选择Web应用扫描方案应注意的问题

由于攻击者日益狡猾，定位和测试Web应用的人工方法已远远不够。适当的Web应用扫描方案可帮助企业系统性地发现运行在企业网络中的Web应用，判定这些应用是否易于遭受攻击，还有助于企业理解如何修补漏洞同时又能保护业务。使用当今精确的自动化扫描技术，不管应用数量有多大，企业都可以测试所有Web应用（包括开发中和正在使用的）。那么，企业在选择Web应用扫描方案时关注需哪些特性和功能？

本文重点关注如何选择架构的问题，或可为企业提供选择的最佳方法：

1.Web应用扫描方案是一个软件产品还是一种云服务？

企业安装在网络中的Web应用扫描软件要求企业购得、配置、管理服务器，运行备份和处理补丁更新等问题。而现代的基于云的Web应用扫描方案（或称软件即服务SaaS）并不要求企业投资购买设备，也不需要持续的更新、备份数据库。这种方案通过浏览器即可使用，并可轻松地扩展从而解决新应用、新用户和位置问题，而且其使用成本也更加可预测。此外，基于云的方案还支持以客观的防篡改的方法来存储数据。

2. Web应用扫描方案可以扫描各种Web应用吗？

当今的Web应用扫描方案应当用于企业应用生命周期的各个阶段（开发过程，测试过程或生产应用过程）。现代的Web应用扫描方案应当可以使用户扫描并跟踪企业的所有应用（内部应用和面向互联网的应用），因而，企业使用一种工具就可以获悉企业所有应用的统一的安全状况。

3.能否多人同时使用Web应用扫描方案？

现代的Web应用扫描系统应当可以同时向不同的人提供不同应用的相关信息。对企业而言，寻找一款易于使用并允许多人同时扫描和报告并且彼此不冲突的Web应用扫描方案是很重要的。

4. Web应用扫描方案如何处理多位置问题？

如何处理多位置是Web应用扫描方案出现差异的重要方面，这有三种方案或技术：
本地产品：公司将Web应用扫描软件安装到内部网络上，用来扫描网络内的应用。这种产品一般会在企业网络较慢的部分或容易拥塞的部分产生瓶颈，或在通过防火墙到达互联网应用时产生瓶颈。
基本型SaaS:有些Web应用扫描方案仅能检查外部的面向互联网的应用，这一点在选择是要注意。
云服务：来自云的现代Web应用扫描方案可以同时扫描多个位置的应用。这些方案相对安全，并使用可远程管理的扫描器（物理设备或虚拟机），企业可将其安装在企业网络的不同部分，因而可以进行内部的高效扫描，并使其对其它系统的影响最小化。

5.企业是否应牺牲防火墙的部分功能？

企业绝不应当为了部署Web应用扫描方案而开放公司防火墙上的特殊端口，因为这样做会破坏企业的安全性。

6. Web应用扫描方案与其它系统集成吗？

Web应用扫描器可以成为其它安全和合规系统的一个关键的安全情报源。企业应当选择可与流行的Web应用防火墙集成的解决方案，当然还要有强健的应用程序编程接口（API）可以与企业的安全信息和事件管理（SIEM）或风险管理（ERM）相集成。