首页 >> 2013通信网络和信息安全高层论坛 >> 会议直播 >> 正文
 
北京国舜科技有限公司副总裁 汤志刚
http://www.cww.net.cn   2013年4月11日 11:14    

通信世界网讯(CWW) 2013年4月11日消息,人民邮电出版社和中国通信学会普及与教育委员今日举办“第五届通信网络和信息安全高层论坛”,在工业和信息化部通信保障局、互联网安全中心、中国电信中国移动、中国联通等电信企业和腾讯等增值电信企业的指导和支持下,邀请政府主管领导、运营商领导、增值电信企业领导、安全企业专家领导等各方面权威人士,进行深入研讨和交流。北京国舜科技有限公司副总裁汤志刚先生,针对Web安全以及智能防护为大家带来精彩演讲。

北京国舜科技有限公司副总裁 汤志刚

汤志刚:各位领导、各位专家中午好!刚才绿盟和冯博士都提到了Web应用安全,我觉得这不是偶然事件,Web安全比较热已经两三年了,特别是去年十八大整个全国都非常重视Web安全。到了今天正好是一个时机我们重新反思一下Web安全,真正理解一下Web安全。

首先,Web安全面临着一个什么样的挑战我们应该思考,Web安全对网络安全的冲击也需要考虑,如果Web安全失去控制的话整个防火墙就没有用了,Web安全不处理好,网络安全就没有保障。第二个,要知道我们现在比较大的网络安全管理是通过安全域处理,把一个大的网络分成各个安全的部分。在我们的内网中也有很多Web应用,包括OA办公系统,企业的ERP系统,他们也是Web应用,如果Web没有保障的话,那么内网之间各个安全子域之间也被冲垮了,那么安全域也就失去了保障。

第三个是移动互联,大家对移动互联网非常重视和感兴趣,但是忽略了一点,下载手机的移动互联只是一个客户端,真正的应用是通过后台的服务器来实现的。移动互联应用客户端跟后台网站怎么进行连接呢?它的接口叫WebService,这才是移动互联安全的关键。WebService安全也是走的TPP协议。现在各种网络设备都是利用Web来进行管理的,如果Web管理的Web应用不安全,那么这个设备就已经失去安全了。大概是今年初,我们公司发现了一个零日漏洞,就是无线的WiFi设备,就是因为管理界面有问题,导致设备整个安全性没有了保障。

Web安全面临的挑战:Web更新频度对安全运维的冲击:现在Web安全从上线之日起就处于不断更新的状况,每一次更新到底认为它是一个新的部署还是继续的运维,很难做一个严格的区分。现在对Web应用来说,它的部署和运维是重叠的。我们以前的安全运维理念是认为跟部署和运维严格区分,当部署和运维在一起重叠的时候,安全运维的思路和理念是不是还能继续?这是我们需要思考的问题。

前两年在强调安全运维的时候提出了安全的统一运维平台,现在Web的安全对SOC运维也是一个冲击。举一个实际的例子,Web扫描工具扫描只是探测性的,这一个扫描会产生10万的攻击信息,这种可能没有耐心看它的详细信息了。

小结:如果今天重新认识Web安全的话,我觉得网站安全确实是非常重要的一部分,但不是Web安全的全部。Web安全中内部的OA、ERP也是非常重要的对它的攻击的识别,对我们的ERP等也是非常重要的。比如我们手机无线城市跟很多政府部门都有接口,接口都是用的WebService,这也是Web安全很重要的一部分。第四种是外部设备的管理的安全,我们不应该把Web安任何安全环节中都影响把Web安全着重个重要环节考虑,否则很难形成一个完整的闭环。

[1]  [2]  [3]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:通信世界网   编 辑:王熙
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:国舜科技  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动