企业信息化的过程中，各种应用都架设在Web平台上，接踵而至的就是Web安全威胁的凸显。如何高效应对新的安全威胁，就需要长期的安全服务保障体系。

       一、Web安全的现状及原因

       1、安全问题

        目前，很多业务都依赖于互联网，无论是网上银行、网上购物、还是网络游戏等，恶意攻击者们出于各种不良目的，对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是如此，Web业务平台最容易遭受攻击。

       黑客利用网站操作系统的漏洞,和Web服务程序的SQL注入漏洞等,得到Web服务器的控制权限。轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

       2、产生的原因

       一方面，由于TCP/IP的设计是没有考虑安全问题的，网络上传输的数据是没有任何安全防护。

       攻击者们可利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。

       而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些都属于在软件研发过程中疏忽了对安全的考虑所致。

       另一方面，个人用户由于好奇心，被攻击者利用木马或病毒程序进行攻击。

       攻击者将木马或病毒程序捆绑在一些诱人的图片、音视频或免费软件等文件中，然后将这些文件置于某些网站当中，再引诱用户去单击或下载运行，或通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，让用户打开或运行这些文件。

     二、Web应用漏洞的防御实现

      对于常见的Web应用漏洞，应该从3个方面入手进行防御：

      1、对 Web应用开发者而言

      大部分Web应用常见漏洞都是在Web应用开发中，由于开发者没有对用户输入的参数进行检测或者检测不严格造成的。

      所以，Web应用开发者应该树立很强的安全意识，开发中编写安全代码。对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码的字符，阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码，可以消除绝大部分的Web应用安全问题。

         2、对Web网站管理员而言

       作为负责网站日常维护管理工作Web管理员，应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁，确保攻击者无法通过软件漏洞对网站进行攻击。

       除了软件本身的漏洞外，Web服务器、数据库等不正确的配置也可能导致Web应用安全问题。

       Web网站管理员应该对网站各种软件配置进行仔细检测，降低安全问题的出现可能。

       此外，Web管理员还应该定期审计Web服务器日志，检测是否存在异常访问，及早发现潜在的安全问题。

        3、使用网络防攻击设备

       前两种都是预防方式，相对来说很理想化。

       在现实中，Web应用系统的漏洞仍旧不可避免：部分Web网站已经存在大量的安全漏洞，而Web开发者和网站管理员并没有意识到或发现这些安全漏洞。

       由于Web应用是采用HTTP协议，普通的防火墙设备无法对Web类攻击进行防御，因此需要使用入侵防御设备来实现安全防护。

      三、解决方案

         方案 1

          对web服务器操作系统进行漏洞扫描和安全加固。
        例如：系统安全加固，补丁管理，数据库安全加固，将系统本身漏洞风险降到最低，对系统权限进行重新设置，确保安全。

        方案 2

       对Web服务器采用软件防护系统。
       基于新一代Web安全技术，部署企业Web信息安全防护产品，不仅能有效扫描各种 WebShell，而且可以抵御各种 Web 攻击。

      四、后期服务

       越影信息作为“网络安全服务提供商” ( Security Services Provider )， 长期的服务经验积累、对行业的深刻理解、处理安全问题 ( 事件 ) 的最佳做法、 科学的安全思维方式、正确的安全思维方法都是为用户提供完善安全解决方案的动力来源。

       安全专家定期为客户进行网站结构分析、漏洞分析，安全监测团队会定期为客户出具周期性的网站安全监测报告，让用户掌握网站的风险状况及安全趋势。