4、破坏手段多样问题
Web系统所处的环境的网络安全状况也影响着Web系统的安全,比如网络中存在的DDoS攻击,或者存在感染病毒木马的终端,给黑
客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web系统的稳定运行。
遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等严重问题,对企业的经济利益及声誉造成重大损害。纵观近年来的
重大网络安全事件,也不难发现上到政府单位、跨国巨头,下到普通企业及个人用户,都可能遭遇网络攻击,且从以上案例来看,事后
处置的代价,无一例外都远远高于事前防护的成本:
2017年5月,全球爆发大规模勒索软件WannaCry攻击事件,超过30万台电脑受到攻击,波及包括英国、俄罗斯、中国、美国等在内的
150个国家,涉及能源、电力、交通、医疗、教育等多个重点行业领域;
2018年2月,韩国平昌冬奥会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统和奥运会官网均无法正常运作,许多观众无
法打印开幕式门票,最终未能正常入场;
2018年3月,Facebook数据泄露,8700多万用户数据被贩卖。数天后,Facebook股价大跌,市值蒸发360亿美元;
2019年2月,湖南某医院遭遇勒索攻击,导致大批患者滞留,无法正常就医;
2019年3月,委内瑞拉发生包括首都加拉加斯在内的18个州范围的电力中断,持续超过24小时,导致地铁无法运行和大规模的交通拥
堵,加拉加斯机场、医院、移动网络等基础设施均受到极大影响;
2019年6月,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击。报道随
即引发相关国家的高度关注和国际舆论的广泛猜测��
政策法规层面,自2017年6月1日以来,《中华人民共和国网络安全法》实施两年有余,其明确规定单位或个人建立、运营网站,有义务
保证网站运行正常,网络安全法中指出等级保护工作的核心内容包括关键信息基础设施的安全保护义务(第三十四条 运营者设置专
门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等)和敏感信息保护(第三十七条 境内收集产生的个人信息和重要数
据应当在境内存储。确需向境外提供的,应进行安全评估)。
如果网站运营者重视不足,未使用合理的防护手段,一旦网站被入侵,可能造成业务瘫痪、数据泄露、散播出不良言论等恶性事件。如
果发生此类情况,相关单位、责任人需承担相应的法律责任,其执法行为已走向常态,执法案例比比皆是,将对企业的运行和声誉造成
极大的负面影响。
综上所述,无论是面临越来越严格的监管要求,还是应对日益严重的安全威胁,企业部署WAF作为Web安全防护手段不仅必要,且十
分紧迫。
FreeBuf企业安全系列之2020国内WAF产品研究报告 / 02
评论1