关于web软件信息安全问题防护资料的整理（二）

想要做好软件的安全防护，首先就得了解web系统的安全威胁，那么web系统都存在哪些威胁呢？

应用层攻击、网络层攻击和混合攻击。

传统被动、单点以及彼此孤立的防护手段已不能应对越来越严峻的安全威胁。

改被动防御为主动防御，变单点防御为分层防御，变孤立的防御为协同防御。

正是因为日新月异的攻击方法变换不断，而我们的防护技术普遍落后，所以web系统的安全挑战特别大。

我们来深入一下web网站的安全威胁：

1.应用层攻击

（1）网站自身存在的漏洞问题。最直接的说法就是“web网站存在的安全问题本质上是源于软件的质量问题”

　　　　对于漏洞的防护关键是快，越早发现漏洞并弥补，被入侵者利用的概率就越小。

2.网络层攻击

（1）攻击：带宽型攻击。如：DDos（也称流量洪水攻击）,这是一种常见型带宽攻击，这种攻击通俗的来讲就是采用大流量的DDoS攻击来占用网络资源从而阻塞带宽。

3.混合攻击

（1）混合攻击，即将应用层攻击和网络层攻击混合起来。常见的混合攻击：Anonymous 。如图4。

防护混合攻击对于安全运维团队的要求是非常高的。当前很多混合攻击呈现 APT的特点，入侵者往往会利用 DDoS攻击作为诱饵吸引防护一方响应团队的注意力，而其主要的目的在信息窃取等更深层面。因此，运维团队的技能、经验和效率都是能否有效防护进攻的重要因素。