4.2万个网站被篡改引爆web应用安全市场

嘉宾：

尹智庆 北京智恒联盟科技有限公司总经理

刘保华 中国计算机报社常务副社长兼总编辑

地点：北京市海淀区交大东路31号院D座6层

2010年6月8日，国务院新闻办发表《中国互联网状况》白皮书，我国面临着严重的网络安全威胁，仅2009年一年我国被篡改的网站就达4.2万个。6月9日，为探寻我国网站和web应用安全之路，为寻找网站防篡改解决方案，中国计算机报社常务副社长兼总编辑刘保华与北京智恒联盟科技有限公司总经理展开了讨论。

白皮书揭示惊人数字：一年4.2万个网站被篡改

刘保华：当前，一个日益明显的趋势是，越来越多的企业和政府把业务放到网站上，比如电子支付、网络购物、网上办事等等。网站安全、web应用安全也正在成为信息安全市场的一个热点。但是，网站安全市场究竟能有多大？值不值得一个公司去做呢？

尹智庆：从刚刚发布的《中国互联网状况》白皮书显示，在中国，越来越多的人通过互联网获取信息、丰富知识，截至2009年底网民数达到3.84亿，居世界第一。截止2009年底，中国已经建立政府门户网站4.5万多个，80%以上的县级政府都建立了电子政务网站，建立点子商务系统的大型企业已超过50%。互联网技术发展，促进了网站应用的拓展，网站正在成为业务处理平台。将来，传统方式会逐步向网络方式转型，更多的政府会依托网站与公众进行互动，银行等机构网上业务越来越多，网上购物的比重也会逐步增加。

用的人越多，就会滋生安全问题。现在，黑客产业链，已经很成熟了。相当部分针对网站的攻击，是利益驱动的，而不是技术炫耀。网站越重要，针对它的攻击就越多。《中国互联网状况》白皮书就显示，我国面临着严重的网络安全威胁，2009年中国被境外控制的ip地址超过100多万，被篡改的网站达4.2万个。

从网站的重要性，以及网站应用的多样化来看，网站安全已成为一个必须解决的问题。当前，Web应用安全，已经是一个国际热点，不仅是我国国内的热点。对网站和web应用的攻击也是全球范围的，国内攻击只是国际的一个缩写。至于网站安全的市场规模，尽管现在规模不大，但是发展速度必定远超过传统安全市场规模。

刘保华：随着市场对SaaS模式认可程度的加深，不仅应用软件供应商把软件当做服务提供给用户，一些信息安全厂商也开始考虑给用户提供信息安全服务，而不只是信息安全产品。对此，您有什么看法？

尹智庆：公司创立之初，我们理念就是做web应用安全的领军企业。我们公司最初架构定位就是，做专家web应用安全，要做整套的解决方案。我们当前侧重的是，保护重要机构的网站，比如政府门户网站、运营商官方网站。围绕这些网站的web安全，我们做了一系列的工作。

将来，我们将为网站运营方提供SaaS模式的信息安全服务。届时，网站运营方在我们建设的安全中心注册，就可以自助监控自己的网站，下载自己网站的安全分析报告，看看网站是否有挂马、是否有安全漏洞、是否有非法信息。

安全与便利  一种痛替代另一种痛

刘保华：通常，安全会牺牲便利性。当一个网站安全系数很高时，难以避免的是，应用起来会很复杂。网站要吸引用户使用的话，必须让网民使用得方便。而方便，又会带来安全隐患。作为网站安全的专业人士，您如何权衡安全与方便两者之间的关系？

尹智庆：从传统意义上来说，安全与便利的确是有矛盾的，是很难统一的。对于网站运营方来说，要评估业务的需求，要清楚网站看重哪个方面，有的网站重视的是高可用性，有的重视高安全性与保密性。银行要开展网银业务，必定要使用口令牌、短信认证等安全认证方式，这必然影响使用的便利性。有的网站重视的高可用性，24小时不断断线，他们在用户登录认证强度要求方面，就不会有那么高的要求。

网站运营方要降低安全风险，降低到用户可以接受的程度。对于便利性，网站运营方要在保障安全的条件下，通过技术手段提高便利性。同时，尽可能地，把技术坐在后台，让用户感觉不到。

刘保华：这让我想到，最初我们说民主，必须是大家达成一致才行。现在，有一种协商民主的思潮，指的是，不苛求决策必须在一致意见的基础上，决策可以是以双方不破裂为原则。由此我想到，便利与安全两者之间应该是以，以用户能接受便利程度，最大程度地实现安全。

尹智庆：的确是这样。从理论上说，没有绝对安全的网银。从绝对安全的角度，全世界所有的网银都应该关闭。但因为大家需要快速交易，不愿意去银行排队，所以愿意尝试各种严格的认证，来使用网银。

这是用一种痛，替换另一种痛。

刘保华：如您所说，我们可以根据用户的需要，提供不同的安全策略。比如，用户需要高可用性，我们就提供高可用的策略。如果用户对保密要求很高，那我们就提供保密措施。那么，我们在用户现场实施时，会不会有大量的二次开发？

尹智庆：的确，我们可以根据用户的偏好，提供相应的安全策略。我们是通过策略调整的方式来实现的，不会增加二次开发。防火墙有两个策略：没有明确允许的一律拒绝；没有拒绝的一律允许。这是两种不同的策略。同样，我们在做网站安全时，同样可以选择不同的策略。比如说，如果用户要求高可用性，那么在交互验证方面的措施就会少一些。

网站开发的语言、开发环境，是有限的，就那么几类，没有太多的多样化。所以，我们完全有可能提前做好web安全的策略。不需要很多二次开发的情况下，我们就可以帮用户实施不同的网站安全领域。

云安全 安全即服务

刘保华：有人说，未来IT有三大趋势：云计算、移动、社交网站。在信息安全领域，云安全也日益引起重视。对云计算、云安全，您有哪些看法？

尹智庆：我认为，信息安全，非常适用于云计算。因为，信息安全涉及到的都是对抗攻击，需要大量的攻击样本。过去，我们是通过蜜罐技术收集攻击样本，或者是研究操作系统漏洞等，这都是通过主动挖掘技术收集攻击样本。现在，攻击样式已经发生变化，通过云计算，我们可以采集到大量的攻击样本，比如病毒、恶意代码、木马等。所以说，云端的计算模式，可以加快抗攻击的进程，有利于安全防护。现在，我们做挂马检测时，已经采用了云计算模式。

刘保华：对于将来可能有的信息安全服务模式，我们有哪些准备？有没有相关产品规划可以透露的？

尹智庆：web安全防护，将逐步向服务模式转变。将来，社会分工更细，用户更加关注自己的业务，对安全等非核心业务，更多的是采取外包的方式，由专业的安全中心提供安全防护服务。比如，一个大的机构，有几十个下属机构，每个下属机构都有自己的网站。如果每个网站都要部署防篡改、漏洞扫描、入侵检测等一系列的安全措施，要承担的成本必然很高。采用SaaS安全服务，用户可以自己建一个安全监控平台，也可以借助第三方建的安全监控中心，对所有网站进行统一的安全服务，这样用户可以不用每个网站都建设自己的防护中心。

刘保华：这样给用户带来的一个好处就是，用户可以有更多的精力来关注自己的核心业务。

尹智庆：对，用户可以更科学的利用和分配资源。将来，我们可以建一个大的安全中心，帮用户检测网站安全状况，给用户提供其网站安全状况报告。这样，用户要上一个信息系统或网站，不仅不用去购买服务器，而且也不用购买安全产品，只需要选择需要的服务即可，从而最大程度地降低了成本。当然，模式是多样的：既可以是用户自己建一个安全中心，也可以是智恒联盟等供应商安全中心提供的安全服务。比如，我们帮一个部委建安全中心，实现对下属机构所有网站的统一安全监管。

刘保华：这个您得抓紧。据我所知，很多供应商在开始筹建这样的中心了。

安全无止境 补课需抓紧

刘保华：我们注意到，2009年，银监会、证监会等监管机构，在一些监管指引中，对网站安全提出了要求，甚至提出了要“网站程序代码进行全面检查和评估”、“有防篡改措施”这样具体的要求。请问，对于政府、银行等涉及公众利益的网站安全的监管，您有什么看法？我们知道，这些机构在规模、对网站定位等方面都千差万别，能否用一个指引要求他们呢？另外，这类监管措施的出台，是否能带动网站防篡改市场的发展？

尹智庆：的确，在政府、金融、运营商等领域，监管机构对网站安全提出了很多要求。首先，这些指引起到了告知的作用，引起了社会各界对网站安全的重视。在此之前，很多人可能还没听说过网站防篡改这类解决方案，只是在网站出事后去找解决方法。其次，从监管目的来看，这是因为这类机构很多业务都是依托网站，不得不对安全提出更高的要求，必然要做各种安全防护措施。再次，从技术角度看，这些要求并不是过高的要求，实现起来不难。

我认为，这都是在补课，在补安全措施的课。实际上，重要机构在建网站之初，就应该考虑到安全措施。而不是，在运营了一阵子之后，出了很多问题，再来做安全防护措施。

刘保华：对于银行、电信等承载了重要业务的网站来说，从安全的角度看，做多少都不为过。但安全防范也是需要资金投入的，企业不可能无止境地增加安全投入。因此，很多用户感到茫然的是，做到什么程度，才算安全了。在您看来，网站运营方应该如何评估网站信息安全水平？如何评估安全防范措施是否达到要求了？还是应该根据技术的发展，不断地更新安全措施？

尹智庆：的确，安全无止境。攻击的技术在发展，导致安全防护技术不断发展。过去，垃圾邮件问题不严重，所以很少说需要垃圾邮件网关。攻击种类在增加，各种抗攻击手段也在不断涌现。

做到什么程度，安全算是够了？对这个问题，很多用户都不清楚。有的人过度悲观，有的人抱着侥幸心理，盲目乐观。这两种态度，都不可取。在国外，有第三方权威机构，对网站是否安全作出认定，然后发一个证书给网站。国内，现在还没有这样的机构出现。但用户可以借助安全检测技术，评估网站安全水平，对各项评估指标进行赋值，最后综合得出，网站是非常危险、非常安全，还是过去非常危险通过改进变得非常安全。

值得注意的是，网站评估不是一次性的，而是动态的、周期性的。现在对网站评估是安全的，但随着新的攻击技术出现，你就得对安全有一个新的评估。

此外，安全防护有很多手段，并不是所有的措施，都需要很大的投入。我们可以根据专家的建议，通过修改代码，使网站变得更安全。

尹智庆精彩观点：

用一种痛，替换另一种痛

安全与便利是矛盾的，很难统一。从理论上说，没有绝对安全的网银。从绝对安全的角度，全世界所有的网银都应该关闭。但因为大家需要快速交易，不愿意去银行排队，所以愿意尝试各种严格的认证，来使用网银。这是用一种痛，替换另一种痛。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。