web安全攻防总结

随着Web2.0、网络社交等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中，越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的 SQL 注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这使得越来越多的用户关注应用层的安全问题，Web应用安全的关注度也逐渐升温。

随着移动终端设备的大量涌现，移动互联网大众时代即将到来。对于企业来讲，企业通过移动终端对信息进行采集和实时处理，使得企业的信息流通高效，安全畅通。移动互联网用户的增多，如何抓住机遇，准确卡位市场成为诸多厂商竞争的焦点。那么部署企业移动应用到底存在哪些风险？仅仅靠技术能否实现对企业数据的安全管理？如果企业部署企业移动应用，如何打破不同系统之间的顺畅访问？

在互联网高度发展的今天，访问没有好的防护措施的企业的内部局域网对于外部的恶意访问者来说并非难事，他们通常可以窥探、非法获取甚至是恶意毁坏企业的宝贵数据和资料，从而对企业造成不可挽回的经济损失。当前绝大多数的企业都在物理层面采用了物理隔离的措施将本地局域网和互联网进行隔离，保证两个网络的不可互访，从而达到保护内网数据安全的目的。

具体措施

1.制订策略图

安全策略是整个行动循环的出发点，即安全对策的核心。

根据企业组织的理念并融合公司的经营方针和规章制度，在制订以后必须做到所有部门都严格遵守。

2.体制建设安全策略既然是所有公司员工都必须遵守的公司法律，就必须公布、加强员工教育和确立使其能长期执行贯彻的体制。

3.指导方针的确立制订

密码的运用、电子邮件、病毒对策等具体的实施手册。根据这些手册来检讨各种安全软硬件的选择与使用。

4.运营、监视、处理

对于采取了安全管理方式的网络系统，应更加注重其日常安全信息的搜集、个别安全问题的应对、网络管理、系统管理、故障处理的系统的运营和维护。

5.监察、诊断、评估

在进行这一系列的维护网络安全的措施时，非常重要的是必须定期的对其是否按照安全策略的规定正确执行进行监察、诊断、评价，从而通过对实际操作的分析来确认安全策略的成本是否过高、实际用户的负担是否过重、访问控制的标准是否过严而导致使用效率的降低、实际执行过程中是否现实从而对安全措施重新考核以修正其不合理的地方。通过这种Plan->Do->Check->Action地持续的循环过程才能逐渐形成一套更为合理、有效的安全策略。

总结

安全管理是一个持续运营的过程，更多的时候，我们以安全运营代替安全管理，主要突出运营。不能因为各种安全设备、防护策略做好后就高枕无忧。安全管理必须不断持续学习，时时关注，从各个方面、各个角度运营企业的安全设备和系统，保障企业的系统、数据安全不受侵犯。