現在安全防護的同時不影響業務系統運行。與殺毒軟件不同，對應用防火牆防護能力的評估並沒那麼簡單。因為它與業務關系非常緊密，如：在防護網銀和防護教育考試系統時，它們所傳遞的每個參數都是不同的，網銀裡傳遞的往往是身份證號、手機號、密碼，不會有sql注入的關鍵字，但考試系統就允許這種字符存在。這就涉及到WAF第二個非常重要的衡量指標，即：能否智能化地去適應不同的業務環境，降低WAF的實施難度，提高易用性。