Web安全的全生命周期

安恒信息

    云计算、物联网、移动互联……这些热词占据了太多信息网络安全报道的版面，在一定程度上冲淡了安全的其他方面，但是有一个方面不但没有隐去，反而由于这些新兴技术的发展被推上了更高的浪尖——那就是Web应用的安全。尽管目前在Web应用的各个层面，都已经使用不同的技术来确保安全性，但是，由于Web应用的天然开放性，以及各种Web软硬件漏洞的不可避免性，加上网络攻击技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱。但目前，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全。2011年底，国内互联网业界爆发的CSDN等众多网站“泄密门”事件，其实只是掀开了Web应用威胁的冰山一角。今天，Web应用防护和数据安全已经成为企事业机构信息安全综合体系中的核心与重点。

    浙江省经信委胡蓓姿处长表示，“基于Web安全这样的重要性，在整个网络空间当中建立起应有的秩序就显得尤为重要。现在信息安全防护中出现的众多挑战，比如个人信息安全问题、公共系统的信息安全问题，包括其他工作当中遇到的信息安全问题，都可以归结为要在网络空间当中建立一个秩序的问题，既要维护网络空间的活力、网络空间的创造力，同时又要维护网络空间的公平公正，要让所有人在网络上能够表达自己的思想和言论的同时，又要在空间当中担负起相应的责任，让每个人能够依法行事，这就是网络秩序的基础。”

    2012年5月9日，国务院总理温家宝主持的常务会议上，研究部署了加强信息安全的决定和意见，这对于信息安全业界的人士都是一个极大的鼓舞，对于网络安全有重要指导意义。会上，温家宝总理明确谈到要完善网络与信息安全基础设施，加强信息安全应急等基础性工作，提高风险隐患发现、监测预警和突发事件处置能力。其实2011年4月，国务院办公厅就下发了《关于进一步加强政府网站管理工作的通知》（国办函〔2011〕40号），尤其强调了要加强信息安全的防护和管理，加快安全能力的建设。一是要求全面检查，切实解决政府网站管理工作中的问题，重点是网站页面能否正常访问、各栏目及其子栏目内容是否及时更新；二是信息发布审核和保密审查机制是否健全；三是网站提供的各项服务和互动功能是否正常；四是网站链接是否经过管理单位审核把关，是否存在错链和断链；五是网站安全防范工作是否到位，是否采取了防攻击、防篡改、防病毒等安全防护措施，并制定了应急处置预案；六是网站管理单位和运行单位职责是否明确。对检查清理中发现的问题要及时整改，确保上网信息准确、真实，不发生失泄密问题，确保公众能够及时获取政府信息、获得便利的在线服务，确保链接正确有效、网站安全平稳运行。

    在5月17日的2012(首届)中国Web应用防护与数据安全高峰论坛上，关于Web安全的各个方面，如Web应用防护的技术体系建设和产品服务创新，尤其是针对国家重要基础行业应用的创新；如何构建行业Web应用防护安全体系；Web应用防护最新技术与理念；重要行业Web应用高安全防护实践等都被有针对性地细细讨论了一番。

    会上，信息安全政府主管部门相关负责人从国家信息安全产业政策和规划角度，业界专家学者从技术理念前沿角度，重要行业信息系统信息安全部门负责人从行业应用需求角度，信息安全业界一线企业负责人从产品与服务提供的角度，深入剖析了当前Web应用防护和数据安全领域的需求和现状，探讨了未来技术方向与产业趋势。

    在会上，记者也见到了这次会议的重要嘉宾之一，杭州安恒信息技术公司(以下简称安恒)的CEO范渊先生。Web安全越热，安恒的发展就越引人注目，从大概5年前创业到如今已经成为国内首屈一指的专注于Web安全防护的公司，从第一位在“黑帽大会”演讲的中国人到“国家千人计划”特聘专家，范渊在Web安全方面可以说很有发言权。信息安全领域的老专家，中国计算机专业委员会严明副主任就说：“大概5年多前，范渊先生作为一个学成归国的学子，在杭州带领一帮年轻人创建了杭州安恒公司，成为一个专门从事Web安全的研发管理和深入的一支团队，5年来他们在Web安全方面取得了不少的成绩。应该说是中国Web应用的一个领头羊和骨干单位，同时也是我们在这方面赶上和超过国际先进水平的一支非常有希望的队伍。”

    这样高的评价引起了记者的兴趣，我们也在会后专访了这位国内Web安全领域的专家——范渊。

    5年创业感慨多

    对于5年前创业时Web安全的市场环境和如今的变化，范渊表示，5年前Web安全、数据安全需要去推动、教育、说服，但现在这个阶段已经结束了，这在信息安全界已经是一个共识，现在就安恒来说，用户中网银、保险、政府部门都不少，各个行业相关的规范也正在一一出台，这都是利好消息。范渊认为，数据泄露从根源上有两个途径，一个是黑客攻击系统，把数据偷走，另一个是内部人员滥用职权，进行数据买卖交易，有买则有卖，这是地下市场的基因。不论哪一个途径，都不能仅依赖于事后的补救，而是要提早发现，提早预防。

    据了解，安恒从5年前成立之初就非常重视Web安全防护的两个问题：防攻击和主动监测。在《关于进一步加强政府网站管理工作的通知》（国办函〔2011〕40号）第6条里面，就明确指出：国家政府机关需要建立快速检测、快速响应机制。这一条对从国家层面，到地级市的所有电子政务网站也都全部适用，正好符合了安恒一直以来的产品研发方向。

    另外，国家每年都在做一个工作——政府工作绩效考核，这个工作中包含对网站安全的考核，主要通过检测来执行。这其中最大的问题是，上万个政府网站需要我们手工去检测吗？这时，既要保障安全，又要保证检测漏洞有较高的时效性并非简单的工作。针对这些防护工作，安恒提出了分布式扫描的概念，传统的扫描是一个单机版的软件，效率低，且遇到一个非常大的门户网站时，扫描的周期长；但分布式扫描跟云计算的理念非常接近，是把一个网站的任务分发给多个引擎并发扫描，这个独创性的检测方式已经应用在上海某电子政务外网的检测平台。范渊表示，安恒今年刚刚发布的明鉴监测平台能够主动查找问题，提出加固建议，能够有效应对新兴的网站攻击。随着政策法规对网页入侵的惩处力度加大，去年，很多黑客联盟被关闭，这导致了一个问题，就是挂马、暗链等的盛行，针对访问量大的网站，黑色产业链能够非常快速地在百度排名靠前的网站中寻找挂马、暗链的机会，而这也是安恒目前的工作重点。

    今年正好是安恒成立5周年，说起5年来的发展，范渊很有感触，“安恒是在用户的见证下一点一滴发展起来的。在这个过程中，我们也很荣幸地参与了一些大型活动，先后参与了Web应用安全等级保护测评以及Web应用行业标准的制定，包括服务这块，我们的安全案例有很多，如阿里旺旺等。这几年也参与了国内很多大事件的防护工作，比如2008年的北京奥运会，2011年年底CSDN出现了数据泄露事件以后，安恒的团队在第一时间就进行了应急响应，CSDN创始人和总裁蒋涛在微博当中第一个感谢的就是安恒。”范渊说起参与的这些防护工作，语气中不乏自豪和感慨，但他同时强调，这种事后的安全代价往往比较高，这也是为什么他一直在倡导要把安全风险前移的原因。

    安恒是一家典型的依靠技术发展的公司，前期表现相当低调，但是在采访中记者发现，他们在无声中积累了大量的客户。据范渊介绍，安恒的核心解决方案应用其实在国内相当广泛，包括2011年年底入围中国移动集采，击败了IBM和惠普，让很多人大跌眼镜。其实这都是水到渠成的，因为和行业的粘合度非常高，Web安全在不同的行业都有不同的应用，安恒也积累了包括金融、财税、社保等方面很多客户。从2011年开始，安恒开始“高调”起来，在业界主办了多个关于Web安全应用防护方面的会议，对此，范渊表示：“我们举办会议希望形成一种常态，吸引更多的业界专家、行业专家相聚，这也是安恒的新起点——活动和市场齐头并进。”

    倡导Web全生命周期

    对于整个安全业界影响很大的“十二五”规划，也给了范渊很多的鼓励，他表示，未来的安恒对有更多Web应用的方向，也会有更多的产品和应用，包括解决方案、测试、开发、应用。

    5年前，安恒成立之初，就将自己的网站取名为DBAPPSecurity，也就是从一开始就关注数据的安全，几年来一直矢志不渝地坚持。目前，范渊在各个场合提得最多的就是全生命周期的概念，这个概念的提出是因为他发现，单个产品在前沿，并且能够起到相关的作用，但在这个过程中，它是在生命周期的中端和后端，其实有很多风险我们往往在事后处理，这其实是目前存在的最大问题，虽然不管是防护型的还是事后型的都很重要，但是事后的处理可能会带来更大的损失。

    另外一个问题是，设备上架以后缺少相关的动态策略和及时的调整机制。现在很多人包括用户，已经认识到了Web应用安全的重要性，可是随着移动互联网化、物联网化，Web安全从应用到真正安全又有了很多的变化，有很多风险是在设计开发阶段埋下的，但却把过多风险留给了实施部署以后的阶段。所以传统的上线前的检查就显得尤为必要，我们把这个阶段称为黑盒阶段，但这种方式需要投入专业的安全人员进行检测，并将漏洞输出给研发，研发再重新修改程序，这样往返次数很多，沟通成本很高。

    “以整个生命周期来说，从软件设计、软件编码、软件测试、软件部署、上线维护、应急响应形成了完整的生命周期，在软件的生命安全周期中最好是在开始阶段介入，我想特别强调在QA阶段是安全介入的最好阶段，为什么呢？因为在开发阶段，很多安全问题如SQL注入、跨站等就埋下，开发人员也没有经验去发现这些安全问题。而在QA测试阶段如果测试人员通过专业的安全工具在不需要掌握专业安全测试的技能就能把重要的安全漏洞问题列出来，并及时提交给研发人员进行修改，将极大地提高软件的安全开发，企业的利益将实施最大化。”这就是范渊想特别强调的全生命周期的安全措施——QA阶段加入安全测试。其他包括白盒测试，软件部署以后的维护阶段各类安全设备实时收集各种系统的日志信息，然后再进行关联分析和预警，实现完整的生命周期。这点国外有很多实际的案例。我们想强调全生命周期里面，风险前置是很重要的环节。

    安全建设在全生命周期维护期的扩展称为实施阶段，更智能的用户行为模型学习、动态策略加载、与自身弱点结合的虚拟补丁技术，应对防护0DAY漏洞；改变传统的防护方式，传统的防护方式往往会有滞后性。目前，全球还没有一家能够提供完整生命周期安全防护的厂商，全生命周期包括了事前的防护、事后的审计、分析，范渊表示，要形成全生命周期不是靠说出来的，而是靠多年的积累，通过5年来的发展，安恒已经可以为客户提供全生命周期的安全防护，这其中有些是以产品的形式，有些是以服务的形式，可以说从设计阶段到测试阶段都能够驾驭。安恒已经由单纯的提供产品发展到提供产品加服务，再到产品变服务。从去年开始，服务和产品变服务的比例增加，而预计今后的增长速度会远远大于之前的速度。
安全专注性

    两年前，记者采访范渊时，他曾表示要在几年内上市，对此，我们曾有疑问，单纯靠提供Web安全防护是否能够达到上市的规模，如今，范渊为我们解答了疑问。他表示，对于企业来说，专注性很重要，而对于信息安全行业来说，跟随发展的方向也同样重要，在云计算、物联网方向的延伸是未来的重要课题，而安恒在这个需求中从来都不曾停工。

    国内用户对于安全定制服务的要求很高，范渊表示，“不同的行业产生不同的需求，可喜的是，安恒在功能的设置上非常合理，用户感受非常好，我们多年来根据不同行业积累了许多经验，而且我们的产品有了很强的学习能力，自动鉴定业务特征。”从Web安全市场的规模来讲，范渊认为这个市场的当量完全可以满足上市的要求。任何一个行业，只要能做到前列一定都有上市的可能。目前，安恒每年的增长都超过了100%。

    几年前，正是因为美国一家银行发生了数据库窃失事件触动了范渊，成为了安恒创立的最初动力，而前段时间，美国又一家银行再次发生了类似事件，这就好象一个轮回，也说明Web安全不但没有减弱，反而更加急迫。在国内，去年CSDN数据丢失事件让Web安全真正进入了人们的视野，这些事件证明了这个方向的正确性和市场的广阔前景，在这个过程中范渊也深深觉得这个市场远远没有饱和，而是刚刚开始增长，再加上电子商务、电子政务的发展和法律法规的出台，Web安全市场空间还很大。

    对于未来，安恒认为还有很多挑战没有完成，今天的全生命周期的解决方案，到明年应该更智能、更深入，而且应该具备自适应、自学习、自建模、自分析、自升级的能力，还有在适应性和功能性方面的改善，对于风险的感知和预知，这些都是在应用安全、业务安全、数据安全方面面临的挑战和非常好的目标。

    目前，安恒已经做到了业界领先，范渊表示，未来的挑战更多的是来自于自己。