众人都曾听闻“Web 2.0”这一术语,传统上以网站为主导生成内容的网络形式被称为“Web 1.0”,与之相对,以用户为主导进行内容创作的网络形式则被称作“Web 2.0”。这代表了一种新型的互联网产品形态,例如推特、微信的朋友圈和公众号,以及抖音等。所谓“Web安全2.0”,其目的在于与传统的Web安全进行区分。传统Web安全被称作1.0,而经过升级的Web安全则被命名为2.0。
要阐明“Web安全2.0”的含义,首先需阐述“Web安全1.0”的概念,并进一步探讨传统Web安全为何需进化至2.0阶段。自20世纪90年代末期起,Web网站开始广泛被采用,彼时正处于http明文传输的时期,那时互联网的主要功能是信息发布和浏览。网络支付技术的普及使得传统的http协议在安全性上显得力不从心,因此,浏览器制造商在1994年推出了SSL协议。该协议通过SSL证书实现了https加密传输,确保了从浏览器到服务器之间的数据在传输过程中的自动加密。由此,Web安全进入了1.0时代,Web信息传输由此告别了明文时代,实现了更加有效的安全保护。
网站逐渐普及开来,随之而来的是Web应用的种类日益繁多,其中包含着大量价值较高的数据,这些数据逐渐成为了黑客攻击的主要目标。在此背景下,数据盗窃、SQL注入攻击、网页篡改以及网站恶意挂马等安全事件层出不穷。Web安全的另一条技术路径应运而生——那就是Web应用防火墙(WAF),其目的在于保护Web网站免受攻击。它能够对每一次连接进行恶意性分析,正常用户访问网站资源时,WAF会予以放行,而对于恶意攻击的访问则会坚决拒绝。有了WAF的保驾护航,Web应用的安全性得到了保障,我们也就无需再担忧各种网站攻击的问题了。
HTTPS加密旨在确保网站内容传输的安全性,同时WAF的功能是防御针对网站系统的恶意攻击,这两者均服务于网站的安全保障。因此,部分用户选择了为网站安装SSL证书,另一些用户部署了Web应用防火墙,还有一些用户则两者兼备。然而,HTTPS加密仅确保了Web应用数据传输的安全性;用户需向认证机构(CA)申请SSL证书,并亲自将证书部署到服务器上,或者选择在服务器上安装ACME客户端软件来自动完成证书的申请与部署。至于WAF,它仅负责网站的安全防护,并不涉及用户访问网站时数据是否以明文形式传输的问题。即便WAF系统具备支持SSL证书部署的功能,用户仍需亲自申请并手动将SSL证书部署到WAF上。目前,这两个独立的Web安全领域均未能跟上云计算与大数据发展的步伐,尤其是对于虚拟主机用户而言,无法安装SSL证书,导致众多使用虚拟主机的网站陷入了极度不安全的境地。
因此,我们必须对Web安全1.0进行升级,将这两项不同的技术整合于其上,从而形成Web安全2.0,并将其作为一项云服务,向用户供应Web安全支持。Web安全2.0是一种专为云原生服务设计的解决方案,它将云密码服务与云WAF服务深度融合。通过这种方式,它能够自动为网站配置SSL证书,并部署Web应用防火墙服务。此外,它还能全自动提供Web安全云服务,整个过程无需人工介入。用户无需向CA机构申请SSL证书,也无需在服务器上安装任何软件。只需利用Web安全云服务,即可实现https加密和WAF防护,这正是Web安全2.0的核心理念。
Web安全2.0作为云原生服务,让虚拟主机用户得以轻松享受https加密与WAF服务,便于实现网站的安全防护。这一服务因此成为了一项具有划时代意义的网站安全普惠产品,能够满足所有网站的安全防护需求。Web安全2.0时代标志着人工处理漫长且繁重的旧时代的终结,实现了对所有网站的全自动普惠安全,满足了云计算与大数据安全的需求,必将赢得广大网站用户的青睐。
Web安全2.0的第三个关键要素是网站的可信认证。即便网站已采用https加密技术及WAF防护措施,也不能断言其绝对安全,更不能保证用户可以放心信任该网站。毕竟,即便是欺诈网站,也有可能实施https加密和WAF防护。因此,网站的信用认证与HTTPS加密以及WAF安全防护同样关键,并且展示这一身份信息的工作应由浏览器承担,并在地址栏中突出展示。对于那些已部署并验证了OV SSL证书或EV SSL证书的网站,浏览器会直接在地址栏中展示证书中的组织名称。对于那些未对网站进行身份验证的DV SSL证书部署,用户依然可以申请进行网站的可信认证,并且同样能够在浏览器的地址栏中看到经过认证的网站单位名称。确保网站身份的可靠性,与HTTPS加密和WAF防护一样,是Web安全2.0时代中三个至关重要的组成部分。
Web安全从1.0升级到2.0
Web安全2.0代表了一种典型的零信任安全架构,它对Web的明文传输持怀疑态度,因为此类传输的信息极易遭受非法窃取和篡改。因此,该架构全面采用SSL证书,确保通过https协议进行加密传输。同时,它对Web流量也不予信任,依赖Web应用防火墙对每一次Web连接进行严格验证,既允许正常连接通过,又拒绝恶意连接。我们不应对未经认证的网站产生信任,因为即便是欺诈或假冒的网站,同样能够实施HTTPS加密以及WAF防护措施。
依据《密码法》对密码的界定,密码是用于信息加密及安全验证的工具,因此,零信任加密技术,才能使得网站安全从1.0时代顺利升级至2.0时代,确保Web应用的安全。我们应积极迎接Web安全2.0时代的到来,使Web应用变得更加安全可靠。
