死守Web应用安全 面对风险已无路可逃

 　　Web应用安全在全球范围内已经是一个热门话题，尤其是对于企业职工来讲，层出不穷的web应用总难免面临形形色色的风险，那么我们应当如何针对web应用进行防范呢？

    Web应用的特殊

    与普通的应用软件不同，web应用程序最大的特色就在于用户可以直接通过web访问应用程序。用户只需要可以连接网络就可以轻松进入应用程序中。我们平时所使用的很多邮箱、办公软件以及微博等社交媒体大多属于此范围。

Web应用程序要更直接

    Web应用的核心在于对数据库的处理。而相比普通应用程序，web应用对可扩展性要求更高。云计算的发展带动了web应用程序在各种行业中融入，而其大量的数据存储、处理等需求也反推了云计算一把。

    但web应用并非没有问题，相反，web应用的问题其实会更可怕。因为不提供客户端，web程序一旦被入侵或者攻击，整体的危险性要远超普通应用程序。

云计算推动Web应用焕发青春

    卡塔尔国家银行就是最近受到攻击的一个。犯罪嫌疑人利用在sql注入漏洞入侵了银行的系统，盗取了1.4G的客户的个人信息和信用卡信息。随后，同一黑客团队攻破了6个金融机构的网站和web应用。

    如此恶劣的环境对于web应用的发展产生了极大的威胁。那么企业要怎样做如何才能尽量保证web应用的安全呢？我们可以从针对web应用所面对的风险，从接受、避免、减轻和转移四个角度来解决问题。

　　风险接受与规避

　　想要解决web应用风险，最好的办法是什么？没有人攻击，当然是我们最愿意看到的事情。但是这一点的做到是十分困难的，没有任何程序是永远安全的。

网络安全不容妥协

　　如果不幸，web应用被攻破，漏洞或者事故已经发生要如何做呢？接受风险吗？不，这是绝对不可取的一种做法。在今天，任何网络攻击都不会仅仅是单次发生的，一旦公司所使用的web应用被攻破，那么第一时间应当选择直面问题的存在，任何侥幸心理都将造成更为严重的后果。

    当今世界数据泄露事件频发，高持续性攻击威胁层出不穷，公司规模无论大小，无论被攻破或者产生问题的部分是否重要，风险接受永远不可取。

网络攻击不分公司大小

    而且更为不幸的是，如果奢求被攻破部分恰好是无关紧要的部分，在当今变得更为不可能。几乎每个公司都有不同的网站和web应用程序集到其核心业务的流程中。ERP、CRM、人力资源管理以及诸多重要的系统都是基于至少一个web应用界面。

SaaS需要更多保护

    而即便你的web应用只是在一个静态的网站中，攻击者一样会利用这一漏洞作为跳板再次对你的整个系统造成更大的威胁，因此，所谓的风险规避也只不过是鸵鸟埋沙。并不能真正解决问题。也就是说，面对web应用风险，不能躲，也不能放置不理，接受和规避都不是上策。

    风险缓解

    这两条路都走不通的话，那么面对风险我们应当怎么做呢？

    首先，web应用程序内的数据应当做足备份工作。对于公司而言，一个完整及时更新的最新的备份数据库是非常重要的。通常，被黑客攻击后公司会选择暂时放弃该web应用程序的部分，而更新也会落下，但是有了备份一切将有备无患。

多备一份，以防万一

    其次，一定要减少黑客的可攻击面。这其中，最简单有效的办法就是限制访问web应用程序的访问方式。简单来讲，一些内部专用的web应用需要确保其无法从外部网络登录。

内部交流，不接外网

    而如果有员工需要在家或者出差办公，那么公司可以通过管理VPN IP地址或者修改添加客户端SSL证书或双因子认证来完成。避免web应用程序公开暴露后，相对的问题也就会因此而减少。

　再者就是建议所有的web应用软件应当进行及时的维护，以确保管理系统能够获得连续的监测和漏洞补丁。

　　也许有人会有疑问，漏洞扫描不是可以监测到系统漏洞吗？但是当web应用程序长时间被用户使用时，漏洞扫描并不足以应付所有情况。最好的办法是建立一个24×7的漏洞监测机制，用手动或者混合安全测试来补充监测无法扫描到的漏洞。

　　建立一个web应用防火墙也是个好主意。但是WAF的主要目的是阻止一些简单的或者自动攻击，而对于专业黑客以及一些先进的脚本攻击则显得无能为力。

安全软件开发生命周期也是个办法

　　想要缓解更复杂的安全风险，实施安全软件开发生命周期(S-SDLC)是个办法。但是在敏捷开发和外包的时代，安全软件开发生命周期也不能解决全部问题。但如果有机会或者条件部署并进行妥善维护时，这会是非常有效的一种办法。

　　此外，经常对web开发人员进行安全培训是一种有效的方法。而如果软件开发采用的是外包，那么请务必记住要引入强制性的安全软件开发资质条件。

　　风险转移

　　网络攻击风险可以转移？没错，而且这正在兴起一股非常大的市场。

　　根据普华永道所推出的一份报告看，全球网络保险市场将在2020年达到75亿美元，而今年这一市场也有25亿美元的规模。在你无法确定自己的web应用程序何时会被攻击，会导致怎样的风险时，买份保险吧。

网络风险保险也有风险

　　网络保险是个好主意，但是请记住，网络安全保险市场并不成熟，因此很多时候可能面对的结果是我们无法预测的。而且据国外专家所说，当今世界已经没有空间可以提供单因素的保护了。

　　企业面对风险更为有效的转移方式，应该采用纵深防御战略，采用强大的分层安全措施。以网站的安全来看，应当以连续的自动漏洞扫描监测网站和其相应的基础设施，但另外也应该有其他的安全编码保障系统开发声明周期各个阶段的安全。

给web应用软件加道墙吧

　　此外，应当建立可以主动防御、保护web应用程序的防火墙。最理想的状态应当将一切加入定期的人工渗透测试，全方位保障web应用安全。

　　总结下来，面对web应用的风险，逃避和接受都是不可能解决问题的。适当的风险缓解措施，必要的风险转移活动，这样才能最大限度保障web应用的安全。