伴隨大量數據泄漏事件的發生，業務安全及應用安全的關注度已經達到前所未有的高度。如何保障業務安全及應用安全，以成為掌握核心數據用戶的首要關注點！這就是OWASP 2012中國峰會上，安恒信息總裁范淵先生對于現在國內整體WEB應用安全現狀的點評，"現在我們所面臨的是一個岌岌可危的網絡安全環境，整個網絡就好比《皇帝的新裝》中的帝王毫無隱私！"

[[102791]]

OWASP中國區副主席、安恒信息總裁范淵先生致開幕詞

近些年，越來越多的人在關注云計算、物聯網、移動互聯，但是人們卻忽略了一個本質的問題，那就是安全，在沒有安全的保障下，一切新技術、新趨勢就是一紙空談，很容易成為新興攻擊方式誕生的溫床，從而帶來的是無盡的危害。在本屆OWASP 2012中國峰會上，安恒信息安全服務部副總監吳卓群從產品及技術的角度，向大家描述了現在國內WEB應用安全所面臨的實際情況，坦然的表達了自己的憂慮及看法。吳卓群指出，盡管目前在Web 應用的各個層面，都已經使用不同的技術來確保安全性，但是，由于WEB應用的天然開放性，以及各種WEB軟硬件漏洞的不可避免性，加上網絡攻擊技術日趨成熟，黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上。根據Gartner的調查顯示，信息安全攻擊有75%都是發生在Web應用而非網絡層面上。同時，數據也顯示，三分之二的Web站點都相當脆弱。但目前，絕大多數企業將大量的投資花費在網絡和服務器的安全上，并沒有從真正意義上保證Web應用本身的安全。

安恒信息的信息安全服務部副總監吳卓群

從產品的角度出發，現階段對于WEB應用方面常常遇到的攻擊方式及手法，WAF無疑是最專業防范產品，然而隨著技術日新月異，攻擊的方式再也不斷變化，在這樣一個盾與矛的較量中，防衛者還是處于一個被動的地步。針對這樣的實際情況，吳卓群指出現在WAF產品實際的現狀：

1.WAF是保護WEB應用安全的設備，但缺乏足夠的安全測試，目前存在大量手段可完全繞過WAF的防護策略，對保護站點進行攻擊

2.針對waf的繞過手段可以通過不完善的策略進行繞過，但風險更大的是利用解析錯誤徹底繞過保護

3.國內外無論是硬件WAF還是云WAF至少90%以上存在徹底繞過的風險

由此可見，防御需要變被動為主動，安恒信息作為國內最早研發國內第一代WEB應用防火墻的企業，逐漸認識到這點，經過多年的嘗試安恒信息已經總結出一套可行的技術方法，有效解決了目前針對WAF的繞過保護問題，杜絕了攻擊途徑，實實在在使得WAF成為有效抵御WEB攻擊的最佳防御方式。