摘要：众所周知，Web 2.0是注重用户交互的一种新兴互联网模式。这种模式强调了，用户不仅仅是信息的浏览者，也是信息的制造者。随着Web 2.0概念的不断深入，互联网发生了翻天覆地的变化。

第1页:网站安全“三防” 第2页:为网站全面防御支招

　　
　　为网站全面防御支招
　　
　　该如何实践网站安全“三防”呢?业内著名专业安全公司启明星辰提出了网站全面防御的观点——360度视角的全方位网站安全解决方案。该方案结合了标准的PDR模型，从检测、防护和响应三个层面全方位的进行网站安全防护。
　　
　　1.360度检测
　　
　　和人看医生一样，到医院首先得进行检查病因所在。网页挂马的隐蔽性强，所以，更要事先做好深度检测，免得病根难除。
　　
　　和直观的页面被篡改不同的是，网页挂马由于其隐蔽性，甚至在攻击发生数月之后还能继续为害。这就需要有一套相应的检测机制，来定期对网站进行挂马检查以便及时发现。启明星辰公司推出的安星远程网站挂马检查服务，利用“沙箱”技术，模拟执行网页访问，而非单纯的模式匹配方式，对网页木马有很高的准确发现率。同时，还提供了安星远程网站漏洞检查服务，结合后台安全专家的人工分析，可以准确发现网站是否存在可利用的漏洞，并给出修补建议。
　　
　　有些网站管理人员平时对网站安全关注不够，往往是发生攻击后，损失已经产生了，才临时抱佛脚进行响应，甚至很多情况下的解决措施也仅仅是恢复原有页面，而没有解决导致攻击的安全问题。利用安星的漏洞检查服务，可以从根源上发现已经存在的漏洞，从源头杜绝攻击的发生。
　　
　　2.360度防护
　　
　　找到病因，然后对其进行有针对性的防护，那么效果会更加显著。
　　
　　对于那些由于设计上的原因导致的安全漏洞，可能会由于需要使用某些应用，而无法进行修补或更新。针对这类漏洞的攻击行为大多基于应用，夹杂在正常的访问行为当中，防火墙类安全产品，由于无法准确识别应用层攻击行为，对这类攻击往往束手无策。如果需要防范此类攻击，必须选择可以对应用层威胁进行准确发现和防御的安全产品，特别是，针对这类攻击(以SQL注入，XSS攻击为代表)，由于变种极多，传统的应用层威胁防御产品采用的特征匹配技术无法全面覆盖，有较高的漏报和误报率。
　　
　　启明星辰公司为Web业务防御专门推出了其WIPS系列产品，采用专利技术，从攻击机理而非攻击数据特征入手，采用行为分析的手段，实现了很好的Web威胁防御效果。
　　
　　3.360度响应
　　
　　针对有些网站用户的技术力量相对单薄，无法自行修补和进行监控的状况。启明星辰还推出了网页安全修复服务，对网站中的应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除，同时用户还可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查，找出源代码方面所问题，通过服务用户能够获得源代码问题所在以及安全修复建议或修改服务，该类服务由启明星辰国家级实验室的专业攻防技术团队提供支持。
　　
　　一些缺乏专业外援团队的重要网站，能够通过这个专业团队的服务来强化网站系统的安全源代码设计，加强系统自身的安全性。
　　
　　责任编辑：Honey