聯(lián)合電訊社/北京--眾所周知，Web 2.0是注重用戶交互的一種新興互聯(lián)網(wǎng)模式。這種模式強調(diào)了，用戶不僅僅是信息的瀏覽者，也是信息的制造者。

　　隨著Web 2.0概念的不斷深入，互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化，交互式業(yè)務隨之也成為互聯(lián)網(wǎng)應用的主流，而作為最典型的互聯(lián)網(wǎng)應用的網(wǎng)站，當仁不讓的站在了Web 2.0大潮的浪尖上。但與之前有所不同的是，現(xiàn)在我們所見到的網(wǎng)站，大部分都已經(jīng)脫離了最初僅僅作為簡單信息發(fā)布的載體，而是越來越多地承載了很多的業(yè)務和應用。

　　伴隨著眾多業(yè)務和應用的增加，網(wǎng)站變得越來越“有用”。但是，俗話說，方便與安全是一對天生的矛盾體：人們在享受著便捷互聯(lián)網(wǎng)服務的同時，也在面臨著復雜的信息系統(tǒng)所帶來的更多安全風險和隱患。我們不難發(fā)現(xiàn)，在Web 1.0年代，所謂的“網(wǎng)站被黑”，大多是其頁面被修改，如首頁被篡改、頁面被增加等;而到了Web 2.0年代，諸如網(wǎng)站頁面被掛馬、跨站腳本植入、注入式攻擊等各式各樣的攻擊行為更是層出不窮。

　　那么，如何在保證業(yè)務和應用紛繁復雜的同時，還能繼續(xù)保持信息系統(tǒng)的安全性，也就是達到效率和安全之間的平衡這恐怕是所有網(wǎng)站都必須要關注的問題。

　　網(wǎng)站安全“三防”

　　大部分的網(wǎng)站在設計之初，更多考慮的是如何滿足用戶的應用，如何實現(xiàn)業(yè)務，很少甚至沒有考慮網(wǎng)站的安全性。而與之相對應的是，網(wǎng)上的黑客工具、黑客教程多如牛毛。這使得那些腳本小子們攻擊網(wǎng)站并不會比考駕照更困難。更加不幸的是，網(wǎng)站的管理者們往往并沒有采用什么有效的手段來對付這些“自學成才”的“安全愛好者”，用來保護網(wǎng)站的僅僅是最普通不過的防火墻，或者更徹底：什么都沒有。此外，和現(xiàn)實社會中不同的是，網(wǎng)絡中的盜竊和搶劫，受害者往往并不知情：頁面上被掛上木馬長達數(shù)月而不自知的大有人在。

　　下面，我們不妨用著名的CIA三要素：Confidentiality保密性，Integrity完整性，和 Availability可用性，來闡述一下作為互聯(lián)網(wǎng)經(jīng)典應用載體的網(wǎng)站，需要從哪些方面著手安全防護的建設工作。

　　CIA是信息安全的建設目標，相應的，網(wǎng)站安全防護也可以從這3個維度進行考慮。

　　1、保密性：防止黑客隨意獲取內(nèi)部的私密信息。相對應的網(wǎng)站安全防護措施，即防攻擊;

　　2、完整性：防止黑客在未授權情況下修改信息。相對應的網(wǎng)站安全防護措施，即防篡改;

　　3、可用性：確保有權限者可隨時正常獲取信息。相對應的網(wǎng)站安全防護措施，即防病毒木馬。

　　這便是網(wǎng)站安全“三防”的概念。

　　為網(wǎng)站全面防御支招

　　那么，該如何實踐網(wǎng)站安全“三防”呢

　　業(yè)內(nèi)著名專業(yè)安全公司啟明星辰提出了網(wǎng)站全面防御的觀點——360度視角的全方位網(wǎng)站安全解決方案。該方案結(jié)合了標準的PDR模型，從檢測、防護和響應三個層面全方位的進行網(wǎng)站安全防護。

　　1、360度安全防御之檢測

　　和直觀的頁面被篡改不同的是，網(wǎng)頁掛馬由于其隱蔽性，甚至在攻擊發(fā)生數(shù)月之后還能繼續(xù)為害。這就需要有一套相應的檢測機制，來定期對網(wǎng)站進行掛馬檢查以便及時發(fā)現(xiàn)。啟明星辰公司推出的安星遠程網(wǎng)站掛馬檢查服務，利用“沙箱”技術，模擬執(zhí)行網(wǎng)頁訪問，而非單純的模式匹配方式，對網(wǎng)頁木馬有很高的準確發(fā)現(xiàn)率。同時，還提供了安星遠程網(wǎng)站漏洞檢查服務，結(jié)合后臺安全專家的人工分析，可以準確發(fā)現(xiàn)網(wǎng)站是否存在可利用的漏洞，并給出修補建議。

　　有些網(wǎng)站管理人員平時對網(wǎng)站安全關注不夠，往往是發(fā)生攻擊后，損失已經(jīng)產(chǎn)生了，才臨時抱佛腳進行響應，甚至很多情況下的解決措施也僅僅是恢復原有頁面，而沒有解決導致攻擊的安全問題。利用安星的漏洞檢查服務，可以從根源上發(fā)現(xiàn)已經(jīng)存在的漏洞，從源頭杜絕攻擊的發(fā)生。

　　2、360度安全防御之防護

　　對于那些由于設計上的原因?qū)е碌陌踩┒矗赡軙捎谛枰褂媚承?，而無法進行修補或更新。針對這類漏洞的攻擊行為大多基于應用，夾雜在正常的訪問行為當中，防火墻類安全產(chǎn)品，由于無法準確識別應用層攻擊行為，對這類攻擊往往束手無策。如果需要防范此類攻擊，必須選擇可以對應用層威脅進行準確發(fā)現(xiàn)和防御的安全產(chǎn)品，特別是，針對這類攻擊以SQL注入，XSS攻擊為代表，由于變種極多，傳統(tǒng)的應用層威脅防御產(chǎn)品采用的特征匹配技術無法全面覆蓋，有較高的漏報和誤報率。

　　啟明星辰公司為Web業(yè)務防御專門推出了其WIPS系列產(chǎn)品，采用專利技術，從攻擊機理而非攻擊數(shù)據(jù)特征入手，采用行為分析的手段，實現(xiàn)了很好的Web威脅防御效果。

　　3、360度安全防御之響應

　　針對有些網(wǎng)站用戶的技術力量相對單薄，無法自行修補和進行監(jiān)控的狀況。啟明星辰還推出了網(wǎng)頁安全修復服務，對網(wǎng)站中的應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除，同時用戶還可以選擇白盒測試、黑盒測試對網(wǎng)站相關的安全源代碼進行檢查，找出源代碼方面所問題，通過服務用戶能夠獲得源代碼問題所在以及安全修復建議或修改服務，該類服務由啟明星辰國家級實驗室的專業(yè)攻防技術團隊提供支持。

　　一些缺乏專業(yè)外援團隊的重要網(wǎng)站，能夠通過這個專業(yè)團隊的服務來強化網(wǎng)站系統(tǒng)的安全源代碼設計，加強系統(tǒng)自身的安全性。