随着各种基于internet的安全攻击频发,web安全已经成为业界的热门话题。一时间,各种防御技术与安全方案纷纷贴上了web安全的标签。对用户而言,面对鱼龙混杂的web安全技术,往往显得不知所措。
困惑中的谜局
进入2008年以来,随着企业对互联网的越发依赖,大量基于internet的安全攻击与威胁频发,因此不少安全厂商顺应用户需求,提出了针对企业internet出口网关的web安全技术方案,并催生了大量的web安全网关产品。
当前,web安全防御已经成为炙手可热的概念,众多安全厂商投身其中乐此不疲。但是,经过众多不同行业用户的亲身体验,大家却对此抱怨频频,甚至一度认为web安全方案就像一个难以实现的梦想:相关产品问题太多----延迟、漏报、误报、功能单一、缺乏数据防泄漏保护、应用保护能力弱、性能太差(吞吐率、并发连接等)、管理部署太复杂,反而给用户增加了不必要的麻烦。
此前新华人寿集团it经理杜大军表示,作为企业的信息部门,他们迫切希望能够给企业营造一个安全、稳定的it计算环境。当前随着保险业数据大集中的不断推进,基于internet交互的需求在不断放大,从客观上讲,这为企业的安全防御带来了挑战。
“作为金融机构,对于信息安全的关注程度不能有丝毫松懈。从各家金融机构的内部评估看,来自于web的安全威胁,包括病毒、木马、间谍软件、恶意程序、垃圾邮件,已经成为企业信息安全的主要挑战之一。”杜大军解释说,“当前的难点是,对于此类安全风险与威胁,业内缺乏统一的标准与技术方案,有些安全厂商将其归类为内容安全,有些归类为web安全,由此导致相关的技术方案让用户很难下手,有些综合功能比较强,但是性能偏低,有些个别性能突出,但是功能的覆盖面不够,需要多种安全设备串接工作,这些对企业都是不合适的。”
用户的渴望
大量的例子表明,用户对于web安全既有需求,又有担忧,他们渴望业界能够统一相关的认识,并切身站在用户的立场上推出实用的web安全产品。
事实上,评价web安全产品是否符合适宜,并非安全厂商一厢情愿的事。对此,泰康人寿集团it经理杨黎对记者表示,随着国内越来越多大企业对信息安全的重视与投入,解决web安全的困扰势在必行,但如何进行取舍却是用户所要考虑的。
她举例说,驾驭web安全,不仅需要安全厂商拥有支持应用层的web安全网关类产品,而且需要做到:安全厂商能够充分吸收先进技术,包括使用高性能深层内容处理、高效的检测算法、以及应用多核处理器,同时还需要设备的提供方具备丰富的研发经验、迅速响应的支持体系、以及稳定的研发团队。
“对用户来说,没有人希望成为新技术的“小白鼠”,特别是对于金融机构而言,不仅要求安全厂商能够在思路上贴近大型企业的需求,满足此类型企业对于全功能与高吞吐的要求,而且要能够帮助企业用户进行配置与培训。换句话说,企业买产品是为了解决web安全的问题,而不能因为购买新产品而给自己找麻烦。”
拨开迷雾
记者的采访过程中发现,一线用户之所以对目前web安全产品颇有微词,很大程度上是因为市场中鱼龙混杂的局面难以区分。
一些安全厂商把ips作为web安全方案进行宣传,却在预期的防病毒、防恶意攻击效果上无法满足用户的期待,而另一些力推utm给用户进行web安全防御,但性能却频频挠头,而还有一些将url过滤作为web安全的核心,却在高带宽与高并发会话的需求中折腰,最后也有将上网行为管理等同于web安全理念推销给用户,贴近了smb却忽视了hi-end用户的感受,以至于在金融、高教、电信等行业出现web安全技术的真空地带。
其实到目前为止,web安全技术都是在不断积累与进化的过程中。对此,记者相信只有真正的web安全网关才能兼顾高中低不同用户的需求,而随着多核、深层处理等技术的成熟化,不少安全厂商已经向前迈进,这对用户而言才是真正的好事情。