【51CTO.com 綜合報道】日前在北京召開的2009年系統架構師大會，無疑是今年最為重頭的技術研討會之一。不僅參會人員大多是公司IT運維的精英，演講人也是各大公司高級系統架構設計者。不過談架構必然要談及整體架構的安全策略實施，如何才能確保網絡運維在一個安全高效的環境中，也是各位系統管理員所要面對的問題。梭子魚網絡有限公司華北區銷售總監鄭爽對此也有自己的看法。 

WEB應用究竟面臨哪些威脅?

“眾所周知，Web應用已經成為大家所關注的重點。很多企業已經把傳統業務流程放到網上進行應用，這不光是節省成本的考慮，更多是為了業務流程的透明和時效性。但是，隨之而來的確是網絡風險的加劇，企業網絡被攻擊案例時有發生，這背后既有企業不注重防范網絡管理的因素在內，也有攻擊者被背后的利益所驅動。”

鄭爽隨后舉出實際例子讓人心驚。“2008-04CNCERT/CC國家互聯網應急中心監測到中國大陸被篡改網站總數達61,228個，比去年增加了1.5倍。”  

圖2

圖3

據最近的美國計算機安全協會(CSI)/美國聯邦調查局(FBI)的研究表明：接受調查的公司中有 52% 的公司的系統遭受過外部入侵，但事實上他們中有 98% 的公司都裝有防火墻。這些攻擊為269家受訪公司帶來的經濟損失——包括系統入侵、濫用 web 應用系統、網頁置換、盜取私人信息及拒絕服務共計超過1.41億美元。

美國總統奧巴馬曾公開在電視媒體上講話，每年由于黑客的惡意攻擊，美國每年因此導致損失1000億美金。

Web應用攻擊特點

和傳統底層攻擊方式不同的是，如今Web應用攻擊通常是以七層的形式進行，對這種攻擊，傳統防火墻顯得力不從心。 

圖4

全面的WEB站點防護，降低商業風險

在談到Web攻擊防護，商業上可取的的利益，鄭爽解釋道：“非法訪問、WEB站點偽裝、WEB站點篡改、Outbound數據竊取防護、應用傳輸加速、緩存、壓縮、TCP連接復用、SSL卸載和加速、負載均衡等等一系列的攻擊都可以被抵御。同時，在審計及合規方面，更可以幫助企業通過安全審計，達到PCI(支付卡)應用安全規范要求，美國薩班法案(SarbanesOxley)及其他合規性要求。從商業角度衡量，都是有百利而無一害的事情。”  

圖5

三步實現應用安全

為了實現應用安全，就必須要做三方面的措施：

1、保護應用基礎架構

這里需要隱藏公司本身的架構，不要讓人輕易得知;同時Cookie 也需要定期處理，以免有人從中獲取信息;再一個就是Web 地址轉換，把自己真實的地址保護起來。

2、根據應用強化安全

動態應用建模，根據業務需求，強化在關鍵業務方面的安全等級。

3、彈性安全策略

根據IP或應用設置安全規則(網絡防火墻、某些UTM設備);根據URL設置安全策略(web服務器、代理服務器);根據HTTP報頭設置安全策略(如請求方式、session、cookie各報頭參數等);根據頁面參數(如表單參數、HTML元素、)等等，利用以上策略根據公司業務需求組合成整體的安全策略。

WEB應用防護優勢 

圖6

對于Web應用的防護優勢，鄭爽提出以下幾方面：

1、減少不安全造成的損失

2、減少客戶數據、商業機密、員工信息、財務信息及其他敏感數據泄露的可能性。

3、減少因泄露信息而產生法律訴訟的可能性。

4、減少因安全問題造成公司股價下跌、形象受損、客戶信譽降低的可能性。

5、更早的遵從有關法規對企業網絡安全的規定如： (SOX, GLB, HIPAA, CA SB -386)

6、加快應用的使用

7、網站可以提前發布，更早產生經濟效益。

在隨后鄭爽接受我們采訪中，反復提到，系統架構師在考慮整體系統架構制定的同時，千萬不要忘記保障應用安全。而目前最能導致應用安全問題的，那就是Web應用這一新興的應用。“如果運行的數據都不是我真正想要的，那么建設再好的網絡架構又有什么用呢?！”