關於web軟件信息安全問題防禦資料的整理 （一）

　　以前意識到了安全問題的重要性，因而就在網上找了一下安全問題的解決辦法（主要是web應用以及政府網站方面的），問了一下同窗的公司是怎麼保證安全的，跟我說用的是shiro安全機制這個貌似好多公司都在用，網上也有不少教程。

1.綠盟 http://www.nsfocus.com.cn/index.html

這個中國第一個網絡公司雖然不是什麼世界500強，可是它的官網有個其餘網絡安全公司網站都沒有的優勢，就是有不少關於技術方面的論文和報告。

1.確保網絡安全要有總體的方案，先看看綠盟的安全體系整改方案。

可見很完整的一個安全體系 。

2.

3這個對政府網站的防禦很是嚴格的

1. DDoS防護：在Internet出口處部署一臺抗DDOS攻擊防禦系統，用於防禦來自外網的拒絕服務攻擊；
2. 網絡訪問控制：利用防火牆進行訪問控制，防止沒必要要的服務請求進入網站系統，減小被攻擊的可能性；
3. 系統安全加固：找出主機系統、網絡設備及其餘設備系統中存在的補丁漏洞和配置漏洞，進行加固，以保障系統的安全性；
4. 應用層防禦：在網站服務器前部署一臺Web應用防禦系統，經過Web應用防禦系統有效控制和緩解HTTP及HTTPS應用下各種安全威脅，如SQL注入、XSS、CSRF、cookie篡改以及應用層DDoS等，有效應對網頁篡改、網頁掛馬、敏感信息泄露等安全問題，充分保障門戶網站的高可用性和可靠性。
5. 網頁防篡改：在Web服務器系統上部署網頁防篡改系統，針對Web應用網頁和文件進行防禦。
6. 網站安全監測：經過專業化的託管式服務來實時監測和週期度量網站的風險隱患，評估網站的安全狀態，衡量改進狀況。爲政府用戶提供基於網站訪問行爲、基於安全事件事前、事中、過後的7×24小時安全運營解決方案。