日前，引起公众广泛关注的CSDN泄露案告破，在犯罪份子被绳之于法的同时，CSDN网站也因为数据泄露防护不到位而收到了我国落实信息安全等级保护制度以来的首例行政“罚单”。其实CSDN事件只是近年来众多企业数据泄露案例中的冰山一角，却是引发全社会互联网隐私担忧的一记响雷，让公众和监管部门开始强烈的要求企业保管好用户的隐私数据，工业和信息化部甚至编制《信息安全技术公共及商用服务信息系统个人信息保护指南》以指导和规范企业利用信息系统处理用户核心信息的过程。

　　数据之所以让众多黑客趋之若鹜，是因为数据的价值已经被广泛认可，数据交易的市场利益链也已生成。但与此同时存在的却是众多企业对数据安全问题缺乏危机感，一旦泄露发生才开始亡羊补牢，却已经付出企业形象、用户信任和经济损失等重要代价。在所有的泄露事件中，黑客轻易盗取用户数据库信息，很多企业数据库中的用户账户和密码居然是以明文形式存在，薄弱的信息安全防护意识让黑客轻易得手。由此甚至引发了全国网名大量更换密码的恐慌，更有网友发出了中国互联网无隐私，有“裸奔”的感慨。

　　然而，防护意识薄弱只是一个方面，黑客之所以能够如此顺利的攻破众多企业的信息安全防线，还有一个主要原因是在现代Web应用环境中，传统的防火墙、抗DDoS、流量控制等安全系统其实就如同一道马其诺防线。回顾近年来国内重大的安全事件，我们会看见企业面临的不再是过去操作系统漏洞或网络攻击威胁，黑客逐渐将视线转向企业网络对外的Web站点，例如：网络在线交易网站、企业的电子商务网站与企业内部的ERP、CRM系统等，针对Web服务器网页的应用层入侵大量出现，例如：SQL注入、跨站攻击、Cookie篡改等等，在这攻击面前基于静态特征检测的安全设备已然形同虚设。

　　回顾近年出现的数据泄露案，我们不难发现Web正是黑客实现数据窃取的攻击的主要目标，这是因为企业基于业务发展需求，不断将越来越多的应用和关键业务集中于web平台，使其成为了大量数据的所在地。

　　Web应用面临的安全挑战

　　数据库注入和数据泄露：攻击者可以利用web数据查询功能，将精心构造的数据库攻击命令隐藏在正常的查询功能之中，能够轻易穿透静态防护的防火墙的等安全设备，并绕过身份认证，从而获取数据库权限。而后攻击者可以对数据库进行任意操作，达到窃取数据、破坏数据库的目的，主要的攻击方式是SQL注入和跨站脚本。

　　客户端安全：如果用户浏览器端开启Cookie的功能，任何站点都可以修改cookie。如果Web将某些用户ID存放在cookie中，并直接以此ID进行权限限制，那么攻击者可以修改客户端的cookie值，以仿冒其他用户权限，最终窃取web应用信息和数据，此种方式主要是cookie注入，信息窃听等。

　　未授权的访问：正常使用者可能会有非授权的行为进行存取。例如：医疗系统的处理人员有权限可以登入医疗数据库存取，却可能会逾越自己的权限，进行非法下载相关数据库的数据供自己或别人使用。此种未经授权的访问方式是导致web应用系统的信息泄露和受攻击的主要手段之一。

　　传统安全手段防护风险：

　　所有针对Web 应用系统的攻击，有些是已被发现，并具有可识别的固定特征的;有些则是因网站的设计和代码，以及攻击者的行为习惯导致的攻击，没有固定的特征可循。传统的那些安全手段基本无能为力，没有办法通过静态的特征、策略等方式防范动态的、不断调整变化的web攻击手段。必须能够通过主动的安全防护措施，从根本上避免对web网站的恶意篡改、信息窃取，外部人员对web服务器的入侵、删除或是上传木马文件等类型的攻击行为。

(责任编辑：)