中国信息主管网

　　主持人：尊敬的嘉宾、各位中国信息主管网的网友，大家下午好！欢迎来到本期的“CIO三人行”栏目，我是本期栏目的主持人，我叫程彦博（音同）。
随着Web2.0、社交网络、微博等等新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台 上。Web应用的迅速发展，接踵而至的是Web安全威胁的凸显。据专家统计，目前70%的攻击都发生在应用层，而不是网络层。对于这类攻击，传统网络防火 墙由于诸多不足，使得防护效果并不太理想。面对企业日益激增的Web应用，如何应对Web应用安全威胁？如何对Web应用安全与性能彼此兼顾？在Web应 用为王的时代，企业CIO如何应对挑战？本期“CIO三人行”，主题是“Web应用为王时代下的安全与性能兼顾之道”。

　　今天，我们非常荣幸地请到了几位嘉宾来和我们一起探讨这个主题。为大家介绍一下，首先坐在我旁边的这位是赛迪顾问股份有限公司软件与信息服务产业研究中心副总经理贾娟；在贾老师旁边的是中科院研究生院信息安全国家重点实验室教授赵战生；在我对面的是北京教育网络和信息中心远程教学部主任、博士覃祖军；梭子鱼华北区销售总监隋长何；梭子鱼北方区技术经理郭飞。欢迎几位嘉宾的到来！

　　今天我们围绕这个主题进行一些探讨和讨论，首先我们探讨的第一个话题是基于外部环境的互联网影响越来越广泛，企业信息化的过程中都假设在Web的平台上， 如何看待Web安全防护新形势下的压力？请几位嘉宾谈一下，覃老师您先谈吧，可能作为一个用户来讲，现在Web的应用越来越广泛，很多都在Web层面上， 肯定随之而来会带来一些安全上的问题，您是不是有这种感受？或者说遇到Web的安全问题您怎么看？

　　覃祖军：现在Web的应用越来越广泛，特别是交互式的应用，应用面越来越广，这是我们日常的很多工作都在这上面进行。同时，Web的安全确实也面临很大压力。因为我们以前很多的安全产品都注重在系统的网络层面，就是说应用这方面我们往往是第三方开发一个系统，开发系统的时候没有在全部规划的过程中考虑 到安全的问题，比如说数据库的问题，还有软件链接的一些漏洞，这些东西很容易在使用当中会造成一些隐患，然后都会遭到攻击。特别是在我们教育口这块来说， 在这方面要求有很多方面，比如说Web应用方面包括电子邮件的垃圾，还有信息过滤，比如说屏蔽一些黄色网站。
另外我们的网站里面要防止篡改，包括遇到攻击以后怎么样快速地恢复等等一系列的应用问题，如果我们在构建应用系统当中没有考虑到这种应用层的话，往往就在 边建设、边使用的过程中会遇到一系列的问题。所以说，我们应用的面越来越广了、构建的网站也越来越多，这样的话面临的压力也比较大，所以我觉得这方面非常 需要有一个很好的、整体的解决方案，或者说有一种针对性的解决方案来进行规划和评估，或者进行一些加固等很好的措施。如果说我们在某一方面比较弱的话，我 觉得能不能把整体的服务外包出去，像一些安全策略制定等等这方面的东西，这些都是影响到我们Web应用的一些方面，我们感觉到压力也比较大。

　　主持人：确实像覃老师说的这样，可能安全方面的问题压力会越来越大。我个人感觉安全问题可能从技术门槛来说属于比较高的，咱们本身做一些维护，但是对安全 必须有一个比较好的技术的背景和功底，才能做跟安全相关的工作。就像您提到的外包，可能是一个比较好的途径和模式。

　　贾老师和赵老师，二位对这个问题是不是有同样的看法？

　　赵战生：Web应用，特别是Web2.0以后的应用，是在应用的模式中间带来一些创新型的思想。进一步来讲，使得这个应用有一个大的发展，首先是它原来的模式只是参与者的深度和广度受到了极大的限制。就像过去仅仅开了图书馆，而现在的应用等于开了一个创作室，大家都可以在其中来参与创作，不仅单项地上图书馆借点书就完了。

　　这样的一个创作开了以后，它就形成了几个基本的特点：参与的人员大大地增加了，只要有一些相应的计算机使用知识，你就可以按你的想法，通过你的创新，文字也好、图片也好，什么东西都可以送到大家去共享的这个环境来，推到这个环境来面来。这样的话集思广益带来了网络化和应用信息化，像英特尔本来也就是大趋势带来的。没有众人拾柴，这个火焰是高不起来的。但是这种应用一旦人多了，在这种情况底下人多口杂，带来的一些危险也多起来了。原来的应用都是在你自己的笔记本里面干，后来边界、参与人越来越多，你的应用是不可以控制得更好？

　　现在这种环境里面进来的人就多了、杂了，干好事的也有、干坏事的也有，现在很多单位在安全检查中心出现了被感知，你还不知道出了这个事，但是你的行为已 经为国家、企业带来了敏感信息的泄露药，要担负一定的责任了，所以这个压力是很大的。在这种压力面前，如果大家还只是从这样一种革命性的思想和这样一个生 态环境带来的好的一面来想事，而不从它带来的风险一面来想点措施解决它，恐怕这样的应用就像任何一项新技术带来的双刃剑一样，有一面会把我们自己拉伤的。 所以，这个压力是必须要重视的。

　　主持人：谢谢赵老师，贾老师您有什么想法吗？

　　贾娟：我们赛迪是来监测整个行业，我们会从用户和厂商的角度来看到这个现象。我们知道Web2.0的发展带来了开放和便捷，但是同时也有一些人为的因 素、有软件开发的一些漏洞、有一些恶意的攻击。这些无论是企业、政府、教育部门，这种在应用层面的攻击危害程度是越来越大，带来的负面影响也是越来越大。 从我们对用户的一个访问来看，还有他的一个采购信息，我们都能清晰的看到，像前几年是防火墙、IDS采购的比重很大。从现在来看，对于这种应用性的安全还 有一些数据性的安全都有一个需要，正在逐步地放大。我们从厂商也能看到，传统的一些安全厂商，比如说他以前是做防火墙的，现在也都开始进入Web应用安全 的领域。当然还有一些专业的一些安全厂商，像梭子鱼这样的，有关Web应用安全的产品也在逐渐地丰富。

　　主持人：好，谢谢贾老师！确实像刚才几位嘉宾说的，可能这几位嘉宾都认为当前Web防护安全的压力越来越大。今天我们也是非常有幸请到了梭子鱼的两位专家和我们一起来探 讨这个话题，大家也知道梭子鱼一直在做网络安全的一些工作。我想请教一下梭子鱼的两位专家是不是认同刚才几位专家的观点，是不是安全的形势越来越严 峻？或者说这方面的问题会越来越多？

　　隋长何：我觉得前面几位专家说得非常好，说的一些观点把我们认识到的 观点也表达出来了。梭子鱼作为一个专业的Web应用安全厂商，一直关注这个行业的整体发展，一直关注这种新技术能给客户带来一些防护上的解决手段。从 我们现在了解到的，随着Web2.0的推进和广泛使用，Web应用现在有几个趋势：
　　第一、使用的广泛性。前面各位专家也提到了。
　　第二、刚才赵老师、贾老师也都提到了，就是这种交互性的使用。现在交互性的使用非常广泛，说到广泛性呢，中国现在的网站数有323万个，说到交互性的话， 中国的33.8%网民1.42亿存在网上购物的行为，网上支付占30.5% 约有1.28亿 人，也有29.1%  1.22亿的网民使用网上银行。所以，从这个交互性的角度讲，实际上是Web趋势当中很重要的一个发展方向。
　　第三、Web应用随着3G的推动，移动便捷带来了Web应用更大的使用。我们现在知道手机上网，包括手机看电视等等。所以，从这几个趋势来讲，带来的 Web的广泛是它的具体体现。随着这些技术、随着这些应用的推广，带来的是技术的复杂度和深入度，原来Web应用集中在服务器和数据库，随着这些内容的增 加越来越深入。

　　还有一块内容，随着刚才这几个广泛推广的特点当中，越来越多的网民，包括企业在Web上会更多地涉及到企业相关的核心的信息，如果是一个购物的网就涉及 到客户信息，如果是一个金融类的网站也涉及到客户的金融类的信息，如果是政府和企业类的网站，可能涉及到政府的一些政策性的信息、企业的一些核心数据。这 样的话，内容方面在网络上暴露的机会更多。这样情况下，网络开发人员的能力和网络开发的速度，可能往往跟不上网络商业化需求的速度，这样的话开发过程中忽 略网络应用软件的开发安全的规范，就是基于以上这些原因，可能故障点会越来越多、黑客攻击的机会可能会越来越多。

　　如果基于以上来看，Web在这样的一种大背景下，它的安全形势自然而然就面临更大的压力。这是我们梭子鱼对这个方向的一个看法。

　　主持人：郭老师没有什么补充的吗？

　　郭飞：隋总刚才提到了一个企业方面的安全性的要求可能越来越高了。我个人觉得作为一个用户来讲，他所关注的安全性是他自身的，或者是他自身的隐私不要被 泄露。但是作为一个企业来讲，就像刚才隋总说的，一个金融机构或者是一个其他的企业，可能会有很多的用户的信息在里面，作为一个企业应该是有这个责任和义 务来保证这些信息的安全。

　　主持人：接下来的一个话题是企业如何对现有的IT应用现状进行全方位的评估和分 析，充分了解系统面临的风险状况？我个人感觉首先要去评估、去了解面临的风险状况，才能有针对性地去防护，我觉得是这样的。所以，请几位嘉宾谈一下，作为 一个企业来讲，怎么去对这个应用的状况，包括安全各方面进行一个全方位的评估和分析。还是从覃老师开始吧！咱们北京教育网络和信息中心那边，网络安全应用 现状上采取了什么样的评估和安全上的措施？

　　覃祖军：有，我觉得这个评估和分析是形成一种制度性来做，因为有定期的，对某一些方面要有总体的部署。评估和分析实际上是对我们安全现状的一种了解，然后再对出现的问题和漏洞进行加固和补救等等，我觉得这是一个前提。至于说企业如何对用户进行评估，具体来说，一些专门做安全的企业，他可以去为具有应用系统、应用部门的需要进行服务，这个服务可以根据订单式的，这是 我对某一个应用系统的一个评估和了解，就可以通过前面的那种方式进行一个评估，评估是很全面的，有制度上的、有技术上的。技术上的就是从我们整个机房的环 境，从电源的安全开始，一直到应用方面的一个总体了解。

　　特别是在应用层的这几个评估，可能情况就比较复杂，因为每一个应用系统在网络一级、系统一级、数据库一级，有时候对这方面限制很大的话，有可能就会限制到应用的一些效率，我觉得在评估的时候要考虑到，在保证我们应用效率的前提下来做评估，然后得出一个比较客观的数据，比如说我们有工具专门进行扫描，或者说实施的制度的采集，更新一些日志的审核查找里面 的一些问题。

　　最关键的是什么呢？因为很多的应用的过程不像我们系统是很好地过程记录，这个时候对我们整个 的评估带来一个很大的难度。也就是说，往往是出现了一些问题以后，反过来查找问题的来源，这方面可能会做得比较多，以前做得比较少，我们也希望企业能够找 到很好的工具，可以预先在问题发生之前，就能有一个风险的预警作用，这样我们能够把问题处理在萌芽阶段。如果问题出生了以后，在事后再查找原因，虽然亡羊 补牢也是好的，但终究不是一种好办法。我觉得这个评估要为预防为主，这条线来做一个指导，特别是我们制定这种安全策略，有关的制度管理，我觉得这是很好的 一个作用。

　　主持人：谢谢覃老师，赵老师怎么看这个问题？

　　赵战生：您刚才说的风险评估是一个非常好的方法，我本人从实验室退休下来以后参加了西安标委会的工作。国新办21号文件出来以后，就组织了一批专家专门进 行了风险评估的一个研究，当时一些认证对于国际上风险评估的走向、风险评估的重要性、风险评估跟咱们国家推行等级保护制度的关系，方方面面做了一些研究分 析。这个报告还作为2004年国家信息安全工作会议文件的附件。

　　在那之后看到了国际上对于风险评估的问 题，进一步在认识和深化。这个问题不仅仅是一种方法，而且首先要看解决信息安全问题，因为信息系统的庞杂、复杂，人们实现了一个信息系统、应用一个信息系 统，是个庞大的人机系统。因此，你还要追求一个确定性的安全，是无法做到的。不管你是硬件实现的逻辑还是软件实现的逻辑，它客观上都可能存在着一些不到位 的地方，有些不到位的地方被坏人所利用了，那就成为一个漏洞。

　　在这种情况下，你既要对这些事情有所掌握， 现在国际上对于信息安全要有一个风险管理的思想来面对。而解决这个风险管理的问题，也不仅仅是运用技术就够了，我这里有一张图，这张图是美国的国家技术标 准研究所在讲他们的心得的时候讲的一个道理，我有了原来的GP书、彩虹系列的标准，后来又形成了国际上共识的CC标准来评价一些安全产品，是不是能够满足 应用，是不是实现了相应的一些功能？另外在密码方面也有了一些评价密码模块到底安全不安全的一些准则，但是你做这个事情无非是在实验室环境里面得出一个结 论，说某某产品实现了最初的那些预想，可以提供那些功能，提高到一个什么样的级别上给你提供这些功能。但是你到了一个实际的环境里，一个系统不是在工厂里造出来的，都是在一个机构里面逐渐建设、积累发展起来的。它客观上就存在它是一个各种产品的综合物，它是 和你的实际应用紧密结合在一起的，它就少不了单个产品的漏洞、多个产品综合起来的漏洞、技术和管理加在一起的漏洞。有人盯着你这些漏洞去做他的文章，这样 一来，你必须在人员、流程、物理安全要有相应的安全策略、安全计划，要有风险管理的思想去面对这样的一个问题。我们必须要把这样一个风险，不仅仅是风险评 估，而且是风险管理的思想要确立起来。运用风险管理的思想，要几管并重地面对地你的信息里所存在的一些客观问题。

　　美国人最近画了这样一个三角的图，他做了三个层次的切片：第一个层次的切片就是我的英文系统、信息系统本身；第二块是信息几管并重和相应的应用；第三块 就是提高到组织机构上来了，旁边画个箭头，上下各有指，往下看仅仅在信息系统这个环境来看，这是一个战术风险；往上看一旦结合到应用了，结合到一个组织机 构的使命了，这是一个战略风险。由这个一个图给我们启示，我们现在已经开展等保了，某种情况下也在结合着风险评估、风险管理工作在走。我们目前还顾及着叫 信息系统安全保护、安全等级，是在这种意义上还是在技术平台上，几管并重怎么结合，和使命怎么结合，和一个组织机构的任务怎么去综合，这些还有待我们今后 很好地努力去爬上这个台阶，关注从战术风险到战略风险，我觉得这个事确实是应该做的。

　　主持人：好，谢谢赵老师！贾老师您有什么看法？

　　贾娟：我觉得这个问题是一个让企业从被动的安全向主动安全升级的一个行为，我想补充两点，在国内靠企业自身的一些推动还是有限的，我觉得这方面像政府和 行业主管部门也是一个有力的推动者，比如他们可以进行一些准则、合规性的标准等等。我觉得像安全厂商在这方面应该对企业有更大的帮助，毕竟安全，特别是风 险的评估是有技术门槛的，安全厂商是不是可以提出一些针对行业性的一些关键的评价指标，或者说一些典型的运用来给整个行业的企业做一个指导性的服务，我觉 得这样可能会有效一点。

　　主持人：好，谢谢贾老师！隋总、郭老师，咱们作为一个厂商，针对这个问题对咱们的企业有一些什么样的建议，或者说对这个问题有什么样的看法？

　　隋长何：也是顺着贾老师提到的观点说一下，第一个、作为管理部门应该成为安全的管理控制过程有力推动者；第二个、厂商应该提供这样的相关帮助，尤其是一 些指标上或者典型应用上，站在厂商的角度来看，除了关注行业整体的动态、关注这些政策方面的推动力之外，从操作层面来讲，可能从手段上会关注的更多一些。 一个是像刚才覃老师提到的一些评测方法，实际上现在在产业里面有专门的安全咨询公司，他的生意来源就是靠咨询收费，他是更软性的一些东西，而不是软件了， 这样的话从公司的安全策略方面、整体策略方面、具体的IT技术方面可能会提供一些帮助和方法。我特别赞同贾老师刚才提到的，我认为在一定规模的企业，如果 收益允许的情况下，应该引进这样的安全咨询公司的进入，就是做系统性的全面分析，这是第一个看法。

　　第二个看法、作为安全专业的供应厂商，自身来说缺陷是在于专注度，在于具体的产品上。宏观和横向的也相对会少，所以我们安全咨询公司的价值就在这里，站在自己本 位上，自己产品和应用服务对象的角度来看，提供行业案例或者是行业相关的指标，这些是应该做得到的。刚才也谈到像梭子鱼这样的厂商，专注在某一领域来讲， 如果在Web应用安全领域，梭子鱼对于不同的行业，实际上给出了很多相关的建议。比如说对于金融行业，我们应该关注他在Web应用当中应该注意到什么细 节，哪些细节是你应该重点去防范的，比如说在政府类的行业应该怎么来关注，比如说在B2C、B2B具体的产业当中，在Web应用当中应该怎么样，我们仅仅 是站在一个微观角度去考虑，我是对贾老师刚才说的问题做一个补充。

　　主持人：好，谢谢隋总，谢谢您作为一个 专业安全厂商的意见，给咱们的专家，也给在座的企业提了一些很好的建议。下面一个话题，因为开始的时候我也说过，传统的防护措施，比如说像传统的防火墙， 不能对网络层以上的应用层来进行安全上的防护。因为现在随着Web应用越来越发展，安全服务已经成为网络安全整体解决方案的一个组成部分，也就是“产品+ 服务”这两个加在一起，是未来Web安全防护的一个发展趋势。几位嘉宾怎么来看待这个问题？我想因为“产品+服务”，我感觉梭子鱼肯定是提供这个产品的， 肯定会有跟安全相关的产品，是不是也有一些相关的服务？隋总您来谈一下。

　　隋长何：我觉得这个问题提得非常 好，从我们对这种技术的发展过程来看，本来就是一个发展问题和解决问题的过程。还有一个就是随着产业的发展，产业本身就是一个细分的过程，还有一个就是专 业化的过程。IT本身就是一种纯服务性质的产业，从我们的角度来理解是这样的。随着应用的复杂性、技术手段的复杂性，以及黑客带来的威胁的复杂度和深度， 作为用户自身从经验、经历和能力的角度，实际上是不能完全覆盖到这种防护的。

　　像刚才第二个问题讨论的评估 也好、评测也好、分析也好，我的理解是专业化的服务应该成为用户在网络安全或者应用安全当中考虑的一种具体操作方法，我觉得这是一种有效的方法。“产品+ 服务”本身来说，作为梭子鱼自身的定位来讲，也是把自己定位成一个服务厂商，就是我提供的产品，包括我给客户的一些建议，我们还构不成咨询，就是从我们的 角度来讲还不能完成构成咨询，只能说是给客户的一些建议。

　　所以，我的建议加上我的产品，加上我的服务，这 种服务是全方位的，就是产品交付之后，除了有相应的利用网络的通讯方式，或者是电讯类的通讯方式，或者是回访等等，这一套合成起来应该就是对客户提供一个 相应的服务。所以，“产品+服务”是未来Web安全防护的一个趋势，我认为这是确定的。另外一个角度，在整个IT的安全角度讲，这也应该是一个大的趋势， 不仅在Web安全防护这个方面。

　　主持人：好，谢谢隋总！确实像您刚才说的这样，服务也是在强调越来越重 视。我个人感觉像服务、SARS之类，现在可能都是在强调服务的理念，我刚才说到了传统的防火墙存在一些问题，或者说现在已经不能够满足咱们安全的需要 了。我个人理解不知道对不对，应用安全是不是应该在传统的防火墙之上，是对上层的一个防护，它是不是不可替代的、为何不可替代？覃老师您能谈谈吗？

　　覃祖军：我理解是这样，Web应用安全属于在应用一级的，因为我们以前的防火墙都是防外、不防内，很容易从内部进行攻击，也就是说我们的系统有很多的内 部攻击，或者是通过一些反向的攻击。Web应用在应用层是属于跟用户比较接近的一个应用层，它的应用也会直接给用户带来不好的感受。比如说我的密码被篡改 了，或者说我用不了这个系统了。这种应用层的这种安全，有时候直接地危及到我们的企业，比如说系统遭到破坏的时候，你认为是针对某一个具体的东西，因为到 应用这一级的话，有时候针对某一个具体的群体，比如说我可能进去这个系统，这个系统看起来是好的，但是里面有一部分客户的信息被攻击以后，里面的利益就会 受到威胁了，这种攻击很难觉察得到。那么政策方面的这种攻击不容易被发现，特别是我们在做应用开发的时候，有时候是边开发边应用，就没有考虑到这些环节当 中的一些漏洞，这样的话就会遭到攻击，比如说我们修改一些链接或者转移一些链接的时候，就没有想到注入的攻击，可能就造成我们整个数据库、信息库的丢失， 但是这个系统是运行的，你看起来也是好的，它只是某些东西被变化了，而且某一些值，比如说信息被篡改了，这种损失只是应用层面的东西。

　　这时候我们讲，应用的很关键的东西，我们的应用不是为我们的内容服务，我觉得这样情况危险比较大。我想在内容保护方面也是面临一个严峻的考验，我们做网 站的时候用一些防篡改的系统，或者是快速恢复，有时候在数据库里面的东西被改的话，这个就需要一个比较繁杂的跟踪过程去查找这个问题，最后在这方面的服务 措施、安全方案等等，非常需要有关企业研究解决这个问题。
主持人：好，谢谢覃老师！赵老师您觉得Web应用安全是不是可替代？

　　赵战生：回答这个问题首先要做一个拆分，首先Web应用是不是不可替代的，再说Web应用安全是不是不可替代。我个人主张是这样的，Web应用实际上是 应用中间，等于内外之间开了门、开了窗，甚至是叫拆了墙，这就是一切应用，一切应用都是这个样子吗？我个人看法非也，因为还是要根据一个组织机构是什么性 质的、你干什么活，你需要这样一种方式应用还是不需要，如果你是极端保密的，你还摆在大庭广众，跑到大街上去办公吗？显然是不可能的，首先要做分析，分析 以后来分类你是干嘛的？你是用什么样的手段来干你的活是不是就够了？如果你还用不着Web，Web应用还带来那么多的危险，那你就躲着点吧，就美国佬惹不 起维基解密一样，这是一个道理。

　　首先要把这一层分析开，而不是人们说那儿好，一股脑儿都上那儿去。最近说 哪个地方的政府采购，买U盘要买iTouch，几十块钱就够的事，把非要花几千块钱去干这个事，这显然是不合理的事、不合适的事，所以先把这个层次摘开， 到底看看你是什么使命、什么任务，需不需要这样的IT系来支持你干这个事。如果说需要，自然它的安全是不可替代的，就需要去考虑。这样回答是不是客观一点。

　　主持人：好，谢谢赵老师！贾老师您的观点呢？

　　贾娟： 刚才赵老师分析得很有道理，不过都是从整个大趋势来说，Web应用是随着云计算、移动应用这些方面。Web应用特别是在一些特定的行业，比如说在金融、媒 体、教育等行业会有一个很大的发展。在这种Web应用蓬勃发展的情况下，Web应用安全是属于一种应用安全，我们赛迪顾问的观点是认为，它是一个信息安全 体系的重要组成部分，并且未来它会处在一个快速增长的一个阶段，它会与边界安全、系统安全、数据安全来组成信息安全的一个大的体系。可以说Web应用安全 是未来5年的一个快速增长的产品体系。

　　主持人：好，谢谢贾老师！您不但回答了问题，还对将来的趋势做了一个展望。隋总您觉得呢？

　　隋长何：我对这个问题的看法就非常具体了，我是做具体工作的，我觉得IT安全也好、网络安全也好，实际上是一种渐进的过程，最开始上网络的防火墙从用户 的角度讲接受度也不是很高，因为当时是攻击少、风险小，后来组网的时候，网络防火墙成为一种必须，就像交换机服务器一样。随着Web应用的广泛性的推进， 我认为现在可不可替代，应该从三个角度来看、来考虑：
第一、应用角度。第二、威胁角度。第三、技术角度。

　　刚才说了技术的进步是渐进，渐进的原因是来自于应用，是应用需求的扩展和应用深度的扩展带来技术的进步。从应用的角度来讲，就是Web2.0，刚才赵老 师特别提到的，Web2.0带来的是参与，原来我们就是看、是观众，现在我们进来了，我可以上传我的视频、微博、博客、企业各种信息的发布、早期的 BBS，这样的话从应用角度讲，因为它的应用的扩展、因为咱们最早探讨的话题，我觉得这是第一个角度。

　　第二个是威胁手段来看，对于黑客或者是对于想通过网络来窃取有相关价值信息的方法上来看，传统的网络防火墙能够解决在三层、四层的攻击，在应用层的攻击实际上是从80端口进入的攻击是解决不掉的，所以说这种威胁的手段也在提升，黑客使用的技术手段也在提升。

　　第三块是从防护的角度来说，刚才提到的传统的防火墙是三层、四层，现在在第七层，目前看到的方法，就是刚才前面嘉宾提到的被动防御和主动防御。被动的防 御防止就是防止它篡改，还有通过漏洞扫描知道软件的漏洞在哪里进行修补，这是被动的防御。真正主动的防御像贾老师提到的，有时间的话我们会在另一个话题来 探讨什么样的方法好，客观来看现在最好的方法就是Web防火墙。
所以，我说是不是可替代，它是一种渐进过程，目前看应该是不可替代，而且是必须的。

　　主持人：谢谢隋总！提到Web应用的安全，郭老师作为技术经理，您觉得梭子鱼相关的产品，能够提供应用安全这方面的防护吗？

　　郭飞：从我们技术层面看，梭子鱼在Web应用防护的领域，我们认为从目前横向对比其他产品和技术来说是比较靠前的。为什么说它比较靠前？这和Web网站 的安全特性是有关系的，如果谈它的安全从三个点：保密性、可靠性、完整性。这三个点就凸显出来，如果去攻击Web网站，它和以前的攻击手段是不一样的，一 般的攻击网站大部分都是黑客亲自去动手攻击的，不像以前可能是用一些病毒机械式的，我们称这种攻击方式叫“人工攻击”，这种防护叫“人工模拟防护”，它是 完全还原到七层，去模拟一个黑客攻击的过程，然后应用这种反向的手段，反过来模拟黑客怎么攻击的，我们去怎么防护、去组织它。所以说，梭子鱼从这方面来说 是比较靠前的。

　　主持人：也就是说梭子鱼有一套非常好的设计技术，能够用来做对Web的应用防护？

　　郭飞：对。

　　主持人：谢谢！我们的下一个话题，我个人感觉在Web应用访问的时候会有一些迟滞的问题，据我了解有一些运维的人员，有人叫做“救火队员”。通常一出现 安全的问题，他们就会去做这些工作只能说是四处去“救火”。Web的安全和性能是不是相互矛盾？可能有的人说安全和性能是矛盾的，如果我去做这个安全的 话，可能对性能造成一定的影响，如果我安全是敞开式的，可能性能上不存在问题，但是安全上可能会有问题。咱们这个话题就是说，Web安全和性能是不是相互 矛盾？Web应用安全与Web加速之间如何来平衡？这个问题覃老师先谈谈。

　　覃祖军：这个问题就是说，Web安全和性能之间的关系，我觉得从矛盾方面可以这么看，有的时候为了要把Web的速度提高，因为我们架了很多的安全产品以后，它们不很顺的话，就 会影响速度，这样的话就会使Web的性能下降。现在我们的很多措施一个就是硬件化会让这个速度快捷，另外让安全产品集成化，能够把多种功能集成在一种体系 里面，这样解决性能和安全之间的矛盾。同时，这个方面也是互相共生的，有的时候这种需求会影响到安全的发展，特别是安全防护软件发展得比较快一些，特别是 Web方面用起来也好用一些。所以，它的更新换代也相对快一些，我想这是一个矛盾的两个方面，是有一定的矛盾性，但是看你怎么看它。总的来说，如果我们从 集成化的角度来说，还是能够他它有所促进的。

　　另外一个问题，安全和速度之间的平衡点怎么找？我认为最好是 找一个我们进的黄金分割点，也就是1：0.618，就是说你还要保证应用的前提下安全。如果应用出现了安全是没有意义的，我们讲把应用和安全比较来说，这 个平衡点找一个黄金分割的点。就是说具体应用的考虑，比如说我们讲这个应用，应该达到什么样的一个响应速度，当我们设定好这种指标之后，我们就考虑设置的 这种安全措施应该控制在什么样的范围内，还有一个成本的考虑，这都是我们对平衡的一个考虑吧。

　　主持人：好，谢谢覃老师。赵老师怎么看？

　　赵战生：要说安全，又要保应用，显然它们之间是存在着一定的矛盾。因为你要保安全的话，肯定要用资源、花时间，这样的话势必要在你的系统中间有一定的时间、空间干这个活。但是如果说干了安全的活，弄得别的活干不成了，这显然不是用户所希望的、所追求的，因此刚才覃老师说咱们在这里面求得一个什么样的平 衡，这是需要我们努力做的工作。你用硬件的办法，或者是优化编程的办法，来提高你保安全这一块的效率，同时还能把这些功能能够完成，大家都在致力这个事情来做。

　　但是另一块是人的界面，你刚才说了一旦出了事以后显得很被动、很忙乱。忙自然是应该的，出了事你还 不忙，你闲着，自然应该挺忙。但是乱，就说明你没有准备，你没有事先把这个问题有所考虑、有所计划、有所演练。特别是像少先队的口号是“时刻准备着”，有 这么一个问题。如果你对解决这些问题所要采取的一些必要的活动、过程和一些手段，你事先有所分析、有所掌握、有所演练，一旦出了事以后谁来挑土、谁来和 泥、谁来泼水，这分工很明确，自己干自己的活，忙势必还忙，但是就不会那么乱了，我觉得这个事情是需要有一些应急计划，有了计划以后还有一些应急演练，这 些过程来保证你的计划，一旦需要实施的时候，有序地去实施。

　　主持人：好，谢谢赵老师！贾老师您怎么看？

　　贾娟：这个问题跟汽车很类似，性能大概就是油门，安全是刹车。这方面你的速度越快，你的业务越多，你的刹车应该是越好的。我们应该整体地来看这个问题， 这个安全和性能的影响。在Web应用安全方面的话，我认为一个平衡点就是一个可控性，比如说一些关键的应用来做一个性能和安全的最大的保护，然后有一个优先级和层次感在里面。
主持人：好，谢谢贾老师！隋总能谈谈这个问题吗？

　　隋长何：我们谈都是具体的，我觉得前面几位嘉宾说得非常好。我们作为厂商来讲，在产品研发和客户建议方面，我觉得这两个方面都应该引到我们具体的面对客 户的服务当中来。从我们的看法，本身这种技术就是为应用者服务。刚才提到了Web安全和性能是不是矛盾，作为产品研发和面对客户使用来看，在产品设计之初 就是已经考虑到这个问题，如果使用了一个安全设备，但是给客户的应用造成了阻滞，实际上这个产品不算是成功的产品。

　　我觉得现在的方法，一个从Web安全防护的设计之初，对于黑客的动机和防流量有一个停滞，通过自身的策略来把不该访问到Web服务器的就停掉了。这样的 话，一方面正常的访问可能会停下，另一方面不该访问的我们把它停掉了，实际上就是阻断了非正常访问的流量进入了后台，反而把该过去的速度加快。如果说有 100个请求，有60个是非法请求停掉了，那剩下的40个反倒速度会变快，所以从这个角度讲是双刃剑。

　　第二、如果有了真正的阻滞、迟滞的话，现有的技术手段能够保证它在人的视觉感知0.1秒之下，加速的功能会在0.1秒之下。所以说，实际从产品设计过程中有 这样的加速功能，在产品设计知中有这样的功能。从应用角度讲，客户在使用安全防护的过程当中，尤其是Web应用的防护当中，我觉得前面几位老师提得特别 好，在你的管理过程当中，也应该对你的安全目的进行一个大概的平衡点，我觉得可能除了社会之外，在管理过程中这一点也是需要考虑更多的。

　　赵战生：也就是说，当一个设备来上来用的时候，在研发的过程当中也应该一个环境，在这个环境里面看看实际的解决安全和解决应用的矛盾是不是一个正常的阈值，你优化好了以后再拿来用户用，在用户面前就不至于说老拿我当试验品。

　　隋长何：赵老师您说得对。在产品研发之初，客观上看上安全产品的时候，访问网页的速度会不会变慢？百分之百是会变慢的，但是就有一个临界点，变慢到什么 程度是可以接受的？从我们的看法来看，就是人员感知到页面要换幅的过程，如果它迟迟不换那就是慢的。如果确实是换了，但是你没有察觉得出来，这样就是应用 过程中的具体的标准，需要大量的在产品上市之前要做类似的测试、测评。

　　覃祖军：我插一句，有一个难点，如果你只是用一家的产品比较好办，我们用的不止一家产品，这时候不是某一家能测出来的对象，因为有时候单独测出来是好的，它一组合起来就有问题了。

　　赵战生：不是说仅仅是一类人，综合到一起是怎么样，这样可能给大家一个环境去发现单个企业做单个产品，不容易发现的那些问题。

　　主持人：其实这个不仅是厂商要去做的工作，还有一些系统经销商，把这些集成好才能保证最终用户能合理地使用。刚才听隋总说咱们的梭子鱼产品不光是有安全，实际上也变相有流量管理的功能，可以把一些不必要的屏蔽掉，这样的话也可以客观地提高一下网络的速度和流量。

　　下一个问题是数据开放，像云计算、云的概念提出，它的数据开放平台应用也是越来越广泛，这个云的概念提出也带来了安全上的隐患和问题。有一个调查，用户薄弱的安全意识和参差的管理水平，是目前安全厂商面临的最大问题、最大挑战，是这样吗？

　　郭飞：前一段时间看了一个相关的报道，如果是在传统的、封闭的领域当中不存在安全，尤其刚才咱们谈了很多的Web应用之后，最大的环境隐患实际就是云。 我觉得这是成为一种必然的，刚才针对这个话题用户薄弱的安全意识和参差的管理水平是安全厂商面临最大的挑战，我认为安全厂商面临这个挑战是局部的，更大的 隐患应该是在用户，安全厂商仅仅是为了更好地解决这样一个问题。

　　我觉得今天能请赵老师、覃老师、贾博士， 从更宏观的层面来考虑，可能是需要一个大的环境，全民意识也好、全企业意识、全用户意识的提升，我认为这个是真正解决这个问题最基础的东西。厂商只是在应 用层面、具体操作层面来解决这个问题。光靠厂商去推动，提升这种意识、这个能力是薄弱的。

　　我个人的看法， 因为这一年当中参加了很多类似这样的行业会、客户会、见面会，确实明确地感觉到意识的差别。但是我们能覆盖到的范围就是我能够得着的客户，往多了说几千 家，再大厂商没有，具体而言可能单点客户可以提供相应的产品，这是可行的。但是在大的云的概念之下，全民的使用来看，应该是全世界的责任，而不是局部厂商 能够解决的。当然我们在Web应用安全当中，在国际上有这样的组织，在国内也有这样的组成，作为我们具体这些从业的人来说，也在把相关的同行，在商场当中 叫做竞争对手，在我们面对一个行业、面对用户的时候，我们是同行，我们也会经常聚集起来探讨这样的问题，也利用类似的行业协会，比方在互联网行业有这样的 行业协会，比方在相关的企业有这样的协会、IT类的协会，包括像赛迪这样的企业。就是利用这样的机会，也在宣传这样的观点，也在宣传一个方法。

　　主持人：好，谢谢隋总！下面一个话题是企业在Web安全规划时，如何做到最大限度降低成本和技术门槛？

　　赵战生：我还想在你刚才的话题上发表一些我的看法：第一、因为你讲到了这么多观点，叫做数据开放是企业未来发展的必然趋势。这个观点我稍有一言疑义，就 是开放和保密永远都存在需求，当然开放度越来越多是可能的，也是需要的，因为企业是为公众服务，而且要把你的产品宣传、服务宣传。但是企业肯定有属于自己 企业内部的一些信息，这就是随着这个趋势把它一股脑儿开放掉就算了，这不可能的，永远都会有，即便一个个人也有个人隐私在里面。因此，对你说的命题发表这 么一个观点。

　　第二、我感觉现在的“云”已经是很热的一个话题了，也就是说一个新的空间和原来的传统空间看起来的话，已经是一种全新的生态环境了。既然有了全新的生态环境，我们就要深刻体会它这里面会给我们带来什么，要体会各色人等在这个空间里面是什么角色、 什么责任。安全的问题，我们是经历了几个不同的驱动阶段，一个最朴素的阶段就是事件驱动，你出事了。二、责任驱动，责任驱动往往是跟上级对你的要求，你不给我管这个事，我不让你当这个官了，要摘你的乌纱帽了，是这种意义上的责任驱动。真正是自觉的、来自于自身的需求，那还有一个很大的过程才能解决这个问题。

　　因此，咱们怎么去体会各色人等在新的空间里面扮演一个什么样的角色，应该承担一些什么样的责任，这个 问题绝不是说单一哪个就能解决问题，也绝不能说把这个帽子往用户头上一戴，用户的这种意识薄弱，可能领导意识还薄弱呢，可能方方面面都有这种问题，因此要 把这个责任搞清楚，你是用户、供应商、服务商、集成商、政府管理部门。现在说起来有技术的成分，有管理的部门，还有一个更高层次叫做治理的成分，通常就要 有一个综合治理的问题。

　　在这种环境下，仅仅从我们做标准的角度看，国际上已经开始注意这个问题了。比如说 国际标准化组织埃塞尔有一个第四工作组，第四工作组有一套标准是针对埃塞尔安全的，而埃塞尔安全中面对着一个安全体，就是这么多的服务商、供应商、支持 商，他们应该承担的社会责任是什么？现在这个Web应用等于处理和计算是集中化的，甚至在承担着责任的商者，如果说这个商没有很好地负起他应该负的社会责 任，他利用你的隐私干什么私活了，这显然是有问题。当然用户有用户的责任，因为源头是来自于大量的群众，因此你不能把空间看成一个纯粹的游戏人生的环节， 属于游戏的部分敞开去游戏，属于正经要干负责的事，甚至要负法律责任的事，你在道德层面上、法律层面上、规矩层面上都要定好这些事情。

　　另外，咱们作为一个某种能力的提供，也是以产品的形式，也是以服务的形式提供的，这个都有辅导用户让他明白这些事，帮助用户明白这个事，包括咱们的防火 墙，不是说卖一个产品回家一按就行了，还得根据用户自己的需要形成一个安全策略，怎么去初始化你的防火墙的使用，有这样的一些问题。因此，他要化解成不同 人的角色和责任，把角色和责任都能落位了以后，大家综合起来负这个责任，而不仅仅是用户这一头。特别是最终用户，就像咱们老百姓买东西，只靠315为我们去申冤、解决点问题是不够的。但是你要求每一个用户都是专家，那是不可能的，所以这个关系怎么拿捏要搞清楚。

　　主持人：谢谢赵老师！就像赵老师跟隋老师说的，这个安全意识的培养，可能是所有人都要努力，都有这个问题。咱们下一个话题是企业在Web安全规划的时 候，如果做到最大限度地降低成本和技术门槛。刚才覃老师也说了，通过一些外包，刚才几位嘉宾都提到了，刚才贾老师也提过了。本身这个安全是一个技术门槛比 较高的一个行业，如果单独凭自己的实力可能不会做得特别好，是不是这样，几位嘉宾还有什么补充的？

　　覃祖军：我补充一点，规划的时候最大限度地降低成本和技术门槛，我觉得这里面很重要的是要产生新的政策服务，也就是说在规划的时候，如果说这个企业不能因为你 的规划产生竞争，这个成本是不合适的，或者说产生一种新的运营模式来应对这种变化，这是规划的时候要面对很多的问题。

　　另外一个，这个产品里面有一种流量管理的功能，可以根据不的需求来分配、保护某种流量的保证。流量的使用能够保证关键业务的流量和管理分配，我觉得这个功能也是在规划当中考虑的，要保证这种主次分明，这也是对我们整个的企业、单位业务发展都是至关重要的。我觉得在整个规划当中，要注重整体架构的考虑，如果你是只是说突出某一个方面的话容易出问题。我想补充这几点。
主持人：谢谢覃老师！隋总您作为一个专业的厂商，怎么为企业提供这方面的建议？

　　隋长何：站在厂商和具体产品提供这个角度来看，客观来说希望这样的问题多，可能我的产品销售得多，但是这样的话就不负责任了，只有企业利益，没有社会责 任，这样是不对的。从国际上来看统计，我们得到这样的统计数据来看，在一个代码开发阶段如果有问题就把它修复的话，假设是30美金，在测试阶段大概可能需 要花300美金、3000美金，如果真正到使用之后再去进行修复可能会花到3万美金。总体而言，在开发阶段就把问题扼杀在摇篮中，和真正投入之后再去纠 正，成本之间的差别大概是30倍。

　　所以说，从应用的角度，即便说你的网站上线商业需求和产品化的过程需求 非常强烈，但是也要尽量在开发阶段把问题停掉，这样的话实际上是成本最低的方法，就是最初解决问题的方法，成本是最低的，我觉得这个是非常关键的。这样就 牵扯到刚才覃老师提到的规划的问题，我认为在这个规划过程中就是急切地商业变现和安全并重，这是企业在规划的过程中必须要考虑的。

　　其次在运行过程中的一些规范，比如说在商业领域和金融领域规范比较高的，按照这个规范来进行你的商业网站和运营网站。

　　再有还是要依靠比较全面的提供商，无论是咨询提供商还是厂商，来进行你的具体发布。如果是说到Web安全，作为一种事后的方法来看，目前的技术手段中行之有效的、相对成本低的方法就是Web运营防火墙。

　　主持人：谢谢隋总！提到Web应用防火墙，其实我们这儿也有一个调查，现在Web应用越来越多，它的攻击也是越来越多。很多企业的安全其实都是在面临应用层攻击的威胁，怎么来保证这些应用的安全？也保证企业的信息的安全？郭总您谈谈。

　　郭飞：从您刚才提到的应用保护这个话题来说，我们一般提示给客户的服务都是这样去建议的，我们一定要去分出我们的应用和关键应用，尤其是Web应用。因 为Web应用不一定全部都是关键的，像我们早期的网站只是一个静态页面的发布，这些网站只要不被替换掉和篡改掉，那它的安全就已经达到指标了。但是我们刚 才也听赵老师说现在的网站的都是交互式的，这时候网页可能被窃取数据的可能性增高了，它可能受到的攻击不仅仅是替换一个网页或者篡改一个网页这么简单，还 可能造成数据丢失或者给企业、用户造成很大的损失，在这种情况下就需要依靠专业厂家，因为我们知道一般的企业都不会去关心最新的攻击的方法，就需要依托一 些专业的厂家，因为他们更关心最新的攻击类型和攻击具体的手法，然后去进行相对应的防护。如果只靠他们自己的话，可能没有能力完全去防护。

　　主持人：谢谢郭老师，隋总您对如何来保证关键应用不受影响，包括如何应对网络容量的快速增长？

　　隋长何：从应用的角度讲，网络流量的快速增长是必然的。我觉得从整体的结构来看，要考虑在你的应用类型当中怎么来匹配你的硬件，这是从结构的角度来考虑 的，我觉得是应对网络流量的增长，这是一种必然的。比如说孩子的身体要长大，那你就多吃多喝，冬天就买大号的羽绒服，我觉得这是一种必然。

　　怎么保护关键应用不受影响？这块刚才也提到了在规划当中，任何事情都先有一个指导思想，然后才是具体层面的操作。我觉得这一块核心的东西还是在规划当中 体现的，应用过程中的保护无非就是一些相应的技术手段，比如说非关键的部位，我们可以用网页防篡改的方式，关键的部位阻断它的进贡、阻断它的攻击，一种方法包括事后补救，就是这种扫描的方法、修复代码、阻断漏洞、用补丁的方式，或者说外面有防火墙进行阻断防御，我觉得这些都是一些具体的手段，我想可能要从 两个层面来考虑这个问题。

　　主持人：好，谢谢隋总！今天请几位嘉宾来谈应用安全防护一些相关的问题，几位嘉宾都做了非常精彩的讨论，但是因为时间的关系，我们今天的话题只能到这儿了，感谢各位网友们收看今天的“CIO三人行”栏目！