如何看待Web時(shí)代安全帶來(lái)的危機(jī)

不知從其何時(shí)，互聯(lián)網(wǎng)已經(jīng)成為人們生活當(dāng)中不可或缺的"產(chǎn)物"，Web2.0、社交網(wǎng)絡(luò)、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，給人們的生活帶來(lái)了無(wú)法想象的變化�？偠�言之，以協(xié)同工作環(huán)境、社會(huì)性網(wǎng)絡(luò)服務(wù)以及托管應(yīng)用程序?yàn)榇�表的Web技術(shù)，已經(jīng)在很大程度上改變?nèi)藗儨贤ń涣鞯姆绞胶凸ぷ鞣绞�。但這些新的技術(shù)在給商業(yè)活動(dòng)的發(fā)展帶來(lái)便利的同時(shí)，也帶來(lái)了前所未有的巨大安全風(fēng)險(xiǎn)。

"Web安全與你的應(yīng)用環(huán)境以及使用方式是密切相關(guān)的！"安恒信息技術(shù)有限公司CEo&CTo范淵表示："目前，企業(yè)用戶都以全業(yè)務(wù)為發(fā)展目標(biāo)，安全形勢(shì)的焦點(diǎn)已經(jīng)從之前的網(wǎng)絡(luò)安全老三樣到應(yīng)用安全和全業(yè)務(wù)安全發(fā)展。而做好這項(xiàng)工作的實(shí)質(zhì)就是我們的企業(yè)用戶應(yīng)具有良好的業(yè)務(wù)支撐環(huán)境及安全意識(shí)。"

應(yīng)用為王的時(shí)代 安全問(wèn)題如何避免

伴隨互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的各類業(yè)務(wù)逐步向基于B/S架構(gòu)的應(yīng)用體系轉(zhuǎn)變。業(yè)務(wù)類別越來(lái)越多，應(yīng)用復(fù)雜度也越來(lái)越高。人們逐漸發(fā)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)層的防護(hù)已經(jīng)無(wú)法保障業(yè)務(wù)的安全運(yùn)行。提升業(yè)務(wù)系統(tǒng)安全需要從業(yè)務(wù)流程、應(yīng)用架構(gòu)、應(yīng)用系統(tǒng)等多個(gè)角度來(lái)思考從而尋求解決方案。因此，對(duì)于應(yīng)用安全的關(guān)注度也逐漸升溫。

面對(duì)來(lái)勢(shì)洶洶的應(yīng)用威脅，絕大多數(shù)企業(yè)并沒(méi)有真正意識(shí)到其中的危機(jī)。一方面，惡意網(wǎng)站以600%的年增長(zhǎng)速度在迅速增加;另一方面，77%帶有惡意代碼的網(wǎng)站是被植入惡意攻擊代碼的合法網(wǎng)站。如果把前者比作明槍還可以避免的話，那么作為暗箭的后者可以輕而易舉地攻擊無(wú)辜普通網(wǎng)站訪問(wèn)用戶，進(jìn)而危及企業(yè)信譽(yù)。

安恒信息對(duì)于網(wǎng)頁(yè)防篡改有很好的抵御方法，可以有效幫助用戶避免來(lái)自"暗箭"的破壞，范淵指出："安恒信息Web應(yīng)用防火墻系列產(chǎn)品擁有快速的反應(yīng)處理能力， 該產(chǎn)品將實(shí)時(shí)監(jiān)測(cè)網(wǎng)站服務(wù)器的相關(guān)是否給非法更改，一旦發(fā)現(xiàn)被改則第一時(shí)間通知管理員，并形成詳細(xì)的日志信息。與此同時(shí)，WAF系統(tǒng)將對(duì)外顯示之前的正確頁(yè)面，防止被篡改的內(nèi)容被訪問(wèn)到。"

網(wǎng)絡(luò)安全老三樣 VS Web應(yīng)用安全產(chǎn)品

在業(yè)務(wù)多樣性發(fā)展的今天，越來(lái)越多的安全事件已經(jīng)從網(wǎng)絡(luò)層向應(yīng)用層轉(zhuǎn)移，趨于對(duì)利益的追求，以往破壞性的攻擊方式已經(jīng)被逐漸摒棄，取而代之的是對(duì)于信息的獲取。隨著攻擊方式的改變，安全產(chǎn)品的部署策略也發(fā)生了天翻地覆的變化，傳統(tǒng)的產(chǎn)品早已無(wú)法滿足應(yīng)用安全方面的防護(hù)，對(duì)于這種新興的安全威脅完全是"自欺欺人"的狀態(tài)，本來(lái)做不到的卻偏偏又要灌輸這樣的能力，完全不從用戶的安全角度去著想！

目前，很多企業(yè)采用網(wǎng)絡(luò)安全防御技術(shù)對(duì)Web應(yīng)用進(jìn)行防護(hù)，如綜合采用網(wǎng)絡(luò)防火墻、IDS、補(bǔ)丁安全管理、升級(jí)軟件等措施，然而這些方法難以有效的阻止Web攻擊，且對(duì)于HTTPS類的攻擊手段，更是顯得束手無(wú)策。

當(dāng)談到這一點(diǎn)時(shí)，范淵指出："對(duì)于Web應(yīng)用進(jìn)行防護(hù)，Web應(yīng)用防火墻是最有效的產(chǎn)品。Web應(yīng)用防火墻的兩個(gè)關(guān)鍵功能是，深入理解HTTP/HTTPS協(xié)議，可監(jiān)測(cè)往返流量，能對(duì)web流量進(jìn)行安全控制。Web數(shù)據(jù)中心是經(jīng)常變化的，包括新的應(yīng)用程序、新的軟件模塊，不斷更新的軟件補(bǔ)丁等。專業(yè)的安全工具和方法應(yīng)能適應(yīng)這種動(dòng)態(tài)環(huán)境，應(yīng)用配置的升級(jí)更新和對(duì)監(jiān)測(cè)數(shù)據(jù)的分析使得應(yīng)用防火墻總能適應(yīng)新的安全需求。"

同時(shí)，范淵還指出了企業(yè)對(duì)Web應(yīng)用安全防護(hù)的主要需求，比如部署簡(jiǎn)便，管理集中，操作簡(jiǎn)潔，性能影響甚微。包括：

◆對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡量無(wú)影響；

◆方便管理，無(wú)需進(jìn)行復(fù)雜的配置；

◆對(duì)現(xiàn)有WEB服務(wù)器的訪問(wèn)速率不能造成太大的影響；

◆對(duì)正常業(yè)務(wù)訪問(wèn)不能進(jìn)行錯(cuò)誤的攔截阻斷。

明御之劍 打造全透明部署Web應(yīng)用防火墻

明御WEB應(yīng)用防火墻是安恒信息結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)完成，滿足各類法律法規(guī)如PCI、等級(jí)保護(hù)、企業(yè)內(nèi)部控制規(guī)范等要求，以國(guó)內(nèi)首創(chuàng)的全透明部署模式全面支持HTTPS，在提供WEB應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護(hù)，為Web應(yīng)用提供全方位的防護(hù)解決方案。該產(chǎn)品致力于解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問(wèn)題，廣泛適用于"政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)"等所有涉及WEB應(yīng)用的各個(gè)行業(yè)。部署安恒的WAF產(chǎn)品，可以幫助用戶解決目前所面臨的各類網(wǎng)站安全問(wèn)題，如：注入攻擊、跨站腳本攻擊(釣魚攻擊)、惡意編碼(網(wǎng)頁(yè)木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DoS/DDoS攻擊等等。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]