Web安全防护逐步加深

Web安全问题是在两个大的背景下产生的：一个是Web应用的发展和广泛普及；一个是信息安全（或网络安全）的大趋势。日前，联想网御总裁兼CTO毕学尧博士就Web应用安全问题接受了笔者的专访。

专访嘉宾介绍

联想网御总裁兼CTO毕学尧博士

中国的互联网在2003年以后出现了井喷式发展，随着Web 2.0时代的到来，Web应用已经无处不在，Web应用安全问题也开始逐渐凸显出来。相关数据可以参见CNNIC历年统计分析数据，主要是网站数量、域名数量、网页总数和网民数量等几个维度的统计数据。

2005年是网络安全的一个分水岭，2005年之前，安全问题主要是凸显在以系统及网络漏洞为根源的安全问题，安全问题主要围绕操作系统及网络层的相关漏洞，最典型的网络安全事件都集中在微软及其他操作系统的系统级安全问题；随着微软对安全问题的重视以及SDL在微软开发过程中的应用及普及，2005年以后安全问题开始逐渐开始转向应用安全领域，主要是Web应用相关的安全漏洞，其中以XSS和SQL注入的应用安全漏洞开始被大规模利用。相关统计数据可以参见SANS TOP20统计数据及OWASP TOP10应用安全漏洞统计数据。

当前的Web应用安全问题主要集中以XSS、SQL注入等应用安全漏洞为基础的攻击，攻击表现为网站挂马和网站篡改等攻击时间；中国的网站安全问题尤其堪忧，早期建设的大量网站在建设初期主要考虑了系统及网络安全层面的防护，绝大多数忽略了应用安全层面的建设和防护，早期的Web应用相关的代码也缺少相应的安全编程规范，所以中国的网站安全尤其是电子政务门户网站的安全令人堪忧。2010年两会期间，工信部发布的官方统计数据是中国每天被黑的政府网网站多达45个。

Web应用的安全防护

从解决方案的角度来说，Web应用的防护应该是一个动态的安全防护过程，应该包含事前的安全编码、上线之前的安全检测及渗透、上线之后的监控及防护。由于当前大多数的系统是早期已经上线的Web应用系统，因此大多数的安全防护是通过增加安全防护设备来实现，如Web应用防火墙、网页防篡改、网站加固等手段。

Web应用防火墙

Web应用防火墙(WAF)目前尚未有统一的标准定义，国际上有两个组织OWASP和WASC曾经给出过相关定义。

简而言之，Web应用防火墙就是专门针对HTTP及HTTPS协议进行细粒度控制及防护的安全防护系统，主要是架设在Web服务器之前来对来自客户端及服务器返回的数据基于安全策略进行安全防护。

Web应用防火墙主要工作在应用层，主要是HTTP协议的控制和防护，能够实现对HTTP协议的细粒度解析和控制；传统防火墙主要工作在四层一下，主要是基于包的检测技术，不能实现对HTTP协议的精细控制。

Web应用防火墙的防护重点主要是来自访问端对Web服务器的攻击，通过安全策略来限制和控制来自外部的攻击；同时能够对服务器返回的数据进行防护，如服务器返回的错误信息防护，服务器返回的敏感内容的防护等。

Web应用防火墙的发展趋势

国外的Web应用防火墙主要在2000年左右出现，但由于当时的Web安全事件较少，市场一直没有启动；由于2005年安全问题开始转向Web安全，再加上2006年左右国外的PCI DSS标准推广，WAF正式登上历史舞台开始成为世人瞩目的焦点。

未来的发展趋势开始向数据库防护及Web Service防护逐渐深入，开始和具体的业务系统配合更加紧密；防护会更加智能；功能会更加强大，逐渐渗透到应用交付领域，实现缓存加速和负载均衡等功能。

Web应用防火墙的竞争优势

通过上面多个问题的分析我们可以看出，WAF与UTM、IPS的产品定位不同，WAF对用户的业务保障是一个有竞争力的安全解决方案。

目前Web应用防火墙主要分为：

·采用基于HTTP会话的检测技术的WAF厂商

·基于IPS技术号称WAF的厂商

·基于UTM或防火墙技术号称WAF的厂商

·基于负载均衡技术号称WAF的厂商

·部分防篡改厂商的WAF

目前国外的WAF主要是Imperva和梭子鱼两家；Cisco也曾经收购了一家WAF厂商，但是其产品分类是在应用交付领域。

企业的Web安全防护

对于企业的Web安全防护需要具体情况具体分析，主要需遵循如下原则：

(1)不能影响Web应用的正常运行及使用；

(2)Web安全防护不能影响Web服务的性能及可用性；

(3)Web安全防护不要对现有系统进行太多变更；

(4)尽量不要在Web服务器上安装插件，以免影响Web服务器的稳定性及安全性；

(5)需要在安全性和业务连续性保证方面取得一个较好的平衡点。