在企业信息化的安全工作中，很多人只注意防护病毒、木马等比较常见的危害行为，却不知道，现在危害企业网络的行为已经是多种多样，若利用“无孔不入”来形容企业网络现在的安全威胁现状，可以说是一点都不为过的。所以，我们企业网络安全管理人员要从多方面出发，做好企业安全的防护工作。

　　笔者今天要谈的就是经常被人忽视的一个来自于网页的安全威胁。我们不要小瞧一个小小的网站，其实，在他背后隐藏着很多恶意的内容。若我们一步小心，很可能就会成为他们的牺牲品。

　　具体的来说，来自网页的危险主要有以下几个方面。

　　一、网页是病毒很好的载体

　　病毒最好的传播源是什么呢?一般有三种。分别是软件、网页与邮件。通过这三种渠道，可以使得病毒像瘟疫一般，在全球各地迅速蔓延。其中利用网页来传播病毒，更是黑客们常用的手段。

　　当我们安装了杀毒软件之后，取打开一些非法网站时，听到的都是杀毒软件的报警声，可见，网页上蕴含的病毒之多。

　　如有时候，我们不小心打开一个恶意网站的时候，网页会自动在系统后台下载一个程序并进行安装。这个过程对于用户来说是透明的，看不到的。所以，用户就可能在不知不觉的情况下中毒。

　　其实，这是因为他们在网页脚本中安插了一个小程序，当企业用户打开这个网页时，浏览器就会提示用户说，这个网站无法正常显示，若需要正常显示的话，需要下载一个插件。此时，若企业员工没有安全观念，盲目从网站上下载插件的话，那么员工的电脑很可能就成为黑客严重的肉鸡了。

　　二、恶意程序会耗尽系统的资源

　　有时候，网页上的恶意程序是出于一种恶作剧，他们不会造成企业网络的瘫痪，但是，他们可能会耗尽主机的资源，从而使得主机瘫痪掉。

　　或许，大家在网上冲浪的时候，经常会遇到这种情况，当打开一个网页的时候，浏览器就会自动打开很多网页，都是相同的，而且关都关不掉。一直打开，直到你系统瘫痪为止。其实，这么明显的不正常行为，往往对于企业网络没有实质的危害性，若对方相窃取企业的资料或者攻击企业的网络就不会这么明显。他们可能只是出于一种好玩的心态。但是，这虽然不会直接攻击企业的网络，但是也会造成企业主机的瘫痪，给用户造成麻烦。

　　还有，我们有时会打开一个网站的时候，电脑速度就会变得特别的慢，查看系统资源的话，发现浏览器进程占用CPU达到99%以上。就是这个浏览器进程耗尽了系统的CPU资源，从而使得系统近于崩溃。但是，我们只需要结束这个进程，或者重新启动一下操作系统，则一切有会恢复正常。

　　以上两种恶意程序，其实都是利用了网页浏览器中的脚本程序在作怪。非法攻击者利用脚本写一个小程序，让系统产生一个死循环。当企业员工打开这个网页时，这个脚本就会被自动运行，从而导致CPU资源耗尽。

　　三、利用网页脚本可以读取主机上的文件

　　网页脚本不仅可以自动把病毒下载到用户电脑上并自动在后台安装，或者利用一些恶意程序使得员工电脑当机外，还可以利用一些脚本读取员工本机上的文件。从理论上说，只要IE可以打开的文件，则都可以利用网页脚本读取。从而只要非法攻击者在网页上编写一段脚本，就可以读取主机上的一些重要信息。

　　如笔者以前发现一个脚本，非法攻击者就是利用这个脚本读取员工的收藏夹以及COOKIES信息。而在一些系统中，如LINUX或者一些邮件系统中，他们在COOKIES中是明码保存用户名与密码的。所以，这些别有用心的人就可以利用脚本读取这些用户名与密码信息，从而给用户带来不小的损失。

　　其实，网页给企业网络带来的威胁还有许多，如利用网页进行WEB地址欺骗、利用网页种植肉鸡等等。而且，很多企业只管建网站，但是，没有相关的安全保护措施，这让很多非法攻击者有了攻击的平台。所以，现在如何防止网页对于企业网络安全的危害，已经是迫在眉睫的事情了。下面笔者结合自己的安全防治经验，谈谈网页保护的安全攻略。