“諾曼底”也好，“短板”也好，真的現實存在嗎？作為信息安全權威專業人士，何迪生告訴我：不僅存在，而且用戶意識非常薄弱，不經意之間，用戶的門戶洞開。

沒有出事情，要么是運氣好，要么就是事情已經出了，還沒有意識到。在國內，今年4月，某電商用戶數據泄露，一夜之間，股票市值蒸發了8.6%，給品牌帶來了難以挽回的影響。Gartner的數據報告顯示，如今有超過80%的攻擊都發生在應用層，如何防護應用層安全成為現階段的首要任務之一。

劍指“應用安全”

應該說，何迪生先生輝煌的履歷是促成采訪并形成本文的原因。他在北美工作12年，后來又負責微軟安全業務11年。2000～2011年，擔任微軟香港區首席安全官，管理2.5億美元微軟信息安全及核心技術架構業務開發，管理過香港賽馬會 e-Betting 及 匯豐銀行的科技項目，以及2008年北京奧運會城市運行指揮平臺安全顧問，WTO第六次部長會議首席安全咨詢師。

當問到為什么會選擇OneAPM這家剛剛在新三板上市的公司時，何迪生說到：將下一代應用層安全在國內落地是我們共同的目標。

何迪生還指出：棱鏡門之后，信息安全已上升到了國家戰略高度。為此，政府投入巨資保障信息安全。但這些投入主要集中在網絡層，主機層的防護上，諸如我們所熟知的防火墻、IDS／IPS、AV、主機加固及補丁管理等。

與網絡層和主機層安全相比，如今更多的入侵者已經開始轉移戰場，選擇應用層為突破口。SQL注入、跨站腳本攻擊 （XSS）、跨站請求偽造（Cross-site request forgery ）都是黑客經常采用的攻擊方式，他們通過SQL注入的方式，盜取大量用戶數據。通過“HTML注入”篡改網頁、插入惡意的腳本控制用戶瀏覽器，以正常的用戶身份在網站上發消息、買東西，甚至轉賬。這些攻擊手段十分隱蔽，危害之大讓人防不勝防。

如今傳統的信息安全防護方案，對于應用軟件、數據安全的防范作用有限。傳統信息安全防護方案中，WAF（Web Application Firewall）是如今比較常見的應用層安全解決方案。但WAF這類邊界保護防護方案，對于管理人員的要求十分高，但目前我國安全人才稀缺，有調查報告指出，我國每年對于安全人才的需求達到100萬，但實際人才輸出僅有2W，有高達98% 的缺口；因此由于策略配置的不妥當帶來的誤殺誤報現象也就十分嚴重。

據介紹，RASP技術的原理是將保護代碼像一劑疫苗注入應用程序中，結合應用的邏輯及上下文，對訪問應用請求的每一段代碼進行檢測，相比于WAF來講，可以實現簡單管理及提升了檢測的精準性。

小結

何迪生表示：RASP技術并不會完全取代WAF，信息安全是一個層層設防，縱深防御的過程，RASP探針是保護應用安全的最后一道無法逾越的防線。

“我們正在中國開創新一代安全體系的歷史，這是前所未有的?！焙蔚仙f。