WEB应用安全 市场调查.doc

表格 1目的：为了保护广大中小网站的安全，防护黑客的入侵，在黑客在对你的网站造成影响之前就进行有效的拦截，我们需要你们的帮助，为了发现你们架构以及配置或者漏洞上的弥补方法，使我们能主动防御，我们希望能在事前/事中/事后都可以保护到你们的网站，最大程度的减少你们的网站的安全开支和人员上的支出。 调查背景 随着互联网的发展，WEB应用越来越广泛，安全等级需求越来越高，据GARTNER调查（附图1表格下端），百分之75的攻击来自于应用层，但是目前国内3分之2的网站完全没有这方面的抵御能力，因为IDC（电信服务托管商，数据中心）没有给广大的中小网站配置应用层的防护，而大部分资源（90%）投入于网络层的防护（例如IDS,IPS,DDOS防火墙等），这也是目前国内大量政府单位以及中小企业托管客户常常被挂马篡改等攻击的根本原因，因为应用层的防护费用昂贵，国外这方面的设备最低端的也需要30W以上。所以中小网站面临极大的安全威胁！ 访谈者：市场部 日期：2010年11月 目前安全设备：IDS、IPS、网络防火墙、DDOS防火墙（少量WAF 领先客户） 使用者类型：服务商、企业、政府单位、高校（目前服务商基本没给所有客户配置WEB应用防火墙而是提供其他方案预防或处理，基本是备份恢复或杀毒重装系统） 补充部分 访谈者陈述 假如你是IDC客户（不是跳过），你有认为那些本该是IDC负责的事情却让你自己做？ 从事IT，你担忧的问题？你很讨厌的问题？ 您在做网站的时候花时间最多是在什么方面？哪些方面浪费时间最多？哪些方面投入最多? 时间以小时计算 详细内容 其他： 黑客破坏恢复： 内容更新 网站备份和服务器维护 哪些地方你投入最多？你觉得那些地方浪费资金？哪些地方想投入却觉得太贵？ 安全设备和故障排除 服务器和网站升级 百度优化和推广 投入了觉得亏的 想投却觉得贵的 假如您的网站能和其他网站共享涉密单位级别的安全和方案，或者自己独立享受这样的安全级别，避免黑客破坏，实时保障你网站安全运行不中断，愿意为这个买单？ 共享心里承受价位： 独享心里承受价位： 随着WEB应用业务的增多，你会考虑把你的网站托管到IDC吗？假如不会，你担心哪些因素？ 托管原因： 担忧： 假如硬件制造商开发一种保障你在IDC的数据在不会泄漏的产品（类似于银行里面的个人保险箱），你愿意购买吗？ 不购买原因： 愿意购买，心里承受价位： 如果你是IDC客户（不是跳过），有哪些IDC的产品或优质服务让你印象深刻？哪些服务让你不满意？ 满意点： 不满意点： 改进建议，你期望有什么服务或产品？ 图 1