您的位置: 网界网 > 周报全文 > 正文

[周报全文]当Web安全成为难以实现的梦想

2008年09月18日 14:16:48 | 作者:网界网 赵晓涛 | 来源: | 查看本文手机版

摘要:随着各种基于Internet的安全攻击频发,Web安全已经成为业界的热门话题。对用户而言,面对鱼龙混杂的Web安全技术,往往显得不知所措。

标签
安全网关
Web安全

【CNW.com.cn 专稿】随着各种基于Internet的安全攻击频发,Web安全已经成为业界的热门话题。对用户而言,面对鱼龙混杂的Web安全技术,往往显得不知所措。

困惑中的谜局

进入2008年以来,随着企业对互联网的越发依赖,大量基于Internet的安全攻击与威胁频发,因此不少安全厂商顺应用户需求,提出了针对企业Internet出口网关的Web安全技术方案,并催生了大量的Web安全网关产品。

当前,Web安全防御已经成为炙手可热的概念,众多安全厂商投身其中乐此不疲。但是,经过众多不同行业用户的亲身体验,大家却对此抱怨频频,甚至一度认为Web安全方案就像一个难以实现的梦想:相关产品问题太多——延迟、漏报、误报、功能单一、缺乏数据防泄漏保护、应用保护能力弱、性能太差(吞吐率、并发连接等)、管理部署太复杂等。反而给用户增加了不必要的麻烦。

此前新华人寿集团IT经理杜大军表示,作为企业的信息部门,他们迫切希望能够给企业营造一个安全、稳定的IT计算环境。当前,随着保险业数据大集中的不断推进,基于Internet交互的需求在不断放大。从客观上讲,这为企业的安全防御带来了挑战。

“作为金融机构,对于信息安全的关注程度不能有丝毫松懈。从各家金融机构的内部评估看,来自于Web的安全威胁,包括病毒、木马、间谍软件、恶意程序、垃圾邮件,已经成为企业信息安全的主要挑战之一。”杜大军解释说,“当前的难点是,对于此类安全风险与威胁,业内缺乏统一的标准与技术方案,有些安全厂商将其归类为内容安全,有些归类为Web安全,由此导致相关的技术方案让用户很难下手。有些综合功能比较强,但是性能偏低;有些个别性能突出,但是功能的覆盖面不够,需要多种安全设备串接工作,这些对企业都是不合适的。”

用户的渴望

大量的事例表明,用户对于Web安全既有需求,又有担忧,他们渴望业界能够统一相关的认识,并切身站在用户的立场上推出实用的Web安全产品。

事实上,评价Web安全产品是否符合时宜,并非安全厂商一厢情愿的事。对此,泰康人寿集团IT经理杨黎对记者表示,随着国内越来越多大企业对信息安全的重视与投入,解决Web安全的困扰势在必行,但如何进行取舍却是用户所要考虑的。

她举例说,驾驭Web安全,不仅需要安全厂商拥有支持应用层的Web安全网关类产品,而且需要做到:安全厂商能够充分吸收先进技术,包括使用高性能深层内容处理、高效的检测算法,以及应用多核处理器。同时还需要设备的提供方具备丰富的研发经验、迅速响应的支持体系、以及稳定的研发团队。

“对用户来说(+微信关注网络世界),没有人希望成为新技术的‘小白鼠’,特别是对于金融机构而言,不仅要求安全厂商能够在思路上贴近大型企业的需求,满足此类型企业对于全功能与高吞吐的要求,而且要能够帮助企业用户进行配置与培训。换句话说,企业买产品是为了解决Web安全的问题,而不能因为购买新产品反给自己找麻烦。”

拨开迷雾

记者在采访过程中发现,一线用户之所以对目前Web安全产品颇有微词,很大程度上是因为鱼龙混杂的产品难以区分。

一些安全厂商把IPS作为Web安全方案进行宣传,却在预期的防病毒、防恶意攻击效果上无法满足用户的期待。而另一些力推UTM给用户进行Web安全防御,但性能却频频挠头。还有一些将URL过滤作为Web安全的核心,却在高带宽与高并发会话的需求中折腰,最后也有将上网行为管理等同于Web安全理念推销给用户,虽贴近了SMB,却忽视了高端用户的感受,以至于在金融、高教、电信等行业出现Web安全技术的真空地带。

其实到目前为止,Web安全技术都是在不断积累与进化的过程中。对此,记者相信,只有真正的Web安全网关才能兼顾高、中、低不同用户的需求。而随着多核、深层处理等技术的成熟化,不少安全厂商已经向前迈进,这对用户而言,才是真正的好事情。(更多内容详见http://www.cnw.com.cn/P/222

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]