安全是与信息系统的业务价值密不可分的,Web应用安全问题自互联网诞生以来就已存在,但Web应用的价值是近几年来越来越走进人们的生活成为业务系统中不可分割的一部分之后才变得尤为重要。如今的Web已经不仅仅是指大的门户网站,而是遍及每个单位企业,如官方网站、电子商务、电子政务、ERP等均是以Web为基础的重要应用,其承载的业务价值越高所面临的安全威胁也就越大。
信息安全在中国经历了近十年的发展,从传统的老三样网络防火墙、入侵检测、防病毒已经发展到了信息系统的各个方面。当前的Web应用安全现状主要存在以下几个方面:
1、安全意识需要转变:目前大部分还停留在网络安全,防病毒
2、Web安全还停留在防篡改层面
3、Web应用安全防御技术有待完善,技术、制度和法律方面都有待改进和健全。
4、入侵者形成的地下黑色产业链严重危害Web应用安全。
Web应用防护依据业务价值的不同,有着不同的安全基线,政府、金融、电子商务、社交网络等不同的领域有着明显的差异。从安全防护的角度来看,针对于Web应用层的防御是非常必要的,当前的安全形势也一再表明,75%以上的威胁来自应用层,而传统安全防护措施的功能,如网络防火墙、入侵检测和防病毒,这些防护措施当然也是必须的。
从Web应用防护技术上讲应该提供有效的防御工具和长效的防御措施,结合我们的实践经验推荐建立定期安全检测的制度,采用专业的安全防御产品,以及建立应急恢复机制。
Web应用防火墙的防护重点
Web应用防火墙即专注于Web应用防御的安全产品,用于防御应用层的如SQL注入攻击、跨站脚本攻击等传统安全设备无法防御的安全威胁,除了针对已知的应用攻击,安恒的Web应用防火墙还提供积极模式的安全防护功能,可以防护大量的未知攻击,最大程度的保护应用系统的安全。从产品形态上讲有硬件Web应用防火墙和软件Web应用防火墙。其产品的定位是专用于对原有信息安全架构下如网络防火墙,入侵防御系统等的一个有效补充。从而提高信息安全体系的安全保障。
Web应用防火墙的优势
Web应用防火墙与传统防火墙的主要区别在于防护的主体不同,传统网络防火墙主要用于网络协助的第三层、第四层的访问控制和攻击防御,另外一个重要功能就是做网络地址转换(NAT),而Web应用防火墙是专用于Web应用防护的产品,可以体现代码级的安全。另一方面从安全事件上也可以看出其区别,安恒信息在处理大量的应急响应的事件中绝大多数的用户都部署了网络防火墙,但是Web应用系统还是经常被入侵,而部署Web应用防火墙后几乎所有的攻击事件就再也没有发生过,都被应用防火墙有效的拦截掉了。
