由于攻擊者日益狡猾，定位和測(cè)試Web應(yīng)用的人工方法已遠(yuǎn)遠(yuǎn)不夠。適當(dāng)?shù)腤eb應(yīng)用掃描方案可幫助企業(yè)系統(tǒng)性地發(fā)現(xiàn)運(yùn)行在企業(yè)網(wǎng)絡(luò)中的Web應(yīng)用，判定這些應(yīng)用是否易于遭受攻擊，還有助于企業(yè)理解如何修補(bǔ)漏洞同時(shí)又能保護(hù)業(yè)務(wù)。使用當(dāng)今精確的自動(dòng)化掃描技術(shù)，不管應(yīng)用數(shù)量有多大，企業(yè)都可以測(cè)試所有Web應(yīng)用(包括開發(fā)中和正在使用的)。那么，企業(yè)在選擇Web應(yīng)用掃描方案時(shí)關(guān)注需哪些特性和功能?

[[118745]]

本文重點(diǎn)關(guān)注如何選擇架構(gòu)的問題，或可為企業(yè)提供選擇的最佳方法：

1.Web應(yīng)用掃描方案是一個(gè)軟件產(chǎn)品還是一種云服務(wù)?

企業(yè)安裝在網(wǎng)絡(luò)中的Web應(yīng)用掃描軟件要求企業(yè)購得、配置、管理服務(wù)器，運(yùn)行備份和處理補(bǔ)丁更新等問題。而現(xiàn)代的基于云的Web應(yīng)用掃描方案(或稱軟件即服務(wù)SaaS)并不要求企業(yè)投資購買設(shè)備，也不需要持續(xù)的更新、備份數(shù)據(jù)庫。這種方案通過瀏覽器即可使用，并可輕松地?cái)U(kuò)展從而解決新應(yīng)用、新用戶和位置問題，而且其使用成本也更加可預(yù)測(cè)。此外，基于云的方案還支持以客觀的防篡改的方法來存儲(chǔ)數(shù)據(jù)。

2. Web應(yīng)用掃描方案可以掃描各種Web應(yīng)用嗎?

當(dāng)今的Web應(yīng)用掃描方案應(yīng)當(dāng)用于企業(yè)應(yīng)用生命周期的各個(gè)階段(開發(fā)過程，測(cè)試過程或生產(chǎn)應(yīng)用過程)?，F(xiàn)代的Web應(yīng)用掃描方案應(yīng)當(dāng)可以使用戶掃描并跟蹤企業(yè)的所有應(yīng)用(內(nèi)部應(yīng)用和面向互聯(lián)網(wǎng)的應(yīng)用)，因而，企業(yè)使用一種工具就可以獲悉企業(yè)所有應(yīng)用的統(tǒng)一的安全狀況。

3.能否多人同時(shí)使用Web應(yīng)用掃描方案?

現(xiàn)代的Web應(yīng)用掃描系統(tǒng)應(yīng)當(dāng)可以同時(shí)向不同的人提供不同應(yīng)用的相關(guān)信息。對(duì)企業(yè)而言，尋找一款易于使用并允許多人同時(shí)掃描和報(bào)告并且彼此不沖突的Web應(yīng)用掃描方案是很重要的。

4. Web應(yīng)用掃描方案如何處理多位置問題?

如何處理多位置是Web應(yīng)用掃描方案出現(xiàn)差異的重要方面，這有三種方案或技術(shù)：

本地產(chǎn)品：公司將Web應(yīng)用掃描軟件安裝到內(nèi)部網(wǎng)絡(luò)上，用來掃描網(wǎng)絡(luò)內(nèi)的應(yīng)用。這種產(chǎn)品一般會(huì)在企業(yè)網(wǎng)絡(luò)較慢的部分或容易擁塞的部分產(chǎn)生瓶頸，或在通過防火墻到達(dá)互聯(lián)網(wǎng)應(yīng)用時(shí)產(chǎn)生瓶頸。

基本型SaaS:有些Web應(yīng)用掃描方案僅能檢查外部的面向互聯(lián)網(wǎng)的應(yīng)用，這一點(diǎn)在選擇是要注意。

云服務(wù)：來自云的現(xiàn)代Web應(yīng)用掃描方案可以同時(shí)掃描多個(gè)位置的應(yīng)用。這些方案相對(duì)安全，并使用可遠(yuǎn)程管理的掃描器(物理設(shè)備或虛擬機(jī))，企業(yè)可將其安裝在企業(yè)網(wǎng)絡(luò)的不同部分，因而可以進(jìn)行內(nèi)部的高效掃描，并使其對(duì)其它系統(tǒng)的影響最小化。

5.企業(yè)是否應(yīng)犧牲防火墻的部分功能?

企業(yè)絕不應(yīng)當(dāng)為了部署Web應(yīng)用掃描方案而開放公司防火墻上的特殊端口，因?yàn)檫@樣做會(huì)破壞企業(yè)的安全性。

6. Web應(yīng)用掃描方案與其它系統(tǒng)集成嗎?

Web應(yīng)用掃描器可以成為其它安全和合規(guī)系統(tǒng)的一個(gè)關(guān)鍵的安全情報(bào)源。企業(yè)應(yīng)當(dāng)選擇可與流行的Web應(yīng)用防火墻集成的解決方案，當(dāng)然還要有強(qiáng)健的應(yīng)用程序編程接口(API)可以與企業(yè)的安全信息和事件管理(SIEM)或風(fēng)險(xiǎn)管理(ERM)相集成。