隨著信息化建設的不斷深入，Web技術的日益成熟，Web應用平臺已經在電子政務、電子商務等領域得到廣泛的應用，以協同工作環境、社會性網絡服務以及托管應用程序為代表的Web技術，將在很大程度上改變人們溝通交流的方式和工作方式。但這些新的技術在給商業活動的發展帶來便利的同時，也帶來了前所未有的巨大安全風險。 

      過去，網站的內容大多是靜態的。網站管理員對合法網站上的內容進行管理，能夠分辨出“可信”站點和“不可信”站點。但如今，Web 內容逐漸趨于動態化，最終用戶持續不斷的更新現有內容、共享應用程序，并通過多種渠道進行即時通訊。即使采用最佳的策略制定方法，某些不良內容或惡意軟件也會隨時彈出（甚至在可信站點也是如此），使公司的重要信息和網絡暴露于極為危險的環境之下。

      根據 Gartner 的調查，信息安全攻擊有 75% 都是發生在 Web 應用層而非網絡層面上。同時，數據也顯示，2/3的Web站點都相當脆弱，易受攻擊。可以說，絕大多數企業將大量的投資花費在網絡和服務器的安全上，沒有從真正意義上保證 Web 業務本身的安全，才給了黑客可乘之機。根據世界知名的Web安全研究組織OWASP提供的報告，目前對Web業務系統威脅最嚴重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。

      注入漏洞攻擊。特別是SQL注入漏洞，主要是利用目標網站程序未對用戶輸入的字符進行特殊字符過濾或合法性校驗，可直接執行數據庫語句，導致網站存在安全風險通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截注入攻擊。

      跨站腳本漏洞攻擊，是指目標網站對用戶提交的變量代碼未進行有效的過濾或轉換，允許攻擊者插入惡意Web代碼（通常是一些經過構造的javascript語句），劫持用戶會話、篡改網頁信息甚至引入蠕蟲病毒等通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截跨站點腳本( XSS )攻擊。

      從以往發生的安全事件來看，Web攻擊可導致的后果極為嚴重，通過上述手段將一個合法正常網站攻陷，利用獲取到的相應權限在網頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機上，從而實現攻擊目的。如：盜取各類用戶賬號，如機器登錄賬號、用戶網銀賬號、各類管理員賬號。控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力。盜竊企業重要的具有商業價值的資料。非法轉賬。網站掛馬。控制受害者機器向其他網站發起攻擊……

      鑒于上述對Web常見攻擊的分析，對Web及客戶端的保護已經刻不容緩。聯想網御的安全專家給出幾點建議： 

      首先，解決Web服務器端安全問題。具體的解決辦法可采取源代碼審計與部署入侵防護系統相結合的方式，源代碼審計是經過專業安全人員，對Web應用程序源代碼進行安全性檢查，對程序的輸入輸出函數進行安全測試，最大程度保障Web程序的自身代碼安全；并通過部署入侵防護系統，針對跨站腳本、SQL注入、cookies注入、參數篡改等Web攻擊方式進行主動防護。

      其次，解決Web瀏覽客戶端安全。主要是防范遠程惡意代碼執行漏洞，其原理是通過構造精心設計的格式錯誤數據，由攻擊者觸發系統漏洞，并在客戶端軟件中更改代碼執行路徑，來執行由攻擊者隨格式錯誤數據附帶惡意代碼或程序的利用過程。如果客戶端瀏覽器中存在未修補的惡意代碼執行漏洞或0day漏洞，當訪問受惡意代碼感染的站點時，該站點會自動在登錄用戶的瀏覽器中運行攻擊者的惡意代碼，并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序，如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統后臺漏洞執行，所有這一切根本無需任何用戶交互操作。所以應盡量使用已采用常規堆棧保護措施版本的Web瀏覽器，來防止基于堆棧和基于堆的緩沖區溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經提供基于數據執行保護（ DEP ）或不執行（ NX）的內存保護措施，Internet Explorer 8平臺在Internet控制面板選項開啟“啟用內存保護幫助減少聯機攻擊”的選項就可以有效防止遠程代碼攻擊；另外建議部署統一的內網管理系統，統一對關鍵應用程序和系統補丁進行時時監控和統一升級，保證客戶端和內網安全。

      再次，是解決對木馬、病毒的防治。建議安裝終端防病毒、防火墻軟件并保持時時更新，開啟入侵防護系統病毒木馬防護策略，建立統一病毒防護體系，如在網絡邊界部署網絡防毒墻，對關鍵服務器和客戶端進行重點防護，并對其網絡連接進行入侵檢測監控，保證安全風險在一個可控的范圍內。

      聯想網御針對當前Web安全形勢，提出了一系列的安全解決方案。從多角度角度、全方位的安全評估和現狀分析，了解系統面臨的風險狀況，通過安全評估、安全修復和部署相應產品相結合的方式，構建了最大程度保護Web系統應用安全的保障體系。毋庸置疑的是，信息安全是一個循序漸進的防御過程，需要的是全面而完善的體系建設。