近年来，政府、企业各类组织所面临的应用安全问题越来越复杂，各类安全威胁正在飞速增长，极大地困扰着用户，给各类组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证应用系统的安全和正常运行成为政府、企业等各类组织所面临的重要问题。

　　用户安全环境并不乐观

　　根据AV-Test.org的最新统计，全球恶意程序已超过1100万个，传统的代码比对技术正面临着越来越大的困境。面对这种困境，趋势科技中国区执行副总裁张伟钦说：“安全行业大概在两年前突然出现了一个很特别问题，就是病毒库怎么保存。过去病毒库一般都保存在用户的客户端上，当出现新病毒时通过更新用户端病毒库就可以很好地解决问题。但是，如今的病毒变得越来越以赚钱为目的，已发展成一条黑色产业链，被赋予了很高的经济价值。根据相关机构的统计，这个黑色产业链的产值，每年能够创造70—80亿元人民币的产值，而且其利润非常之高。”

　　中国计算机报联合赛迪网和IT168发起了一次“Web安全风险与应用调查”，通过历时1个月的调查，共有12938名用户参与。从调查结果来看，调查显示用户的安全总体意识很不错，但总体安全环境并不乐观。有35.9%的用户表示曾经感染病毒、蠕虫或木马程序，23.2%的用户的Web服务器数据遭到过破坏或丢失，而遭遇过网页内容被篡改的用户也达到了25.4%。

　　根据国家计算机网络应急技术处理协调中心的工作报告显示，一些网站漏洞百出，被篡改的网站数量明显上升，总数达到28367个，比2006年全年增加近16%。信息安全国际权威机构SANS 2007年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，最广为攻击者利用的漏洞为SQL注入及跨站脚本。同时Google最新数据也表明，过去1年中，Google通过对互联网上几十亿个URL进行抓取分析，发现有至少300多万个恶意URL存在。

　　其中，SQL注入漏洞通常为攻击者利用，用于读取、创建、更新或是删除应用程序中的任意数据，最为糟糕的情况下，攻击者可能获得整个数据库系统的完全。还有跨站脚本允许攻击者在受害者的浏览器中执行脚本，从而劫持用户会话、篡改Web站点、插入恶意内容、实施钓鱼攻击等。

　　中国人口信息研究中心信息总监、网络数据库及信息安全专家冯方回表示，作为政府单位，走在信息化与互联网经济前沿的组织很多，但也都面临着各种Web的安全问题。但是由于Web服务器提供了几种不同的方式将请求转发给应用服务器，并将修改过的或新的网页发回给最终用户，这使得非法闯入网络变得更加容易

　　传统网关难防安全风险

　　在Web安全风险与应用调查中，仍然可以看到防火墙仍然是用户必不可少的安全设备，有66.9%的用户在单位中进行部署，部署IPS的用户占17.7%，部署IDS的用户占14.9%，而部署UTM的用户也仅占6.1%。

　　虽然这些用户部署了种种安全网关，但仍然逃不过当今恶意软件和Web风险的威胁，稳捷网络首席技术官张鸿文解释说，传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，但其局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力。针对Web应用攻击，必须采用专门的机制，对其进行有效检测、防护。

　　冯方回分析说，恶意软件和Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。迄今为止，该方面尚未受到重视，因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全，而防火墙和入侵检测解决方案发现不了Web攻击行动。

　　中国审计署计算机技术中心主任王智玉认为，安全漏洞是不断发展的，有新的应用出来，就会有新的漏洞。防火墙只保护大门，如果攻击者从别的途径进入，防火墙就没有用武之地了。很多公司都有防火墙，黑客知道这些很难进入，于是他们开始寻找新的方法。

　　许多Web应用程序容易受到通过服务器，直接穿透了周边防火墙安全措施，因为端口80或443必须开放，以便让应用程序正常运行Web应用程序攻击包括对应用程序本身的DoS攻击、改变网页内容以及盗走企业的关键信息或用户信息等。

　　比如在航空公司的网站上，手段高超的黑客只要利用一些加密传输协议的错误信息，改几个参数就可以看到其他旅客的信息。传统的应用程序安全保护措施工作在网络层，像传统的防火墙对应用层的信息很难进行检测。传输层上没有任何的内容检测技术，所以也就无法识别包含在Web服务数据包或元数据信息中的木马程序。

　　力不从心的传统防御方法

　　绝大多数人在谈到网络安全时，首先会想到“防火墙”。防火墙得到了广泛的部署，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足Web应用防护的需求。防火墙的不足主要体现在：

　　1、传统的防火墙作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。设计之初，它就无需理解Web应用程序语言如HTML及XML，也无需理解HTTP会话。因此，它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。恶意的攻击流量将封装为HTTP请求，从80或443端口顺利通过防火墙检测。

　　2、有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对Web应用攻击的研究深度不够，只能提供非常有限的Web应用防护，难以应对当前最大的安全威胁，如SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题，更是无能为力。

　　IPS和防火墙的防护功能仅能一定程度缓解针对Web应用的攻击。彻底消除安全隐患，还需要借助Web应用漏洞扫描工具，用以来诊断Web应用程序脆弱性。而传统IPS设备更多从防护着手，不具备事前预防的能力。从安全角度考虑，需要针对目前泛滥的SQL注入、跨站脚本攻击、应用层DDoS等Web应用攻击，提供有效检测、防护，降低攻击的影响，从而确保业务系统的连续性和可用性。

　　Gartner的研究显示目前大约70%的安全漏洞源自网络应用层。趋势科技资深产品技术顾问徐学龙分析，安全漏洞可能是TCP/IP协议设计之初未考虑安全因素、系统自身存在的Bug、Web应用漏洞，也可能是各类配置错误导致。这些安全漏洞为攻击者所利用，用以实施DDoS、缓冲区溢出、恶意远程文件执行、目录遍历攻击以及当前最为泛滥的SQL注入、跨站脚本（XSS）攻击。

图一：如果按照现在的增长速度，到2015年将会有2.33亿恶意程序，每小时会有26598个新病毒需要处理。

 
图二：典型的Web攻击模式

　　用户目前经常遭遇的Web应用安全隐患

1. 用户商业机密外泄


2. 非授权访问


3. 公司网站成为黑客利用的工具


4. SQL注入


5. 存在超级用户权限隐患


6. Web管理平台地址暴露


7. 忽视网站底层技术隐患


8. XSS跨站执行


9. 没有任何安全隐患


10. 其他