Appscan--为企业Web应用披上安全盔甲

　　导言：在本届信息管理与信息安全年会上，IBM  Rational高级技术顾问聂健先生为大家做了题为《Appscan--为企业Web应用披上安全盔甲》的演讲。为与会者详细介绍了Appscan解决方案是如何帮助企业解决Web应用安全的问题。

　　可能大家以前没有听说过IBM还有安全方面的产品，关于应用安全方面，IBM 收购了Watchfire，一家专门关注这方面的公司，所有的产品整合到了IBM  Rational的品牌下面。其实简单来说，在应用上线之前，有很多工作，包括开发、需求和配置管理， IBM  Rational都提供了整套的解决方案。

　　安全问题实非常细节的，即使业务逻辑层做得再好，在业务展现层出现了问题，整个安全链就容易打破。
 

　　图1 IBM高级技术顾问聂健在年会上演讲

　　安全的新问题

　　这部分话题跟黑客以及黑客的技术相关的，我们做了个总结，发现现在的安全问题跟传统意义上理解安全问题有很大的差距。这是什么为什么呢？因为传统总是说网络，防火墙，防木马软件，我们都在关注这些方面。但是现在所出现的问题，都不在网络层，不在主机层，而是在应用层。在整个安全链路上，黑客总是会找到最弱的地方进行攻击。以前会通过网络监听的方式、通过报文篡改的方式、通过一些木马的方式获取信息，这些方面的防护现在逐步的做好了。但现在问题又出现在了后台，根据调查报告显示，75%的攻击发生在应用层，为什么攻击者会对Web应用产生兴趣呢？因为其中可以获取你很多的信息，包括你的数据、包括你的卡号、包括你的身份的替换。还可能把网站首页给替换掉了。

　　Appscan无论在国外和国内都有很多成熟客户，我们问这些客户是什么原因让你购买我们的Appscan，是处于什么压力，该产品给你带来什么价值。从国外的客户反馈来看，除了出于数据安全性的考虑之外，另外一个很大的压力来源于法规遵从性的要求。企业是一定会属于某种行业的，当行业逐步规范化以后，一定有规范化的指标。比如银行有相应的指标，要上市的话会有塞班斯法案的要求。在国内的话，这块是处于初期的阶段，随着对外市场的开放，随着企业进入到国际市场，也就会面临很多的问题。

　　企业安全现状

　　其实我们看企业的现状，安全和花费是不平衡的。以前会把90%的花费放在网络上，但实际上问题中有75%是发生在Web应用上，而在Web应用方面的投入只有10%。其实很多客户会遇到各种各样的问题，之前去过一家公安厅，公安厅对数据安全和信息安全是非常关注的，他们已经做得很好了。传输层有加密，网络层采用了网络扫描工具，在防护方面我们有防火墙。会专门找一些比较专业的黑客做一些渗透性的测试，大概半年做一次。这已经是做得非常好了，但仍然会出现各种各样的问题，这是因为你应用在变，攻击的手段在不断的发展，变化频率也非常高。

　　从整个框架上看安全架构是怎样的？前端是客户机，通过Internet防火墙访问到终端的应用服务器，你的数据在后端。你的逻辑在应用服务器上，数据在后端，前端采用保护网络，保护相应的端口，保护相应的IP，传输层上有传输层的加密。我们可以看到，以前所有的投资都在防火墙之外，在客户端有杀病毒的软件，在传输层有不同类型的加密。总而言之，很多时候，你针对的是硬的环境，而不是后端软的环境，如果能够用一些合理的方式直接穿透这个硬的环境，或者绕开这些设置的保护，直接从内网访问你后端的服务器的话，你所有的投资就白费了。