云安全技術被濫用、Web應用和Web 2.0應用等被惡意利用的幾率將大幅增加。黑客們充分利用可編寫Web發動攻擊，在2009年，利用Web API服務來獲得信任、竊取用戶的資格證書或機密信息的惡意攻擊將會增加。

同時，隨著允許用戶進行內容編輯的網站越來越流行、數量出現飛躍增長，某些網站很有可能導致Web垃圾和向blog、論壇和社交性網站發送惡意內容的大幅度增加，內容包括搜索引擎麻痹、惡意引誘傳播和網絡欺詐等。此外，這些威脅和攻擊將被數種新的Web攻擊工具所整合，使黑客們可以發現那些存在漏洞、或者允許發布惡意代碼的網站。

WEB安全定義與共識

當前業內主流安全廠商經過多年的反復爭論，終于在Web安全上達成了共識，統一了Web安全的定義。這的確是一件不容易的事情，要知道不同的廠商側重點不同----URL過濾的、Http過濾的、防病毒的、反垃圾郵件的、Proxy的、端口鏡像的等等----大相徑庭的方案很可能導致用戶對整個 Web安全領域的困惑，非常不利于整個產業的成長。

針對Web安全，當前業內的一致看法是，統一的定義不能從廠商的技術上去下，而是要與用戶需求的緊迫程度掛鉤。
從這個角度上分析，Web 安全分成兩類應用模式：一類是針對病毒、木馬、間諜軟件、惡意軟件的威脅;另一類著眼于規范用戶行為，比如用URL過濾某些站點、員工上班時間上網控制、對用戶應用協議的控制、對IM應用的記錄與過濾、對P2P軟件的管理與控制、對企業內部的帶寬管理等。

需要注意的是，兩種應用模式并非孤立存在，彼此間是有交叉的。據Anchiva中國區總經理李松介紹，根據經驗，一套完整的Web安全方案，至少需要兩個部分：一臺針對TCP/IP協議二、三、四層應用的安全防御設備(比如防火墻、入侵檢測、UTM)，之后串接一臺針對七層內容的安全防御設備，以便解決病毒、IM、P2P、網絡游戲、垃圾郵件、內容審計等應用。

持類似看法的，還有中國民用航空管理局的一位安全管理員。他說：“到目前為止，我所了解的不少同類用戶對于Web安全仍然無法形成最優的配置或共識，但我們有一個最基本的思路，即一套完整的IPS系統+Web安全網關相配合，至少能夠滿足相當多的內部員工對于Web安全的需求。”

說到應用，Hillstone首席軟件架構師王鐘在接受專訪時表示，針對企業的攻擊總是跟隨著應用而來，越來越多的企業應用構建在互聯網之上，而用戶在互聯網上的活動也是越來越頻繁和難以控制。無論是正常的企業應用還是企業員工的個人上網行為，都會成為Web攻擊的對象。從目前來看，多年的積累，使得企業具備一定的網絡攻擊防御能力，而針對新出現的Web活動引發的安全威脅，企業需要根據自身的特點，增強相應的防范手段。

Web安全形勢

之所以當前Web安全成為熱門話題，關鍵還是因為國內外Web安全大環境不容樂觀。根據趨勢科技剛剛發布的《2008年上半年安全威脅報告》的統計，目前針對Web應用的威脅正以爆炸式的速度增長，全球范圍內企業與終端用戶面臨的風險已經到了非常嚴重的地步。

對此，Wedge Networks全球CTO張鴻文博士介紹，無論是美國還是中國，隨著“社會網絡、Web2.0、SaaS”的興起，網絡本身已經成為社會生活的一部分。在這種環境下，與傳統的病毒制造不同，當前各種木馬程序、間諜軟件、惡意軟件等以利益驅動的攻擊手段越來越多。

事實上，隨著當前Web應用開發越來越復雜與迅速，攻擊者可以很容易地通過各種漏洞實施諸如：注入攻擊、跨站腳本攻擊、以及不安全的直接對象關聯攻擊，從而進一步通過各種隱蔽的技術手段盜竊企業機密、用戶隱私、信用卡賬號、游戲賬號密碼等能夠輕易轉化成利益所得的信息。

另外，通過木馬、漏洞控制海量的普通用戶主機組成僵尸網絡，利用這些“肉雞”，控制者可以通過多種方式獲取利益，比如發起攻擊、點擊廣告、增加流量等行為。

“從實際的經驗看，在一個典型的Web服務架構中，很有可能發生某些攻擊行為從Web層面滲透到企業的控制與數據層面，從而引起更大范圍的災難。其實不論是攻擊Web站點還是Web服務，惡意Web站點總是能夠快速建立起來，并在搜索引擎的推動下襲擊無辜的用戶。”

從Wedge Networks全球合作伙伴反饋的信息來看，美國、日本、韓國、英國的企業用戶對于Web攻擊以及Web應用的脆弱性都有較為充分的了解。在此基礎上，那些國家中一些垂直行業與機構，比如公共安全、金融、醫療、交通、能源等企業，對于Web安全保護的技術關注與投入都非常高。

實際情況是可悲的。根據趨勢科技發布的統計數字，從今年二季度開始，國內就有超過1萬個大型網站遭受“注入攻擊”，這些攻擊者的動機幾乎都是惡意軟件植入、名譽損害、以及數據竊取。

有用戶BBS上留言：“我們重視Web安全造成的損失，但是我不清楚，這部分預算究竟應該分配給誰：是分配給負責網絡基礎設施的管理團隊，還是分配給管理Web服務器和數據庫服務器的團隊?”無疑，Web安全的挑戰被演繹到了技術、應用與企業管理水平的層次上。

問題已經很清楚了，當前針對Web應用的威脅，企業用戶當前的防范措施還遠遠不夠。對此張鴻文博士曾一針見血地指出：“當前國內企業已有的大部分安全設備都是基于TCP/IP協議的三、四層防范，而針對Web應用的威脅是基于協議的七層攻擊(應用層攻擊)，從技術角度來看，傳統防火墻、IDS等設備針對應用層的攻擊幾乎是沒有防御效果的。”

云安全15分鐘建立防線  病毒入侵成為歷史

看完上半部份的文章，讓我們了解到現在的病毒基本上都是基于Web途徑傳播，通過在高流量網頁上“掛馬”的方式，在用戶訪問網頁時自動下載到本地計算機的信息。最常被用戶訪問的網站中，有2成左右都含有各種木馬病毒。這直接造成了有65%的用戶因為在家網上購物受到此類病毒侵害，從而帶來經濟損失。

在全球金融危機的大環境下，再遭受賬號損失無疑雪上加霜。而對“掛馬”防范不利則是造成這種后果的直接原因。也就是Web病毒數量多、傳播速度快的特點造成了 “零日”危機。病毒利用防范的“空窗期”大肆入侵。傳統的反病毒工作根本無法與病毒在速度上相抗衡。

云計算強大的數據處理能力，將人工判別風險轉變為計算機判別網頁的安全等級模式，通過計算網頁的信譽等級，可以將Web威脅遏止于網絡之外。例如，當一位云安全用戶訪問一個網頁時，訪問請求就被發送到趨勢科技的“云”數據庫中，對該網頁的風險級別進行查詢，這個過程僅需幾十毫秒，讓終端用戶絲毫察覺不到，只是在訪問含到有威脅的網頁時會收到提示。如果用戶訪問的網頁在云端數據庫中沒有記錄，用戶會順利地訪問此頁面。

云安全技術的應用是互聯網發展的新變革，我們相信，云肯定會給目前干涸的網絡領域帶來希望的雨水。

【編輯推薦】

1. 淺析網絡安全技術
2. 3D安全打造安全新維度
3. 安全使用網絡 隱私防護的三大準則