伴隨大量數(shù)據(jù)泄漏事件的發(fā)生，業(yè)務(wù)安全及應(yīng)用安全的關(guān)注度已經(jīng)達到前所未有的高度。如何保障業(yè)務(wù)安全及應(yīng)用安全，以成為掌握核心數(shù)據(jù)用戶的首要關(guān)注點！這就是OWASP 2012中國峰會上，安恒信息總裁范淵先生對于現(xiàn)在國內(nèi)整體WEB應(yīng)用安全現(xiàn)狀的點評，"現(xiàn)在我們所面臨的是一個岌岌可危的網(wǎng)絡(luò)安全環(huán)境，整個網(wǎng)絡(luò)就好比《皇帝的新裝》中的帝王毫無隱私！"

[[102791]]

OWASP中國區(qū)副主席、安恒信息總裁范淵先生致開幕詞

近些年，越來越多的人在關(guān)注云計算、物聯(lián)網(wǎng)、移動互聯(lián)，但是人們卻忽略了一個本質(zhì)的問題，那就是安全，在沒有安全的保障下，一切新技術(shù)、新趨勢就是一紙空談，很容易成為新興攻擊方式誕生的溫床，從而帶來的是無盡的危害。在本屆OWASP 2012中國峰會上，安恒信息安全服務(wù)部副總監(jiān)吳卓群從產(chǎn)品及技術(shù)的角度，向大家描述了現(xiàn)在國內(nèi)WEB應(yīng)用安全所面臨的實際情況，坦然的表達了自己的憂慮及看法。吳卓群指出，盡管目前在Web 應(yīng)用的各個層面，都已經(jīng)使用不同的技術(shù)來確保安全性，但是，由于WEB應(yīng)用的天然開放性，以及各種WEB軟硬件漏洞的不可避免性，加上網(wǎng)絡(luò)攻擊技術(shù)日趨成熟，黑客們也將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上。根據(jù)Gartner的調(diào)查顯示，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，三分之二的Web站點都相當(dāng)脆弱。但目前，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡(luò)和服務(wù)器的安全上，并沒有從真正意義上保證Web應(yīng)用本身的安全。

安恒信息的信息安全服務(wù)部副總監(jiān)吳卓群

從產(chǎn)品的角度出發(fā)，現(xiàn)階段對于WEB應(yīng)用方面常常遇到的攻擊方式及手法，WAF無疑是最專業(yè)防范產(chǎn)品，然而隨著技術(shù)日新月異，攻擊的方式再也不斷變化，在這樣一個盾與矛的較量中，防衛(wèi)者還是處于一個被動的地步。針對這樣的實際情況，吳卓群指出現(xiàn)在WAF產(chǎn)品實際的現(xiàn)狀：

1.WAF是保護WEB應(yīng)用安全的設(shè)備，但缺乏足夠的安全測試，目前存在大量手段可完全繞過WAF的防護策略，對保護站點進行攻擊

2.針對waf的繞過手段可以通過不完善的策略進行繞過，但風(fēng)險更大的是利用解析錯誤徹底繞過保護

3.國內(nèi)外無論是硬件WAF還是云WAF至少90%以上存在徹底繞過的風(fēng)險

由此可見，防御需要變被動為主動，安恒信息作為國內(nèi)最早研發(fā)國內(nèi)第一代WEB應(yīng)用防火墻的企業(yè)，逐漸認(rèn)識到這點，經(jīng)過多年的嘗試安恒信息已經(jīng)總結(jié)出一套可行的技術(shù)方法，有效解決了目前針對WAF的繞過保護問題，杜絕了攻擊途徑，實實在在使得WAF成為有效抵御WEB攻擊的最佳防御方式。