企業選擇專業Web安全服務的必要性

【51CTO.com 專家特稿】隨着中國信息化建設的高速發展，中國已經發展成全球第二大的互聯網用戶，也帶 來了互聯網網站的高速發展。當前的互聯網網站已經成爲信息傳播、流通、交換及存儲的重要手段。政府部門的信息化建設，使得電子政務的加速增加，愈來愈多的 傳統辦公業務轉變成依懶互聯網的網站業務。企業的B2B、B2C業務的發展更多地依靠於網站業務的正常運行。各大商業銀行爲了方便業務的開展，依懶於網站 提供更多的在線服務方式。隨着網站與網頁數的與日俱增，信息安全問題變得更爲嚴峻。因爲互聯網網站處於全天候的開放狀態，而承載網站的應用程序具備自身無 法徹底克服的漏洞問題，這就爲***的***提供了可乘之機。

互聯網網站與網頁存在一些安全問題，好比網站服務器易出現的如下問題：

◆網站腳本程序的安全問題檢測，如網站的默認數據庫，默認管理賬號（admin，root，manager等）；

◆網站程序設計存在的安全問題檢測，網站程序設計者在編寫時，對相關的安全問題沒有作適當的處理，如SQL注入，上傳漏洞，腳本跨站執行等；

◆服務器配置不當，安全策略設置存在缺陷，可致使產品被***的問題檢測；

◆應用服務權限設置致使系統被***的問題檢測；

◆系統和服務的補丁未升級致使系統可被***的安全檢測等。

利用網站的安全漏洞，尤爲是 WEB 應用程序漏洞：如 SQL 注入等，***可以獲得 Web 服務器的控制權限，隨意篡改網頁內容或竊取重要內部數據，更爲嚴重的則是在網頁中植入惡意代碼，經過「網頁掛馬」感染更多的客戶端用戶。經過這一行爲，黑 客能夠控制網站的訪問者甚至包括網站本單位的人員的計算機，從而實現盜取銀行賬號、內部機密信息等各類不可告人的目的。因爲網頁***製做的簡單性和網絡漏 洞存在的必然性，經過網站漏洞進行網頁掛馬已經成爲當前最流行的網站***方法和最受***青睞的***散播方式。2007年微軟系統的安全漏洞，以及各類應用 軟件存在安全漏洞，如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、WEB迅雷安全漏洞、Ani指 針安全漏洞、暴風播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞問題。各類 漏洞生成的相應的漏洞利用網馬並進行掛馬，使得網頁掛馬事件獲得快速的發展。

網絡信息化建設的不斷髮展、核心應用業務迅速網絡化以及互聯網用戶的飛速增加，咱們面臨的安全威脅也日益增多和複雜。根據CNCERT的最新統計數 據，2007年CNCERT共接到網絡安全事件報告4390件。2007年我國大陸被篡改網站總數達到了61228個，同比增加1.5倍；其中政府網站 （.gov.cn）被篡改3407個，佔大陸被篡改網站的7%。CNCERT統計顯示，大陸地區約有4.3萬個IP地址主機被植入***，約有362萬個 IP地址主機被植入殭屍程序。從以上數據能夠看出，提升業務網站的安全防禦，是保障業務正常進行的必然前提。

國內被篡改的網站爲政府、學校、信息綜合門戶、知名企業等影響力高、受衆面廣的網站，而一些中小企業的網站更是易被侵入篡改。網站被篡改帶來的不良 影響，不單單是單位組織的形象和聲譽遭到破壞，並且會直接影響以網站運營爲主的業務，帶來必定的經濟上的損失。如何保護網站的安全性，是衆多網站管理員及 單位組織關注的事情。除了網絡管理員提供平常管理維護，還須要專業的安全人員對網站及相關服務器的安全性進行檢測。

網站是否存在WEB 應用程序漏洞，每每是被***後才能察覺；而網站是否已經被掛馬，一般是在被訪問者投訴或被監管部門查處才能察覺，但這個時候損失已經發生；如何在***發動 以前主動發現WEB 應用程序漏洞以及網站在掛馬發生以後迅速獲悉，已成爲構築Web安全的上上策。目前解決這一問題的一般方式就是網站的運維管理人員購買專業的Web掃描工 具，同時學習專業的安全知識，並對網站進行常規掃描、高頻度檢測，但專業的掃描工具每每不能解決***問題，而且開銷巨大，同時面對Web網站複雜的安全需 求，也有自身的一些侷限性。那麼，可否設計一種具備這種功能的產品或服務，既可以預先掃描Web系統，防患於未然，又可以發現已經存在的網頁***，從而提 醒網站管理者進行相應的應急處理呢？