云安全技術被濫用、Web應用和Web 2.0應用等被惡意利用的幾率將大幅增加。黑客們充分利用可編寫Web發(fā)動攻擊，在2009年，利用Web API服務來獲得信任、竊取用戶的資格證書或機密信息的惡意攻擊將會增加。

同時，隨著允許用戶進行內(nèi)容編輯的網(wǎng)站越來越流行、數(shù)量出現(xiàn)飛躍增長，某些網(wǎng)站很有可能導致Web垃圾和向blog、論壇和社交性網(wǎng)站發(fā)送惡意內(nèi)容的大幅度增加，內(nèi)容包括搜索引擎麻痹、惡意引誘傳播和網(wǎng)絡欺詐等。此外，這些威脅和攻擊將被數(shù)種新的Web攻擊工具所整合，使黑客們可以發(fā)現(xiàn)那些存在漏洞、或者允許發(fā)布惡意代碼的網(wǎng)站。

WEB安全定義與共識

當前業(yè)內(nèi)主流安全廠商經(jīng)過多年的反復爭論，終于在Web安全上達成了共識，統(tǒng)一了Web安全的定義。這的確是一件不容易的事情，要知道不同的廠商側(cè)重點不同----URL過濾的、Http過濾的、防病毒的、反垃圾郵件的、Proxy的、端口鏡像的等等----大相徑庭的方案很可能導致用戶對整個 Web安全領域的困惑，非常不利于整個產(chǎn)業(yè)的成長。

針對Web安全，當前業(yè)內(nèi)的一致看法是，統(tǒng)一的定義不能從廠商的技術上去下，而是要與用戶需求的緊迫程度掛鉤。
從這個角度上分析，Web 安全分成兩類應用模式：一類是針對病毒、木馬、間諜軟件、惡意軟件的威脅;另一類著眼于規(guī)范用戶行為，比如用URL過濾某些站點、員工上班時間上網(wǎng)控制、對用戶應用協(xié)議的控制、對IM應用的記錄與過濾、對P2P軟件的管理與控制、對企業(yè)內(nèi)部的帶寬管理等。

需要注意的是，兩種應用模式并非孤立存在，彼此間是有交叉的。據(jù)Anchiva中國區(qū)總經(jīng)理李松介紹，根據(jù)經(jīng)驗，一套完整的Web安全方案，至少需要兩個部分：一臺針對TCP/IP協(xié)議二、三、四層應用的安全防御設備(比如防火墻、入侵檢測、UTM)，之后串接一臺針對七層內(nèi)容的安全防御設備，以便解決病毒、IM、P2P、網(wǎng)絡游戲、垃圾郵件、內(nèi)容審計等應用。

持類似看法的，還有中國民用航空管理局的一位安全管理員。他說：“到目前為止，我所了解的不少同類用戶對于Web安全仍然無法形成最優(yōu)的配置或共識，但我們有一個最基本的思路，即一套完整的IPS系統(tǒng)+Web安全網(wǎng)關相配合，至少能夠滿足相當多的內(nèi)部員工對于Web安全的需求。”

說到應用，Hillstone首席軟件架構師王鐘在接受專訪時表示，針對企業(yè)的攻擊總是跟隨著應用而來，越來越多的企業(yè)應用構建在互聯(lián)網(wǎng)之上，而用戶在互聯(lián)網(wǎng)上的活動也是越來越頻繁和難以控制。無論是正常的企業(yè)應用還是企業(yè)員工的個人上網(wǎng)行為，都會成為Web攻擊的對象。從目前來看，多年的積累，使得企業(yè)具備一定的網(wǎng)絡攻擊防御能力，而針對新出現(xiàn)的Web活動引發(fā)的安全威脅，企業(yè)需要根據(jù)自身的特點，增強相應的防范手段。

Web安全形勢

之所以當前Web安全成為熱門話題，關鍵還是因為國內(nèi)外Web安全大環(huán)境不容樂觀。根據(jù)趨勢科技剛剛發(fā)布的《2008年上半年安全威脅報告》的統(tǒng)計，目前針對Web應用的威脅正以爆炸式的速度增長，全球范圍內(nèi)企業(yè)與終端用戶面臨的風險已經(jīng)到了非常嚴重的地步。

對此，Wedge Networks全球CTO張鴻文博士介紹，無論是美國還是中國，隨著“社會網(wǎng)絡、Web2.0、SaaS”的興起，網(wǎng)絡本身已經(jīng)成為社會生活的一部分。在這種環(huán)境下，與傳統(tǒng)的病毒制造不同，當前各種木馬程序、間諜軟件、惡意軟件等以利益驅(qū)動的攻擊手段越來越多。

事實上，隨著當前Web應用開發(fā)越來越復雜與迅速，攻擊者可以很容易地通過各種漏洞實施諸如：注入攻擊、跨站腳本攻擊、以及不安全的直接對象關聯(lián)攻擊，從而進一步通過各種隱蔽的技術手段盜竊企業(yè)機密、用戶隱私、信用卡賬號、游戲賬號密碼等能夠輕易轉(zhuǎn)化成利益所得的信息。

另外，通過木馬、漏洞控制海量的普通用戶主機組成僵尸網(wǎng)絡，利用這些“肉雞”，控制者可以通過多種方式獲取利益，比如發(fā)起攻擊、點擊廣告、增加流量等行為。

“從實際的經(jīng)驗看，在一個典型的Web服務架構中，很有可能發(fā)生某些攻擊行為從Web層面滲透到企業(yè)的控制與數(shù)據(jù)層面，從而引起更大范圍的災難。其實不論是攻擊Web站點還是Web服務，惡意Web站點總是能夠快速建立起來，并在搜索引擎的推動下襲擊無辜的用戶。”

從Wedge Networks全球合作伙伴反饋的信息來看，美國、日本、韓國、英國的企業(yè)用戶對于Web攻擊以及Web應用的脆弱性都有較為充分的了解。在此基礎上，那些國家中一些垂直行業(yè)與機構，比如公共安全、金融、醫(yī)療、交通、能源等企業(yè)，對于Web安全保護的技術關注與投入都非常高。

實際情況是可悲的。根據(jù)趨勢科技發(fā)布的統(tǒng)計數(shù)字，從今年二季度開始，國內(nèi)就有超過1萬個大型網(wǎng)站遭受“注入攻擊”，這些攻擊者的動機幾乎都是惡意軟件植入、名譽損害、以及數(shù)據(jù)竊取。

有用戶BBS上留言：“我們重視Web安全造成的損失，但是我不清楚，這部分預算究竟應該分配給誰：是分配給負責網(wǎng)絡基礎設施的管理團隊，還是分配給管理Web服務器和數(shù)據(jù)庫服務器的團隊?”無疑，Web安全的挑戰(zhàn)被演繹到了技術、應用與企業(yè)管理水平的層次上。

問題已經(jīng)很清楚了，當前針對Web應用的威脅，企業(yè)用戶當前的防范措施還遠遠不夠。對此張鴻文博士曾一針見血地指出：“當前國內(nèi)企業(yè)已有的大部分安全設備都是基于TCP/IP協(xié)議的三、四層防范，而針對Web應用的威脅是基于協(xié)議的七層攻擊(應用層攻擊)，從技術角度來看，傳統(tǒng)防火墻、IDS等設備針對應用層的攻擊幾乎是沒有防御效果的。”

云安全15分鐘建立防線  病毒入侵成為歷史

看完上半部份的文章，讓我們了解到現(xiàn)在的病毒基本上都是基于Web途徑傳播，通過在高流量網(wǎng)頁上“掛馬”的方式，在用戶訪問網(wǎng)頁時自動下載到本地計算機的信息。最常被用戶訪問的網(wǎng)站中，有2成左右都含有各種木馬病毒。這直接造成了有65%的用戶因為在家網(wǎng)上購物受到此類病毒侵害，從而帶來經(jīng)濟損失。

在全球金融危機的大環(huán)境下，再遭受賬號損失無疑雪上加霜。而對“掛馬”防范不利則是造成這種后果的直接原因。也就是Web病毒數(shù)量多、傳播速度快的特點造成了 “零日”危機。病毒利用防范的“空窗期”大肆入侵。傳統(tǒng)的反病毒工作根本無法與病毒在速度上相抗衡。

云計算強大的數(shù)據(jù)處理能力，將人工判別風險轉(zhuǎn)變?yōu)橛嬎銠C判別網(wǎng)頁的安全等級模式，通過計算網(wǎng)頁的信譽等級，可以將Web威脅遏止于網(wǎng)絡之外。例如，當一位云安全用戶訪問一個網(wǎng)頁時，訪問請求就被發(fā)送到趨勢科技的“云”數(shù)據(jù)庫中，對該網(wǎng)頁的風險級別進行查詢，這個過程僅需幾十毫秒，讓終端用戶絲毫察覺不到，只是在訪問含到有威脅的網(wǎng)頁時會收到提示。如果用戶訪問的網(wǎng)頁在云端數(shù)據(jù)庫中沒有記錄，用戶會順利地訪問此頁面。

云安全技術的應用是互聯(lián)網(wǎng)發(fā)展的新變革，我們相信，云肯定會給目前干涸的網(wǎng)絡領域帶來希望的雨水。

【編輯推薦】

1. 淺析網(wǎng)絡安全技術
2. 3D安全打造安全新維度
3. 安全使用網(wǎng)絡 隱私防護的三大準則