国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　Web安全問題是在兩個(gè)大的背景下產(chǎn)生的：一個(gè)是Web應(yīng)用的發(fā)展和廣泛普及;一個(gè)是(或網(wǎng)絡(luò)安全)的大趨勢(shì)。日前，網(wǎng)御總裁兼畢學(xué)堯博士就Web應(yīng)用安全問題接受了筆者的專訪。

　　專訪嘉賓介紹

　　聯(lián)想網(wǎng)御總裁兼CTO畢學(xué)堯博士

　　中國的在2003年以后出現(xiàn)了井噴式發(fā)展，隨著時(shí)代的到來，Web應(yīng)用已經(jīng)無處不在，Web應(yīng)用安全問題也開始逐漸凸顯出來。相關(guān)數(shù)據(jù)可以參見CNNIC歷年統(tǒng)計(jì)分析數(shù)據(jù)，主要是網(wǎng)站數(shù)量、數(shù)量、網(wǎng)頁總數(shù)和網(wǎng)民數(shù)量等幾個(gè)維度的統(tǒng)計(jì)數(shù)據(jù)。

　　2005年是網(wǎng)絡(luò)安全的一個(gè)分水嶺，2005年之前，安全問題主要是凸顯在以系統(tǒng)及網(wǎng)絡(luò)漏洞為根源的安全問題，安全問題主要圍繞及網(wǎng)絡(luò)層的相關(guān)漏洞，最典型的網(wǎng)絡(luò)安全事件都集中在及其他操作系統(tǒng)的系統(tǒng)級(jí)安全問題;隨著微軟對(duì)安全問題的重視以及SDL在微軟開發(fā)過程中的應(yīng)用及普及，2005年以后安全問題開始逐漸開始轉(zhuǎn)向應(yīng)用安全領(lǐng)域，主要是Web應(yīng)用相關(guān)的安全漏洞，其中以XSS和SQL注入的應(yīng)用安全漏洞開始被大規(guī)模利用。相關(guān)統(tǒng)計(jì)數(shù)據(jù)可以參見SANS TOP20統(tǒng)計(jì)數(shù)據(jù)及OWASP TOP10應(yīng)用安全漏洞統(tǒng)計(jì)數(shù)據(jù)。

　　當(dāng)前的Web應(yīng)用安全問題主要集中以XSS、SQL注入等應(yīng)用安全漏洞為基礎(chǔ)的攻擊，攻擊表現(xiàn)為網(wǎng)站掛馬和網(wǎng)站篡改等攻擊時(shí)間;中國的網(wǎng)站安全問題尤其堪憂，早期建設(shè)的大量網(wǎng)站在建設(shè)初期主要考慮了系統(tǒng)及網(wǎng)絡(luò)安全層面的防護(hù)，絕大多數(shù)忽略了應(yīng)用安全層面的建設(shè)和防護(hù)，早期的Web應(yīng)用相關(guān)的代碼也缺少相應(yīng)的安全編程規(guī)范，所以中國的網(wǎng)站安全尤其是電子政務(wù)門戶網(wǎng)站的安全令人堪憂。2010年期間，發(fā)布的官方統(tǒng)計(jì)數(shù)據(jù)是中國每天被黑的政府網(wǎng)網(wǎng)站多達(dá)45個(gè)。

　　Web應(yīng)用的安全防護(hù)

　　從解決的角度來說，Web應(yīng)用的防護(hù)應(yīng)該是一個(gè)動(dòng)態(tài)的安全防護(hù)過程，應(yīng)該包含事前的安全編碼、上線之前的安全檢測(cè)及滲透、上線之后的監(jiān)控及防護(hù)。由于當(dāng)前大多數(shù)的系統(tǒng)是早期已經(jīng)上線的Web應(yīng)用系統(tǒng)，因此大多數(shù)的安全防護(hù)是通過增加安全防護(hù)設(shè)備來實(shí)現(xiàn)，如Web應(yīng)用、網(wǎng)頁防篡改、網(wǎng)站加固等手段。

　　Web應(yīng)用防火墻

　　Web應(yīng)用防火墻(WAF)目前尚未有統(tǒng)一的標(biāo)準(zhǔn)定義，國際上有兩個(gè)組織OWASP和WASC曾經(jīng)給出過相關(guān)定義。

　　簡而言之，Web應(yīng)用防火墻就是專門針對(duì)HTTP及HTTPS協(xié)議進(jìn)行細(xì)粒度控制及防護(hù)的安全防護(hù)系統(tǒng)，主要是架設(shè)在之前來對(duì)來自客戶端及返回的數(shù)據(jù)基于安全策略進(jìn)行安全防護(hù)。

　　Web應(yīng)用防火墻主要工作在應(yīng)用層，主要是HTTP協(xié)議的控制和防護(hù)，能夠?qū)崿F(xiàn)對(duì)HTTP協(xié)議的細(xì)粒度解析和控制;傳統(tǒng)防火墻主要工作在四層一下，主要是基于包的檢測(cè)技術(shù)，不能實(shí)現(xiàn)對(duì)HTTP協(xié)議的精細(xì)控制。

　　Web應(yīng)用防火墻的防護(hù)重點(diǎn)主要是來自訪問端對(duì)Web服務(wù)器的攻擊，通過安全策略來限制和控制來自外部的攻擊;同時(shí)能夠?qū)Ψ?wù)器返回的數(shù)據(jù)進(jìn)行防護(hù)，如服務(wù)器返回的錯(cuò)誤信息防護(hù)，服務(wù)器返回的敏感內(nèi)容的防護(hù)等。

　　Web應(yīng)用防火墻的發(fā)展趨勢(shì)

　　國外的Web應(yīng)用防火墻主要在2000年左右出現(xiàn)，但由于當(dāng)時(shí)的Web安全事件較少，市場(chǎng)一直沒有啟動(dòng);由于2005年安全問題開始轉(zhuǎn)向Web安全，再加上2006年左右國外的PCI DSS標(biāo)準(zhǔn)推廣，WAF正式登上歷史舞臺(tái)開始成為世人矚目的焦點(diǎn)。

　　未來的發(fā)展趨勢(shì)開始向防護(hù)及Web Service防護(hù)逐漸深入，開始和具體的業(yè)務(wù)系統(tǒng)配合更加緊密;防護(hù)會(huì)更加智能;功能會(huì)更加強(qiáng)大，逐漸滲透到應(yīng)用交付領(lǐng)域，實(shí)現(xiàn)緩存加速和負(fù)載均衡等功能。

　　Web應(yīng)用防火墻的競(jìng)爭優(yōu)勢(shì)

　　通過上面多個(gè)問題的分析我們可以看出，WAF與UTM、的產(chǎn)品定位不同，WAF對(duì)用戶的業(yè)務(wù)保障是一個(gè)有競(jìng)爭力的安全解決方案。

　　目前Web應(yīng)用防火墻主要分為：

　　·采用基于HTTP會(huì)話的檢測(cè)技術(shù)的WAF廠商

　　·基于IPS技術(shù)號(hào)稱WAF的廠商

　　·基于UTM或防火墻技術(shù)號(hào)稱WAF的廠商

　　·基于負(fù)載均衡技術(shù)號(hào)稱WAF的廠商

　　·部分防篡改廠商的WAF

　　目前國外的WAF主要是Imperva和兩家;也曾經(jīng)收購了一家WAF廠商，但是其產(chǎn)品分類是在應(yīng)用交付領(lǐng)域。

　　的Web安全防護(hù)

　　對(duì)于企業(yè)的Web安全防護(hù)需要具體情況具體分析，主要需遵循如下原則：

　　(1)不能影響Web應(yīng)用的正常運(yùn)行及使用;

　　(2)Web安全防護(hù)不能影響Web服務(wù)的性能及可用性;

　　(3)Web安全防護(hù)不要對(duì)現(xiàn)有系統(tǒng)進(jìn)行太多變更;

　　(4)盡量不要在Web服務(wù)器上安裝插件，以免影響Web服務(wù)器的穩(wěn)定性及安全性;

　　(5)需要在安全性和業(yè)務(wù)連續(xù)性保證方面取得一個(gè)較好的平衡點(diǎn)。