企业级Web应用安全解决方案介绍及其特点
简介:本文分为两部分,第一部分将从 Web 应用安全解决方案的演进入手,探究解决方案的发展之路,并对文中称之为“战略方法”的企业级解决方案及其特点进行深入分析;在第二部分中,将从开发人员、安全管理员、经理等角色出发,用实例的形式展示出使用统一的管理平台后,给企业安全管理带来的方便性、统一性和其它优势。
前言
近年来,随着 Web 应用的普及,企业都争先恐后的提供 Web 平台,或者作为信息发布的门户,用以扩大企业的知名度;或者将部分甚至全部业务放到互联网上,吸引更多的客户,增加企业的收益。有了对外的窗口,在吸引广大用户的同时,企业 Web 应用也受到黑客们的频频光顾。从 2006 年至今,许多著名网站被黑客攻击的消息屡见报端,从发布信息的政府网站、到各类运营商网站,甚至是在线交易的银行网站,都难于幸免。虽然大部分黑客只是为了显示其成就感,在网站上留下“到此一游”的痕迹,但是对于将重要数据放在 Web 应用上的企业来说,他们的系统安全、产品质量乃至企业的资质都受到了严重的质疑。
值得庆幸的是,目前大部分企业都已经意识到了 Web 应用安全的重要性,他们在探索、寻求能够协助企业构筑安全应用的解决方案,而且,他们中的一部分,也对应用安全进行了更为深入的思考,如何在软件开发的整个生命周期中保证其 Web 应用的安全?
Web 应用安全解决方案的演进
我们对任何事物的了解,都是一个从无意识到有意识、从有意识到深刻认识的过程,应用安全也不例外。图 1 很好的说明了 Web 应用安全解决方案的演进。
1、在早期,开发的应用(包括 Web 应用),人们普遍看重其功能、性能、可访问性等方面,而且当时由于黑客数量少、网络未广泛普及、上网条件限制等因素,应用的安全性也确实没有显示出其危害性。因此,在相当长的一段时间内,安全性都没有被纳入系统质量评估的范畴。在这里,我们称之为“无意识”时期。
图 1 Web 应用安全解决方案演进
