网站的安全现状其实并没有比过去好多少，毕竟老的网站在不断死去，新的网站在不断产生。虽然安全的热点不断转移，从老掉牙的蠕虫到不断演变的木马，从僵尸网络到APT攻击，但是攻击的目的从本质来说基本没有变化，那就是获取经济利益。

　　互联网从理论上来说是个没有国界的虚拟世界，但现实世界的残酷和现实映射到虚拟世界，自然或认为形成的边界在虚拟世界也存在，因此，我所讲的当前网络信息安全形势，主要还是讲讲防火墙内的网络信息安全形势。我所获取的数据也只是来自官方的统计数据。

　　从国家互联网应急中心获取的网络信息安全与动态周报（2016年5月09日到2016年5月15日）数据如下图1所示：

　　虽然境内被植入后门网站总数大幅上升了26.4%（与5月2日到5月8日相比），但是安全态势依然是“中”。对于本周的网站被黑总数的大幅上升，主要归功于新增信息安全漏洞数量大增了110.6%，当然，网站管理员也是功不可没。

　　从上面数字分析，我们可以看到，在漏洞数量大增的前提下，网站被植入后门的数量也是大幅升高，但是被篡改的网站数量甚至略微下降了0.9%。

　　以我的经验来看，这组数字就是不正常的。历史告诉我们，一定还有更多的网站被入侵而没有被发现，或者入侵后再进行悄悄地控制，在关键时刻才会发出致命一击。

　　任何一台接入互联网的设备，都会面临攻击。网站的特殊性在于其可能可攻击面更多，网站的数量更庞大。

　　攻击一般利用的是两方面的缺陷，一方面是技术上的，一方面是管理上的。专业的说法就是风险，技术风险和管理风险。

　　图2 OWASP TOP 10详细描述了WEB应用程序面临的10大风险，其最新版是2013年完成，至今仍具有重要指导意义。TOP10的数据来源于上百家组织、上千家应用，超过5000，000个漏洞。TOP10对这些相关数据进行挑选与排序，并与可利用性、可检查行、影响程度等进行一致性评估出结果与结论。

　　透过OWASPTOP10的方法论，可以看到风险的本质，从而分析风险形成的原因。所有这些风险，都是攻击者采用非常规手段，通过应用程序中的各种不同路径，危害其攻击目标的业务或直接威胁企业，形成所谓的攻击。

　　举个例子说，OWASP TOP 10中排在首位的就是A1-Injection，也就是注入类风险。此类风险包括SQL注入、系统命令注入、LDAP注入、XML注入等一系列子类。注入风险一旦被攻击者成功利用，就可能会造成其他风险，比如：黑客成功利用了SQL注入进入，这就使得A6——敏感数据泄露的风险水平急剧上升。因此，风险之间的相互连带关系也是显而易见的。图4就是一个SQL注入被利用的例子，直接导致了敏感数据的泄露：

　　程序员写出有漏洞的软件，就像我们写错别字一样自然，不可避免，想完全消除是不现实的；程序员引入的软件漏洞和错误千奇百怪，引入的风险也就多种多样，OWASP TOP 10只是总结概括了WEB应用程序领域中最流行、最具有代表性的一小部分。

　　任何有漏洞的网站（或者WEB应用程序）都有利用价值。一般有经验的攻击者在入侵一个网站后会充分利用其价值，而那种篡改网页以彰显目标已被攻击，其实是对网站的巨大帮助，这种行为其实是破坏了被入侵网站可能再被利用的潜在价值。

　　黑客采取的最常见的做法是通过被入侵的WEB系统进入公司内网，悄悄地搜集数据情报而不暴露。其次的做法是利用被控制的网站系统作为攻击跳板，对其他系统或其他目标进行渗透，从而达到隐藏真实攻击源的目的。

　　在黑客技术广泛传播的今天，有组织的地下黑产的收入可能超过正规的安全公司，那些缺乏维护、有漏洞却又看上去很正常的网站系统，可能才隐藏着最大的风险。

　　安全实践已经表明，WEB系统的安全防护需要综合利用技术手段和管理策略，而且两手都要抓，两手都要硬。试想一下你装备了各种安全防御的技术手段，但是因为系统管理员的弱密码被黑，是多么悲催的事情。

　　一般来说，WEB应用放置在网络的DMZ区域，以便可以通过Internet进行访问。从技术手段来说，对WEB系统的防护需要表一里的东西。

　　第二只手就是管理策略，注重的是安全策略、流程、安全记录，一般来说，表二描述的策略是需要的。

　　两张表中用的的技术或软件工具，都有开源的版本，比如使用senginx代替WAF，使用开源的Open VAS和W3af进行漏洞扫描，同时也有昂贵的商业产品，比如XYZ公司的漏洞扫描工具，ABC公司的WAF等；但是所有这些东西，无论你使用商业的还是免费的，都需要有人能看得懂，用的转。所以网络信息安全防护是需要专业人士的专业知识，最简单、省心的办法就是把安全的事外包给专业公司去做，这也算是一种风险转移吧！

　　无论如何，从本质上来说，安全来自于持续的服务，而不是来自于一种万能的工具，也从来没有出现过这种万能的工具和一劳永逸的解决办法（方案）能完全解决网站面临的安全问题。

　　实际上，从安全发展的历史来说，业界一直都在总结经验，一直都有最佳实践之说，比如，著名的ISO27001，其起源就来自于网络安全的最佳实践。

　　作者单位：清华大学