本文讲的是WEB云安全技术应用篇，【IT168 资讯】近日，整合Web、邮件和数据安全防护解决方案提供商Websense发布了对2009年的安全预测报告。其中值得注意的是，”云安全“技术被滥用、Web应用和Web 2.0应用等被恶意利用的几率将大幅增加。黑客们充分利用可编写Web发动攻击，在2009年，利用Web API服务来获得信任、窃取用户的资格证书或机密信息的恶意攻击将会增加。
同时，随着允许用户进行内容编辑的网站越来越流行、数量出现飞跃增长，某些网站很有可能导致Web垃圾和向blog、论坛和社交性网站发送恶意内容的大幅度增加，内容包括搜索引擎麻痹、恶意引诱传播和网络欺诈等。此外，这些威胁和攻击将被数种新的Web攻击工具所整合，使黑客们可以发现那些存在漏洞、或者允许发布恶意代码的网站。
而一直以来，针对Web安全保护的技术更是层出不穷，目前此类技术流派已经分成两大类：第一类以新型的Web安全网关为基础，第二类以最新的云安全技术为基础。对用户而言，无论采用哪种技术，最关键的还是安全效果的体验。 WEB安全定义与共识
WEB安全定义与共识
当前业内主流安全厂商经过多年的反复争论，终于在Web安全上达成了共识，统一了Web安全的定义。这的确是一件不容易的事情，要知道不同的厂商侧重点不同——URL过滤的、Http过滤的、防病毒的、反垃圾邮件的、Proxy的、端口镜像的等等——大相径庭的方案很可能导致用户对整个Web安全领域的困惑，非常不利于整个产业的成长。
针对Web安全，当前业内的一致看法是，统一的定义不能从厂商的技术上去下，而是要与用户需求的紧迫程度挂钩。
从这个角度上分析，Web安全分成两类应用模式：一类是针对病毒、木马、间谍软件、恶意软件的威胁；另一类着眼于规范用户行为，比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。
需要注意的是，两种应用模式并非孤立存在，彼此间是有交叉的。据Anchiva中国区总经理李松介绍，根据经验，一套完整的Web安全方案，至少需要两个部分：一台针对TCP/IP协议二、三、四层应用的安全防御设备（比如防火墙、入侵检测、UTM），之后串接一台针对七层内容的安全防御设备，以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。
持类似看法的，还有中国民用航空管理局的一位安全管理员。他说：”到目前为止，我所了解的不少同类用户对于Web安全仍然无法形成最优的配置或共识，但我们有一个最基本的思路，即一套完整的IPS系统+Web安全网关相配合，至少能够满足相当多的内部员工对于Web安全的需求。“
说到应用，Hillstone首席软件架构师王钟在接受专访时表示，针对企业的攻击总是跟随着应用而来，越来越多的企业应用构建在互联网之上，而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为，都会成为Web攻击的对象。从目前来看，多年的积累，使得企业具备一定的网络攻击防御能力，而针对新出现的Web活动引发的安全威胁，企业需要根据自身的特点，增强相应的防范手段。
Web安全形势
之所以当前Web安全成为热门话题，关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计，目前针对Web应用的威胁正以爆炸式的速度增长，全球范围内企业与终端用户面临的风险已经到了非常严重的地步。
对此，Wedge Networks全球CTO张鸿文博士介绍，无论是美国还是中国，随着”社会网络、Web2.0、SaaS“的兴起，网络本身已经成为社会生活的一部分。在这种环境下，与传统的病毒制造不同，当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。事实上，随着当前Web应用开发越来越复杂与迅速，攻击者可以很容易地通过各种漏洞实施诸如：注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击，从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外，通过木马、漏洞控制海量的普通用户主机组成僵尸网络，利用这些”肉鸡“，控制者可以通过多种方式获取利益，比如发起攻击、点击广告、增加流量等行为。
“从实际的经验看，在一个典型的Web服务架构中，很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面，从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务，恶意Web站点总是能够快速建立起来，并在搜索引擎 的推动下袭击无辜的用户。”
从Wedge Networks全球合作伙伴反馈的信息来看，美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上，那些国家中一些垂直行业与机构，比如公共安全、金融、医疗、交通、能源等企业，对于Web安全保护的技术关注与投入都非常高。
实际情况是可悲的。根据趋势科技发布的统计数字，从今年二季度开始，国内就有超过1万个大型网站遭受”注入攻击“，这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。
有用户BBS上留言：”我们重视Web安全造成的损失，但是我不清楚，这部分预算究竟应该分配给谁：是分配给负责网络基础设施的管理团队，还是分配给管理Web服务器和数据库服务器的团队？“无疑，Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。
问题已经很清楚了，当前针对Web应用的威胁，企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出：”当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范，而针对Web应用的威胁是基于协议的七层攻击（应用层攻击），从技术角度来看，传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。“
云安全15分钟建立防线 病毒入侵成为历史
看完上半部份的文章，让我们了解到现在的病毒基本上都是基于Web途径传播，通过在高流量网页上”挂马“的方式，在用户访问网页时自动下载到本地计算机的信息。最常被用户访问的网站中，有2成左右都含有各种木马病毒。这直接造成了有65%的用户因为在家网上购物受到此类病毒侵害，从而带来经济损失。在全球金融危机的大环境下，再遭受账号损失无疑雪上加霜。而对”挂马“防范不利则是造成这种后果的直接原因。也就是Web病毒数量多、传播速度快的特点造成了 ”零日“危机。病毒利用防范的”空窗期“大肆入侵。传统的反病毒工作根本无法与病毒在速度上相抗衡。
但是趋势科技云安全技术改变了这种局面，基于云计算强大的数据处理能力，将人工判别风险转变为计算机判别网页的安全等级模式，通过计算网页的信誉等级，可以将Web威胁遏止于网络之外。例如，当一位云安全用户访问一个网页时，访问请求就被发送到趋势科技的”云“数据库中，对该网页的风险级别进行查询，这个过程仅需几十毫秒，让终端用户丝毫察觉不到，只是在访问含到有威胁的网页时会收到提示。
如果用户访问的网页在云端数据库中没有记录，用户会顺利地访问此页面。与此同时，趋势科技的2000多部在线服务器就会把网页信息源收集起来，再进行分布式计算，得出网页的信誉等级。这个计算时间最多只需15分钟。此后，第二位访问该网页的云安全用户将会受到云端的保护，从而达到了 ”让Web世界没有第二位受害者“的成效。
云安全实现”邻里监督“ 用户越多云越安全
趋势科技推出的”云安全技术“的安全性可以根据用户数量的增多而不断加强。通过趋势科技遍布全球的数亿位用户的信息触点，其云端服务器群收集的高风险信息可以更加详细，同时，可以增加针对Web威胁安全防护面积。目前趋势科技云端服务器每日接到的查询达50亿笔，仅每日分析的数据量就有 1.2TB。趋势科技将用户与互联网的云安全平台紧密相连，组成了一个庞大的安全网络体系。就像现实社会中的社区，每位用户都可以为”社区安全“贡献一份力量，对带有威胁性的网页进行信息反馈，通过”邻里监督“的方式，可以在最大程度上提高用户对木马和病毒的防范能力。
据趋势科技的产品技术顾问徐学龙介绍：”云安全技术通过对互联网上海量信息源进行分析整理，构建出庞大的云端服务器群，并将高风险信息源保存到云端数据库中。通过云安全的自动反馈机制等技术，在终端用户与趋势科技云端服务器群之间实现不间断通信，通过检查网页信誉来确定各种新型威胁，实现实时探测和及时的‘共同智能’保护，让每个互联网用户都成为了反病毒事业的贡献者。“
此外，众多用户的信息反馈不仅加大了云安全的信息监测面积，还可以让云安全的安全指数精确。因为用户访问某一个站点的频率越高，趋势科技对该站点的分析就会更细致，计算优化程度更高，这样便可以构建出更安全可靠的信息源风险查询体系。

原文发布时间为：2009-08-13
本文作者：IT168.com
本文来自云栖社区合作伙伴IT168，了解相关信息可以关注IT168。
原文标题：WEB云安全技术应用篇