2010年，在所有与黑客攻击有关的活动中，92%的涉及数据泄露的事件均是利用了网络应用层的漏洞。在今年的OWASP中国峰会上，ForresterResearch首席分析师王晨曦所发布的关于互联网安全现状的数据中，出现了这个惊人的数字。它似乎在告诉我们，Web应用安全已经不再是信息安全界的“小语种”，它正势不可挡的成为全球信息安全行业急需探讨的课题。

　　Web安全事件已无处不在

　　今天，国内因Web应用漏洞而引发的安全事件，正在如雨后春笋般在我们身边爆发，更重要的是，这类安全事件的影响力也开始不断扩大。梭子鱼网络有限公司中国区总经理何平告诉记者，针对web应用漏洞的攻击技术，今天在互联网上几乎唾手可得。校园网上的BBS、黑客网站、博客上，到处都可以找到发动这类攻击的工具软件，甚至完全不懂任何网络攻击技术的人，都可以做到黑客可以做的事，外加上“黑色产业链”对各种网络攻击事件的刻意操纵，ForresterResearch所发布的数据已经相当客观，前段时间伊朗网站被攻击的事件，正是黑客组织利用web应用漏洞发起的政治性质的攻击。所以，保证Web应用的安全，也是保障国家信息安全的核心任务。

　　与这一现实相悖的是，尽管我们的互联网生活已经陷入了web应用漏洞造成的安全阴影中，但当前大多用户却几乎对Web应用的安全风险完全没有概念。造成这种落差的原因又是什么呢?

　　何平告诉记者，这主要是因为在互联网应用快速变化的过程中，信息安全问题也出现了颠覆性的变化。比如浏览器的交互性应用，让过去的浏览器和现在的浏览器在本质上出现了巨大的区别，浏览器已经变成了众多应用的承载者。另外，各种移动终端也开始成为互联网应用的“访客”，数据传输的链路变得更加复杂了。大多数人关注的是互联网应用如何越来越丰富，如何越来越便捷，而这种快速的变化与以往的安全体系架构自然不匹配，而在“黑客”眼中，这种差距正是盗取有价信息的大好机会。

　　既然是应用系统安全漏洞引发的问题，在系统研发阶段，这些安全风险是否可以被最大化的规避呢?何平认为，应用系统的安全漏洞永远都无法避免。因为，在应用系统的研发过程中，如果过多的考虑未来的安危，必然会影响系统的交付周期，强调安全的做法没有商业驱动力，所以应用程序的漏洞必然会长期存在。

　　WAF标准有望尽快落地

　　当前，Web应用安全需求的增长，已经使WEB应用防火墙(WebApplicationFirewall，简称WAF)成为越来越关键的安全产品。何平在参加OWASP峰会时也指出，当前企业快速的发展正在对应用系统提出更高的要求，web应用安全市场虽然不会迎来爆发式增长，但是也已经进入了一个快速成长期。而且，由于近年来国际市场日趋成熟，WAF市场的国际标准也在逐步形成，并对传统的美国信息安全协会和信用卡支付标准PCIDSS所形成的一些标准作出了不少更实用的修正。

　　同时，他也表示，从国内市场当前的情况来看，国际标准还并不是用户所看重的，大多厂商的WAF产品多以用户需求为标准，所以相对国际市场缺乏对Web应用安全产品的价值评估体系，也在某种程度上阻碍了市场认知度的提升。但从市场整体的发展趋势来看，不管是OWASP这样的专业技术组织，还是行业用户都在对具有实用价值的标准的落地起到推动作用。

　　关于标准化，在今年的OWASP峰会上，也出现了不少有益的信息。比如大会所提出的WAF所要具备的功能、对某些攻击的防护能力标准，以及在易用性和安全部署方面的建议性要求等。以往，OWASP组织进行的很多项目都成为了产品市场化时的国际标准，但对致力于web应用安全领域的企业而言，这也仅仅只是一种技术方向的指引。正如何平所说，“标准化解决不了技术的问题，技术的发展才是带动web应用安全市场发展的动力。”

(责任编辑：)