Web安全之攻防战争

　　当前，来自Web的各种攻击已经成为全球安全领域最大的挑战，并且有愈演愈烈之势。目前的难点在于，很多Web威胁的思路已经有别于传统，隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲，Web威胁令人无法忽视，而相关防御技术的应用与保护也同样充满挑战。

　　Web服务的隐忧

　　所谓Web服务，是指由企业发布的完成其特别商务需求的在线应用服务，其他公司或 应用软件能够通过Internet来访问并使用这项应用服务。Web服务采用基本的Internet协议，“松散地连接”网络上的服务节点，并将“服务过程”定义在Web应用程序中，利用标准的存取协议(XML)为客户端节点提供服务。

　　Web服务主要解决基于分布在网络上不同服务器或终端之间的业务集成，面对海量的外部信息资源和应用资源提供一种中间的服务，使得所有用户可以得到方便的信息共享和应用共享。Web服务平台已经在电子商务、企业信息化中得到广泛的应用，很多企业都将应用架设在Web平台上，并不断完善和提高其功能和性能，为客户提供更为方便、快捷的服务支持。

　　启明星辰总工程师万卿在接受本报独家采访时透露，当前Web服务的迅速发展引起了黑客们的强烈关注，他们已将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web服务的攻击上。但是，很多企业对此并没有做好足够的准备，也没有给予足够的重视。

　　根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，2/3的 Web 站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，忽略了保证 Web服务本身的安全，才给了黑客可乘之机。

　　而趋势科技2008年一季度病毒报告显示，今年一季度Web威胁感染数量增长了1.5倍，可以预见，今年又将是Web威胁大肆爆发的一年。 Web威胁所具备的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径，Web安全威胁已经成为对企业来说最为猛烈的攻击之一。