IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点

核心提示： 图 1 Web 应用安全解决方案演进图片看不清楚？请点击这里查看原图（大图），2、平静的网络世界被日益猖獗的黑客打破，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点(2)，一些

图 1 Web 应用安全解决方案演进

图片看不清楚？请点击这里查看原图（大图）。

2、平静的网络世界被日益猖獗的黑客打破，一些网站受到了侵犯，在损失钱财的同时，企业的资质也经受着严重的考验。但此时，企业中并没有专门的安全审计部门，没有人为系统的安全负责。因此，一些咨询公司抓住契机，将业界从事于安全研究的人员招至旗下，开始向具有 Web 应用的企业提供安全诊断服务。这种咨询通常按照次数来收费，定期或不定期的扫描企业 Web 应用。在这里，我们称之为“外包解决”时期。将安全审核外包，对于企业中没有安全专家、无法内部审核的状况而言，在一定程度上解决了企业的问题。但这种方案也存在着弊端，比如：系统安全完全依赖于外部，没有自主权；定期诊断的周期之间，系统仍然存在被黑客攻击的风险；企业安全漏洞数据掌握在他人手中等等。

“外包解决”方案，由于其方便快捷，至今仍然拥有众多客户，和后面的“战术方法”将会存在相当长的并行期。

3、由于“外包解决”方案存在的弊端，一部分企业开始注重培养内部的人才，组建系统安全小组，或者在质量管理（QA）部门中添置相关人员担任此项工作。安全小组通常使用人工检测和桌面工具相结合的方法，在系统上线前进行安全诊断，是企业中系统安全的“把关者”和“救火队员”。这一时期，我们称之为 “战术方法”阶段。目前国内大部分有应用安全意识的企业，都逐渐从“外包解决”时期向“战术方法”过渡。