六步措施保障Web应用安全

SQL注入攻击的原理本身非常简单，相关攻击工具容易下载，攻击者获得权限后有利可图。这使得它成为有效的、攻击者常采用的Web入侵手段，是众多网站成为恶意代码传播平台的起因之一。
针对这一攻击手段，安全专家认为，根本的措施是对Web应用的用户输入进行过滤。并针对Web应用的基本特性，对Web应用的整体安全工作采取以下具体措施：

1、Web应用安全评估：结合应用的开发周期，通过安全扫描、人工检查、渗透测试、代码审计、架构分析等方法，全面发现Web应用本身的脆弱性及系统架构导致的安全问题。应用程序的安全问题可能是软件生命周期的各个阶段产生的，其各个阶段可能会影响系统安全的要点主要有：

2、Web应用安全加固：对应用代码及其中间件、数据库、操作系统进行加固，并改善其应用部署的合理性。从补丁、管理接口、权限、文件权限、通信加密、日志审核等方面对应用支持环境和应用模块间部署方式划分的安全性进行增强。

3、对外部威胁的过滤：通过部署Web防火墙、IPS等设备，监控并过滤恶意的外部访问，并对恶意访问进行统计记录，作为安全工作决策及处置的依据。

4、 Web安全状态检测：持续地检测被保护应用页面的当前状态，判断页面是否被攻击者加入恶意代码。同时通过检测Web访问日志及Web程序的存放目录，检测是否存在文件篡改及是否被加入Web Shell一类的网页后门。

5、事件应急响应：提前做好发生几率较大的安全事件的预案及演练工作，力争以、合理的方式申报并处置安全事件，并整理总结。

6、安全知识培训：让开发和运维人员了解并掌握相关知识，在系统的建设阶段和运维阶段同步考虑安全问题，在应用发布前大程度地减少脆弱点。

：027-87867257      
Q Q：737337900（龙老师）
网络安全技术 www.s***.cn
地址：湖北省洪山区雄楚大道珞狮路449号狮城名居2栋1单元904室