【清楚应用程序的默认配置和安全环境】从网络和操作系统的观点看，许多问题都会把WEB服务器置于风险中。但管理员做的最糟糕的事情之一就是部署了IIS等产品后，就觉得“完活”了。保障IIS的安全本身就身就是一项艰巨的任务，不过，为使WEB 应用程序成为一个难以攻克的目标，你不必成为一个IIS权威。你只需要理解哪个WEB应用程序服务器的默认配置会增加风险，以及如何快速解决这些问题就可以了。

攻击者非常熟悉IIS，所以他们知道默认的IIS站点是放在c:\inetpub\wwwroot目录下。在IIS中，WEB应用程序运行在用以隔离应用程序从而实现更好安全的应用程序池中。不过，狡猾的攻击者知道默认的应用程序运行在网络服务(Network Service)账户下。网络服务(Network Service)账户拥有的权利超过了用户给予应用程序池的权利。所以，禁用默认配置并创建一个由新账户保障其安全的新应用程序池是最简单有效的安全建议。攻击者还知道，默认情况下，应用程序池运行在iUSR_Host_Name账户下。如果攻击者可以发现WEB服务器的主机名，就可以知道答案并关闭iUSR账户，并通过发送假冒的认证请求而攻克WEB服务器。

为保障IIS服务器的安全，管理员应当做的事情有很多，但是保留WEB服务器的默认设置是一个很容易避免的安全问题。

由内而外：数据本源防护是WEB信息安全的强力后盾

虽然网络层防护是WEB信息安全防护的第一线，但是想要以上那些手段和形式充分发挥效果，后者至少保证“后院不起火”，那么本源的，对于数据层的安全防护就是关键。而面对现代多样的安全威胁和防护需求，采用国际先进的多模加密技术进行防护无疑是最佳的选择。

多模加密技术采用对称算法和非对称算法相结合的技术，在保证了数据本源得到高质量加密防护的同时，其多模的特性能让用户自主地选择加密模式，从而能更灵活地应对各种防护需求。而正是这种灵活性，使得它可以配合现代多样的WEB防护需求达到里外双重防护的效果。

总体而说，WEB应用程序的安全并不是一个那么难的目标。虽然许多安全项目的成功存在于安全专家的手中，实现强健的WEB应用程序的安全要求企业各方的协同努力。而客观的讲，虽然WEB的信息安全是针对网络层，但是只要那些威胁的对象还是数据本身，采用具有针对性的加密软件进行本源防护总是在防护过程中最好的助力!

(责任编辑：)