"應用"是王道 錦囊妙計謀安全(1)

第二回：未雨綢繆 構筑WEB安全檢測防護

引言：

隨著互聯網的逐漸普及，應用層安全問題正逐漸的顯露出來。越來越多的政府等重要網站或WEB辦公系統被滲透，在通過瀏覽器方式實現展現與交互的同時，用戶的業務系統所受到的威脅也隨之而來，并且隨著業務系統的復雜化及互聯網環境的變化，所受威脅也在飛速增長。而網絡管理人員卻對此無能為力，因為傳統的WEB應用防火墻和入侵檢測系統等安全產品并不能發現并阻止來自于應用層的入侵攻擊。網站應用的安全性事先必須進行有效測試和評估，這樣才能避免在日益增長的應用層攻擊事件中遭受損失。

江湖危機：WEB安全受到的挑戰

最權威的RSA大會研究顯示，Web應用安全已超過所有以前網絡層安全，逐漸成為最嚴重、最廣泛、危害性最大的安全問題。

WEB安全的挑戰主要來自以下幾個方面：

◆ XSS跨站攻擊

◆ SQL 注入

◆ 網絡釣魚

◆ 惡意代碼

◆ 偽造ARP報文

◆ RootKit隱身技術

◆ 等等

黑客出擊：攻擊由網絡層轉向應用層

隨著互聯網技術的迅猛發展，許多政府和企業的關鍵業務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業信息功能的同時，企業所面臨的風險在不斷增加。主要表現在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯網技術的發展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。

然而與之形成鮮明對比的卻是：現階段的安全解決方案無一例外的把重點放在網絡安全層面，致使面臨應用層攻擊（如：針對WEB應用的SQL注入攻擊、跨站腳本攻擊等）發生時，傳統的網絡WEB應用防火墻、IDS/IPS等安全產品對網站攻擊幾乎不起作用，許多政府和企業門戶網站成為黑客組織成批傳播木馬的最有效途徑。

據統計75%的網絡攻擊和互聯網安全侵害源于應用軟件，網頁上的漏洞的根源還是來自程序開發者對網頁程序編制和檢測。未經過安全訓練的程序員缺乏相關的網頁安全知識；應用部門缺乏良好的編程規范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發程序上整治，僅僅靠打補丁和安裝WEB應用防火墻是遠遠不夠的。

安恒信息高手點析：面向應用層新型攻擊特點簡析

◆ 隱蔽性強：利用Web漏洞發起對WEB應用的攻擊紛繁復雜，包括SQL注入，跨站腳本攻擊等等，一個共同特點是隱蔽性強，不易發覺。

◆ 攻擊時間短：可在短短幾秒到幾分鐘內完成一次數據竊取、一次木馬種植、完成對整個數據庫或Web服務器的控制，以至于非常困難做出人為反應。

◆危害性大：目前幾乎所有銀行，證券，電信，移動，政府以及電子商務企業都提供在線交易，查詢和交互服務。用戶的機密信息包括賬戶，個人私密信息（如身份證），交易信息等等，都是通過Web存儲于后臺數據庫中，這樣，在線服務器一旦癱瘓，或雖在正常運行，但后臺數據已被篡改或者竊取， 都將造成企業或個人巨大的損失。據權威部門統計，目前身份失竊（identity theft）已成為全球最嚴重的問題之一。

◆ 造成非常嚴重的有形和無形損失：目前，很多大型企業都是在國內外上市的企業，一旦發生這類安全事件，必將造成人心惶惶，名譽掃地，以致于造成經濟和聲譽上的巨大損失，即便不上市，其影響和損失也是不可估量的。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]