通信世界网讯(CWW) 2013年4月11日消息，人民邮电出版社和中国通信学会普及与教育委员今日举办“第五届通信网络和信息安全高层论坛”，在工业和信息化部通信保障局、互联网安全中心、中国电信、中国移动、中国联通等电信企业和腾讯等增值电信企业的指导和支持下，邀请政府主管领导、运营商领导、增值电信企业领导、安全企业专家领导等各方面权威人士，进行深入研讨和交流。北京国舜科技有限公司副总裁汤志刚先生，针对Web安全以及智能防护为大家带来精彩演讲。

北京国舜科技有限公司副总裁 汤志刚

汤志刚：各位领导、各位专家中午好！刚才绿盟和冯博士都提到了Web应用安全，我觉得这不是偶然事件，Web安全比较热已经两三年了，特别是去年十八大整个全国都非常重视Web安全。到了今天正好是一个时机我们重新反思一下Web安全，真正理解一下Web安全。

首先，Web安全面临着一个什么样的挑战我们应该思考，Web安全对网络安全的冲击也需要考虑，如果Web安全失去控制的话整个防火墙就没有用了，Web安全不处理好，网络安全就没有保障。第二个，要知道我们现在比较大的网络安全管理是通过安全域处理，把一个大的网络分成各个安全的部分。在我们的内网中也有很多Web应用，包括OA办公系统，企业的ERP系统，他们也是Web应用，如果Web没有保障的话，那么内网之间各个安全子域之间也被冲垮了，那么安全域也就失去了保障。

第三个是移动互联，大家对移动互联网非常重视和感兴趣，但是忽略了一点，下载手机的移动互联只是一个客户端，真正的应用是通过后台的服务器来实现的。移动互联应用客户端跟后台网站怎么进行连接呢？它的接口叫WebService，这才是移动互联安全的关键。WebService安全也是走的TPP协议。现在各种网络设备都是利用Web来进行管理的，如果Web管理的Web应用不安全，那么这个设备就已经失去安全了。大概是今年初，我们公司发现了一个零日漏洞，就是无线的WiFi设备，就是因为管理界面有问题，导致设备整个安全性没有了保障。

Web安全面临的挑战：Web更新频度对安全运维的冲击：现在Web安全从上线之日起就处于不断更新的状况，每一次更新到底认为它是一个新的部署还是继续的运维，很难做一个严格的区分。现在对Web应用来说，它的部署和运维是重叠的。我们以前的安全运维理念是认为跟部署和运维严格区分，当部署和运维在一起重叠的时候，安全运维的思路和理念是不是还能继续？这是我们需要思考的问题。

前两年在强调安全运维的时候提出了安全的统一运维平台，现在Web的安全对SOC运维也是一个冲击。举一个实际的例子，Web扫描工具扫描只是探测性的，这一个扫描会产生10万的攻击信息，这种可能没有耐心看它的详细信息了。

小结：如果今天重新认识Web安全的话，我觉得网站安全确实是非常重要的一部分，但不是Web安全的全部。Web安全中内部的OA、ERP也是非常重要的对它的攻击的识别，对我们的ERP等也是非常重要的。比如我们手机无线城市跟很多政府部门都有接口，接口都是用的WebService，这也是Web安全很重要的一部分。第四种是外部设备的管理的安全，我们不应该把Web安任何安全环节中都影响把Web安全着重个重要环节考虑，否则很难形成一个完整的闭环。