浅谈谁来捍卫企业网站安全

　　【IT专家网独家】随着中国网民突破2.5亿大关，互联网已经成为人们生活中不可或缺的平台。电子商务，电子政务，网上银行等与日常生活工作相关的内容在这里为用户提供高效便捷的服务。然而信息化的快速普及，给用户特别是企业用户带来必须面对的难题，如何保护企业网站安全?

　　我国网站安全现状

　　据调查统计，如今种类繁多的攻击方式中，有75%发生在web应用层，而且这种攻击趋势正在快速增长，这对web业务是否能够正常运转造成了极大的危害。

　　与过去传统的攻击形式不同，如今的攻击者更加看重如何从攻击中获取经济利益，因此Web攻击成为黑客们乐此不疲的攻击方式之一。SQL注入、跨站/跨域脚本攻击、目录遍历以及网络钓鱼等更是难以防范，而又效果显著，最致命的是这些攻击行为已经使得传统的基于底层协议的防火墙产品无能为力。面对这些无法逃避的现状，企业应该如何应对呢?

　　对于中小型企业而言，很难有充足的资金去购置各种防护设备;同时对于国内大部分网络管理者来说，又普遍存在知识面狭窄，无法适应快速变化的安全威胁的现状。虽然目前网上有许多方便实用的开源安全检测工具，但这些开源的软件很难在一个网络管理者手中充分发挥其作用，而且配置复杂，无法满足大多数成本预算有限的中小企业用户需求。

　　然而对于政府或大型机构的网站而言同样不容乐观，从下面的一组数据中，你会发现问题的严重性：

　　河南省政府网：2006年，主页篡改

　　河南省人事厅：2006年，黑客入侵

　　中国银联： 2006年，网页挂马

　　必胜客&肯德基：2006年，网页挂马

　　成都市档案局网站：2007年，主页篡改

　　eNET硅谷动力网站：2007年1月11日，网页挂马

　　博客网：2007年3月 网页挂马

　　天极网：2007年3月20日，网页挂马

　　东方卫士网站：2007年3月30日，网页挂马

　　新浪汽车频道：2007年5月22日，网页挂马

　　海尔官方网站：2007年8月11日，网页挂马

　　天网安全阵线：2007年10月，网页挂马

　　木蚂蚁绿色软件园：2007年10月25日，网页挂马

　　千千静听官方网站 ： 2007年12月22日，网页挂马

　　PChome电脑之家网站：2007年12月28日，网页挂马

　　绿色软件网：2008年1月11日，网页挂马

　　酷狗网：2008年4月16日，网页挂马

　　红心中国我赛网事件:2008.4.19，主页篡改

　　千龙网：2008年6月，网页挂马

　　台湾世贸中心官网：2008年6月，主页挂马

　　VeryCD 电驴官方网站，2008年7月，网页挂马

　　……

　　这些数据仅仅是冰山一角。据Sophos报告显示，2008年第一季度每天有1.5万网页被挂马，这种状况向用户传达了一个信号，网站安全威胁正在激化。国家某部委领导对我国严峻的僵尸网络状况曾总结了六个字，“震惊、压力、行动”。面对如此严峻的形式，如何才能有效的保证互联网安全呢?

　　谁来捍卫企业网站安全？

　　网站安全风险已经引起了各方的高度关注，安全厂商同样也在积极行动，通过各种方式来帮助用户降低可能存在各种威胁。

　　启明星辰副总裁刘恒博士表示，“随着国家对电子政务规范的重视，网站安全将会被更多的关注，对网站安全状况的及时掌握及应急处理，成为企业必须关注的焦点。”

　　为什么网站会存在如此多的风险?专家表示，究其根本，造成网站被入侵的主要原因有两点，漏洞和网站挂马。其中漏洞的产生主要体现在网站开发过程中代码审计及内容过滤的疏漏，同时第三方软件自身漏洞的不断被曝光也为攻击者提供了可利用的前提。另一方面网站挂马可以为黑客带来巨大的经济利益，免费的黑客工具及黑客教程也使得入侵网站的门槛不再高不可攀。

　　同时专家还指出，特别是一些二、三级城市的政府网站，并没有专门的网站制作与维护部门，多采用外包的形式来制作网站;没有专门的维护人员维护网站的现象十分普遍，更不要说配备专门的安全人员。

　　为了应对网站安全日益严峻的挑战，各个安全厂商已经在通过各自的努力在努力改善现状。近日启明星辰、趋势科技、杭州安恒相继推出应对web安全，保证网站安全的相关产品。

　　启明星辰本着安全SaaS(Security as a Service，安全即服务)理念，推出安星网站安全体检服务，来帮助企业用户(特别是政府及中小企业用户)及时了解网站的安全状况。用户在不需要额外增加设备成本的条件下，可以根据自己网站规模，动态的定制并获悉企业网站的网页挂马情况以及存在的Web漏洞，并得到ADLab安全团队的应急解决方案，最终排除安全隐患，保证企业的Web业务顺利进行。

　　趋势科技在保证Web安全方面，推出了基于云安全技术架构(Cloud-Client)构建的内容安全防护解决方案，用于解决当前面临的快速增长和动态性的网络威胁。通过趋势科技在全球设立的五大数据中心及上千名技术工程师，可以快速及时的响应用户的Web安全需求。

　　杭州安恒作为安全领域新生力量，于2007年中旬便推出了对网站风险和漏洞做深度检测和木马溯源的Web风险扫描器，以及对各类Web攻击进行全方位防护的Web深度防御系统。配合专业的安全团队，能够同时对网站进行WEB漏洞检测、网页木马检测、网站安全防护及应急响应服务。

　　如今奥运的脚步已经越来越近，对于我们Web安全的挑战也越来越严峻，目前某些国外的黑客组织已经宣称将会在奥运期间对我国的网站发起大规模攻击，破坏奥运盛会的和谐气氛。作为企业网站的维护与管理者，必须提高警惕，谨慎而负责人的维护好网站的安全运营。

　　虽然安全厂商可以提供及时有效的风险评估报告，但更多的防范工作却需要身为管理者的您来维护。只有充分发挥两者的优势，才可以最大限度的解决企业Web应用存在的安全隐患。

      IT专家网原创文章，未经许可，严禁转载！