我们把用户的应用归为几类，并分别结合国家公安部等级保护进行方案设计，下面先把涉及到的几类安全产品功能进行简单描述，我们以智恒联盟公司产品为例。

    WebGuard网页防篡改产品，分为静态防护和动态防护。静态防护为基本模块，主要是对网站操作系统漏洞风险或网站发布系统漏洞对网站中相关文件造成威胁而进行的保护措施，保护对象如网站框架文件、图片、视频等，可以做到即使网站遭受到恶意攻击，也可以确保网站主体文件不受篡改。动态防护模块主要针对网站的数据库操作进行防护，目前大多网站均涉及到复杂的数据库应用，里面涉及到用户重要数据，这类篡改事件也时有发生，如某政府国家级资质认证查询数据库常遭受攻击篡改，这和目前猖獗的证书造假黑色产业链联系紧密，制作了个假证书确在官网上能查询到，自然售价和可信度高，这类犯法事件时有发生，还衍生到教育领域学校招生等，干扰正常秩序。此外，还有盗取网站用户信息进行恶意传播兜售，均涉及到数据库安全，动态防护模块对此类攻击进行有效保护。

    WAF（Web Application Firewall，网站应用防火墙）这个系统是网站防护的硬件解决方案，串联在网站的出口，对来自互联网80端口的恶意访问攻击进行防护，常见攻击有注入、跨站、DDos等。智恒联盟WAF系统还涉及到了事前评估技术，对网站进行扫描，事先发现风险进行修复，可以防止90%以上的已知漏洞攻击。这个系统可以和防篡改系统部分功能替代，如可以替代防篡改的动态模块，但DDos攻击等动态防护模块是无法替代的。硬件解决方案在大多情况下有一定的优势，但也存在不足，不能对文件进行保护，硬件的性能成为该类解决方案的瓶颈。如用户网站服务器配置很高，性能很好，而WAF系统配置相对不高，所以选择时要注意考虑WAF的性能指标，而不要一味追求低价而影响到网站性能。

    下图反应了攻击过程所造成的影响进行了详细拆解，帮助用户进行准确的判断分析。

    目前国内网站主要涉及到几个领域：电信运营商、政府、金融、证券、电子商务、教育、企事业单位。按照等级保护防护要求，除个别网站系统三级之外，大多属于二级或一级。按照网站安全事件大多以下几类。

    1、网站上出现恶意的非法信息；

    i. 各类反动言论；

    ii. 色情、暴力、赌博等信息；

    iii. 政府政策虚假信息、金融非法言论、谣言等；

    2、 网站遭受大量挂马攻击（通过网站挂马传播木马已经占到木马传播总量的 90%以上，黑客产业链发达，大多受经济利益驱动。）；

    i. 反动组织的间谍软件；

    ii. 各类帐号信息盗取类；

    iii. 文件盗取类；

    iv. 恶意破坏类；

    v. 挂马隐蔽性较强且长期潜伏，使得木马变种传播更为猖獗；

    3、 网站的漏洞百出，遭受恶意篡改；

    i. 页面完全篡改；

    ii. 部分内容篡改；

    iii. 数据库内容恶意删除或破坏；

    大多用户遭受攻击所造成的影响是信誉受损、政治风险、经济利益受损。综上所述，我们进行量身解决方案定制。

    以上主要涉及到外部安全攻击防护，对于具有大量内部服务器，除了web服务器，还涉及到数据库服务器、生产服务器、各类OA、文件服务器，如何实现规范化管理，杜绝内部安全隐患，需要进行安全运维审计系统的部署，结合电信行业4A标准以及国际金融法案进行必要的安全防护，这类解决方案主要根据服务器数量及应用规模，外部运维团队规模等进行相应解决方案选择。智恒联盟安全运维审计系统综合了国内最先进的防护理念，实现了精细化管理、规范化管理、流程化管理等多个角度，清晰人性化的操作界面得到国内广泛应用。

    结束语：应用安全涉及到外部和内部，外部涉及到多种类型以及根据风险、网站规模等进行方案的确认，具体某个用户可以咨询相关安全专业人士进行方案设计。随着国内外安全技术的发展，黑客技术的发展，互联网应用的发展，应用安全任重而道远，需要研究的课题还很多。北京智恒联盟科技有限公司作为国内应用安全领军企业率先提出此《WEB安全技术白皮书》，希望能为更多用户清晰理性的选择适合自身解决方案提供帮助。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。