企业web安全防护何去何从？

　　什么是Web安全?

　　Web安全并没有一个明确的概念。要理解web安全，首先需要了解什么是web。World Wide Web，简称WWW，是英国人TimBerners-Lee 1989年发明的。通过WEB，互联网上的资源，可以在一个网页里比较直观的表示出来;而且资源之间，在网页上可以互联。因此，基于网页及网页所连接的各种资源的安全性问题就构成了web安全的实体。

　　随着互联网与用户结合的日益紧密，web安全在如今信息化时代的意义也就显得越发重要。

　　Web安全要防什么?

　　Web安全由于其平台的特殊性，通常归纳为网站安全、数据安全以及web平台上运行的应用安全三大类。企业要做到全面的web安全防护，不仅仅要保证企业边界安全防护，更要对企业内部网络运维进行有效的管控。然而如今的web安全现状并不理想，web安全防护还没有引起企业的广泛关注，或者并不清楚如何去保证企业的web安全。

　　Web安全现状

　　即将过去的2008年，web安全可以留给我们思考的内容很多。浏览器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻击、Adobe Acrobat阅读器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如API应用、网络广告等)、Realplayer漏洞和DNS缓存漏洞等，基于以上漏洞的每一种攻击行为都会使企业管理者感觉到来自web安全压力在增大。漏洞的增加最明显的体现即是病毒木马数量的剧增。

　　国内信息安全厂商瑞星11月份报告统计显示，2008年的前10个月，互联网上共出现新病毒9306985个，是去年同期的12.16倍，木马病毒和后门程序之和超过776万，占总体病毒的83.4%，病毒数量呈现出了井喷式爆发。

　　是什么造成了病毒木马的J曲线增长?其首要原因是由于巨额的经济利益的趋势;其次，病毒木马的机械化生产更加便利快捷，一种新的病毒变种对于非计算机专业人士而言不再神秘;再其次，病毒木马可利用的途径增加，过去主要利用系统漏洞的传播方式，已经被利用第三方应用程序的方式所取代，以机器狗为例，正是利用多种已知漏洞在网络中疯狂传播。

　　病毒快速增长的同时，我们注意到网站自身的安全威胁也在增加。国内信息安全厂商启明星辰产品经理吴凡表示，“2008年出现的Web安全事件多以SQL注入和XSS攻击为主，尤其表现得明显的是网页挂马这一攻击形式愈发显著。此外中国大陆地区.gov.cn网站被攻击的比例高达6.45%。”这一数据表明政府机关网站的安全建设普遍不足的隐患。然而威胁远不止如此。

　　2008年，Web 2.0 及 “合法” 网站成为信息窃取等信息安全犯罪的新平台。75%的恶意攻击来源于合法、可信赖、拥有良好信誉的网站。

　　根据Websense安全实验室最新发布的报告，最受关注的Top100网站中大部分是门户网站、Web2.0以及搜索类网站，这几种类型代表了当前网站的典型形式，同时也成为攻击者关注的焦点。借助这些网站庞大的数据库、良好的信誉和对Web2.0应用的有力支持，这些网站为那些恶意程序的制造者创造了大量的机会。

　　2008年上半年，Websense所分类的网站中，75%以上的网站已被黑客们利用，这些网站均拥有高可信赖度和良好的信誉。相比于2007年，该数据增幅高达50%。

　　研究人员发现29%的恶意攻击中