通信世界网消息 随着智能终端、电子商务、移动互联网的快速发展,web应用越来越广泛,web应用安全受到各方的关注与重视。运营商在web安全上也是越来越重视。
国舜科技北方区总经理 吴刚
日前,国舜科技北方区总经理吴刚在2011年通信网络和信息安全高层论坛上接受媒体专访时表示,在web安全方面,希望运营商能够从源头抓起,在整个的web应用的生命周期中都要贯穿对安全的关注。
"运营商能够在产品做出来上线之前,要做相关的web漏洞扫描技术的检查和测试,主动发现自己的问题。另外这个检查应该是定期的,因为这个应用经常会有一些新的应用和变化,在增加的时候,都应该主动地去利用扫描技术发现自己的漏洞,主动发现,这是最好的一个办法。"吴刚讲到。
据统计,75%的黑客攻击在应用层,而且所确认的漏洞当中有92%是在应用层。Web攻击主要的缺陷和漏洞是几种方式,主要是由于在程序编制过程当中有一些缺陷,包括病毒与蠕虫、木马和僵尸网络,可以控制主机的一些病毒。
吴刚介绍了目前业界比较流行的web安全防护有三种:一是web应用防火墙,专门针对web应用进行保护的。从技术底层来讲,和前几年已经接受的网络安全保护很接近的,但它是专门针对了web应用的安全保护。
第二是web漏洞扫描,就是网络安全扫描器。现在系统安全包括自己的厂商也都非常重视了,也定期出一些补丁。目前,根据数据显示,70%的安全问题出现在应用层,就是web应用平台,所以现在新一代的扫描技术就是专门针对web应用层的扫描,也是配合了一些漏洞库以及通信手段进行不断更新。
第三种是叫做网页防篡改系统,这种产品主要是装在被保护的web服务器上,也是两个方向,一是侧重于比对查询和事后修复,二是绝对的保护,即使黑客取得了系统的最高权限,也不能做任何磁盘的操作,是一种绝对保护。
到了移动互联网时代,牵扯到移动支付和手机信用卡以及个人隐私安全方面的问题越来越多。对于运营商来讲, “如果安全方面出了问题,对于运营商的信誉是一个重大的打击,用户对这个问题也是非常关注的。”吴刚称。
另外,谈到运营商和安全厂商的合作模式,吴刚称最终的目的是希望达到双赢的局面,“现在运营商也在提转型,要从提供商转成服务商,我们非常专注的web安全防护上有相应的技术储备和技术人才,我们愿意把这些拿出来跟运营商共享,实际上受益的是运营商和用户。”
最后,谈到和三大运营商的合作情况,吴刚称,目前和中国移动已经全面开展了web安全防护工作,和中国联通、中国电信已经有比较深层次的技术交流。
