4.2万个网站被篡改引爆web应用安全市场
2010-07-06 中国信息主管网
2010年6月8日,国务院新闻办发表《中国互联网状况》白皮书,我国面临着严重的网络安全威胁,仅2009年一年我国被篡改的网站就达4.2万个。6月9日,为探寻我国网站和web应用安全之路,为寻找网站防篡改解决方案,中国计算机报社常务副社长兼总编辑刘保华与北京智恒联盟科技有限公司总经理展开了讨论。
白皮书揭示惊人数字:一年4.2万个网站被篡改
刘保华:当前,一个日益明显的趋势是,越来越多的企业和政府把业务放到网站上,比如电子支付、网络购物、网上办事等等。网站安全、web应用安全也正在成为信息安全市场的一个热点。但是,网站安全市场究竟能有多大?值不值得一个公司去做呢?
尹智庆:从刚刚发布的《中国互联网状况》白皮书显示,在中国,越来越多的人通过互联网获取信息、丰富知识,截至2009年底网民数达到3.84亿,居世界第一。截止2009年底,中国已经建立政府门户网站4.5万多个,80%以上的县级政府都建立了电子政务网站,建立点子商务系统的大型企业已超过50%。互联网技术发展,促进了网站应用的拓展,网站正在成为业务处理平台。将来,传统方式会逐步向网络方式转型,更多的政府会依托网站与公众进行互动,银行等机构网上业务越来越多,网上购物的比重也会逐步增加。
用的人越多,就会滋生安全问题。现在,黑客产业链,已经很成熟了。相当部分针对网站的攻击,是利益驱动的,而不是技术炫耀。网站越重要,针对它的攻击就越多。《中国互联网状况》白皮书就显示,我国面临着严重的网络安全威胁,2009年中国被境外控制的ip地址超过100多万,被篡改的网站达4.2万个。
从网站的重要性,以及网站应用的多样化来看,网站安全已成为一个必须解决的问题。当前,Web应用安全,已经是一个国际热点,不仅是我国国内的热点。对网站和web应用的攻击也是全球范围的,国内攻击只是国际的一个缩写。至于网站安全的市场规模,尽管现在规模不大,但是发展速度必定远超过传统安全市场规模。
刘保华:随着市场对SaaS模式认可程度的加深,不仅应用软件供应商把软件当做服务提供给用户,一些信息安全厂商也开始考虑给用户提供信息安全服务,而不只是信息安全产品。对此,您有什么看法?
尹智庆:公司创立之初,我们理念就是做web应用安全的领军企业。我们公司最初架构定位就是,做专家web应用安全,要做整套的解决方案。我们当前侧重的是,保护重要机构的网站,比如政府门户网站、运营商官方网站。围绕这些网站的web安全,我们做了一系列的工作。
将来,我们将为网站运营方提供SaaS模式的信息安全服务。届时,网站运营方在我们建设的安全中心注册,就可以自助监控自己的网站,下载自己网站的安全分析报告,看看网站是否有挂马、是否有安全漏洞、是否有非法信息。
安全与便利 一种痛替代另一种痛
刘保华:通常,安全会牺牲便利性。当一个网站安全系数很高时,难以避免的是,应用起来会很复杂。网站要吸引用户使用的话,必须让网民使用得方便。而方便,又会带来安全隐患。作为网站安全的专业人士,您如何权衡安全与方便两者之间的关系?
尹智庆:从传统意义上来说,安全与便利的确是有矛盾的,是很难统一的。对于网站运营方来说,要评估业务的需求,要清楚网站看重哪个方面,有的网站重视的是高可用性,有的重视高安全性与保密性。银行要开展网银业务,必定要使用口令牌、短信认证等安全认证方式,这必然影响使用的便利性。有的网站重视的高可用性,24小时不断断线,他们在用户登录认证强度要求方面,就不会有那么高的要求。
网站运营方要降低安全风险,降低到用户可以接受的程度。对于便利性,网站运营方要在保障安全的条件下,通过技术手段提高便利性。同时,尽可能地,把技术坐在后台,让用户感觉不到。
刘保华:这让我想到,最初我们说民主,必须是大家达成一致才行。现在,有一种协商民主的思潮,指的是,不苛求决策必须在一致意见的基础上,决策可以是以双方不破裂为原则。由此我想到,便利与安全两者之间应该是以,以用户能接受便利程度,最大程度地实现安全。
尹智庆:的确是这样。从理论上说,没有绝对安全的网银。从绝对安全的角度,全世界所有的网银都应该关闭。但因为大家需要快速交易,不愿意去银行排队,所以愿意尝试各种严格的认证,来使用网银。
这是用一种痛,替换另一种痛。
刘保华:如您所说,我们可以根据用户的需要,提供不同的安全策略。比如,用户需要高可用性,我们就提供高可用的策略。如果用户对保密要求很高,那我们就提供保密措施。那么,我们在用户现场实施时,会不会有大量的二次开发?
尹智庆:的确,我们可以根据用户的偏好,提供相应的安全策略。我们是通过策略调整的方式来实现的,不会增加二次开发。防火墙有两个策略:没有明确允许的一律拒绝;没有拒绝的一律允许。这是两种不同的策略。同样,我们在做网站安全时,同样可以选择不同的策略。比如说,如果用户要求高可用性,那么在交互验证方面的措施就会少一些。
网站开发的语言、开发环境,是有限的,就那么几类,没有太多的多样化。所以,我们完全有可能提前做好web安全的策略。不需要很多二次开发的情况下,我们就可以帮用户实施不同的网站安全领域。