3、网络传输过程的安全

　　在WEB应用的运行过程中，一般都是通过80、8080、443这些端口进行通讯，而这些端口对于普通的防火墙来说为了保证业务运营都是完全开放的。而IPS(入侵阻断系统)能够精确的识别网络层和传输层异常行为并及时采取防御措施，却无法对HTTP/HTTPS协议传输下的数据进行深入分析和全面的防护。

　　2012年，WEB应用防火墙(web application firewall,WAF)这种针对于WEB应用的全方位综合防御产品无论是根据规范政策、还是业务安全的自身需求都获得高度的重视。一般市场上的WAF产品也将至少具备以下功能：

　　• 应用层全透明直连防护功能，支持HTTPS站点，双向流量检测与防护;
　　• 支持网页防篡改监测及WEB应用加速功能;
　　• 可配置、可定制防护阻断页面，防止敏感信息泄漏;
　　• 支持不同保护站点定制不同的策略规则，支持策略规则(组合)的自定义功能;
　　• 支持各种Vlan环境的WEB安全检测和防护功能;
　　• 支持针对IP地址(网段)，WEB URL的访问控制功能;
　　• 支持WEB应用的全访问审计功能;
　　• 支持syslog，短信及邮件等多种告警通知功能;
　　• 支持各种定时、组合及自定义报表功能;
　　• 支持离线升级，策略规则升级功能;
　　• 支持各种网络流量，web流量及连接数及访问Top 10客户端的统计展示功能;
　　• 支持透明直连、网关、旁路镜像与单臂牵引等多种部署模式;
　　• 攻击防护能力全面：实现对HTTP协议检查，各种应用攻击，应用层DOS攻击等检测防护功能。

　　并且，通过配置WAF可以实现对WEB应用程序的安全加固，实现虚拟补丁的功能。当WEB系统需要及时上线，深入全面地挖掘系统漏洞并修复可能需要很长的周期，这将很大程度地影响业务的运行推进工作。通过在WAF中设置策略规则，就可以在应用服务器的前端过滤掉大部分的安全问题，并且也可以解决更改WEB应用程序代码漏洞修复慢的问题。

　　4、WEB访问者和WEB服务提供者的安全意识

　　安全意识在信息安全工作中是永恒的话题，大家除了需要了解基本的安全常识和使用、维护操作安全习惯。也应当不断地关注国内外的安全事件并尽可能地参加一些安全基础知识培训，增加对实时安全态势的了解，提高信息安全综合素质。

　　以上谈了一些2012年WEB应用安全防御工作方面的展望，最后我们对今后WEB应用安全可能出现的情况进行一些猜测：

　　1>、云安全仍旧是市场热点，各监管机构及大型单位将积极建立综合化、一体话的WEB监测平台，WEB安全监测工作向云监测迈进;

　　2>、国内外云主机建设工作的不断推进，云所面临的安全问题也将不断展现，可能会出现同时影响大量WEB应用服务的单次安全事件;

　　3>、对现有技术架构下的WEB应用程序，所展现的漏洞从原理上看可能并无新意，依旧是：SQL注入、XSS、上传、目录泄露等传统漏洞，攻击者将努力对常见漏洞的利用方式进行深入加强，攻击的实现将变得复杂;

　　4>、HTML5、CSS3等新技术将逐步被WEB应用开发人员采用，其WEB应用也将覆盖到智能手机、平板电脑等设备。WEB安全问题同时会对移动互联网设备造成更大影响。伴随LBS(基于位置的服务Location Based Service)应用的普及，一旦发生安全事件，将对用户隐私(时间、地点、谁、做什么、电话、图片、视频、声音)造成巨大泄密;

　　5>、伦敦奥运会、欧洲杯、美国总统大选等国际活动期间将出现网站入侵事件，挂马、钓鱼等攻击可能会同时发生;

　　6>、社会工程对攻击者来说仍然是非常重要的攻击手段，请针对使用环境分类设置您的密码，并保持定期更改;

　　7>、2012年12月21日：网站http://www.it168.com/访问正常，玛雅预言失败。