企業(yè)信息安全經(jīng)過(guò)這么多年的發(fā)展，我們可以發(fā)現(xiàn)不同時(shí)代黑客的攻擊方式是不一樣的：

從最初的猜密碼，暴力破解密碼，e-mail炸彈，到基于DNS、基于TCP-IP協(xié)議的攻擊等，到后來(lái)的木馬、蠕蟲(chóng)、最近幾年大家所熟知的SQL 注入，跨站等基于應(yīng)用軟件的攻擊等。

我們還可以看出，黑客攻擊方式有一個(gè)很重要的變化，那就是逐漸地從攻擊網(wǎng)絡(luò)，攻擊主機(jī)到攻擊應(yīng)用軟件，攻擊客戶端。

再來(lái)看看我們的安全防御體系。我們的企業(yè)中正在使用的是什么?我們可以看到，企業(yè)的安全防護(hù)體系主要就是在網(wǎng)絡(luò)上、主機(jī)上進(jìn)行“加層”。加防火墻，加IPS，IDS，等等，這種安全防護(hù)體系是完全集中在網(wǎng)絡(luò)和邊界上，在以前很有用，但現(xiàn)在，這種安全防護(hù)體系是很不完整的，不能夠完全防止黑客攻擊。

因?yàn)楝F(xiàn)在的企業(yè)軟件應(yīng)用的架構(gòu)，已經(jīng)打破了我們這些保護(hù)層。現(xiàn)在的應(yīng)用系統(tǒng)一般都是B/S架構(gòu)。

這種新的應(yīng)用軟件架構(gòu)一方面給我們的業(yè)務(wù)和使用帶來(lái)了方便，工作/交流/溝通變得十分高效的同時(shí)。另一方面，這種架構(gòu)也給我們的應(yīng)用安全帶來(lái)隱患。

用戶可直接通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)和使用。我們的傳統(tǒng)的，基于網(wǎng)絡(luò)的防護(hù)層被打破。HTTP 80、HTTPS 443端口是不可以封閉的。那是用戶使用的端口。

而那些黑客或者說(shuō)攻擊者，就是來(lái)自應(yīng)用系統(tǒng)的用戶，他們利用這些打開(kāi)的端口，對(duì)這些應(yīng)用系統(tǒng)，輸入非法的攻擊數(shù)據(jù)，對(duì)系統(tǒng)進(jìn)行攻擊。如果應(yīng)用系統(tǒng)不夠健壯不夠安全，這些數(shù)據(jù)進(jìn)入系統(tǒng)，建立聯(lián)接，而且達(dá)到對(duì)私密信息，如數(shù)據(jù)庫(kù)的入侵，偷取，破壞等目的。

攻擊者經(jīng)常利用的手段或者說(shuō)是應(yīng)用系統(tǒng)漏洞就是SQL 注入，緩沖區(qū)溢出，系統(tǒng)信息泄露，等等。

而他們的成功率高嗎?這里IDC的統(tǒng)計(jì)數(shù)據(jù)說(shuō)：至少75%的企業(yè)被成功地攻擊過(guò)。而據(jù)CERT報(bào)告：受攻擊的企業(yè)中55%攻擊來(lái)自內(nèi)部人員。

當(dāng)然，漏洞不止這幾種，黑客可利用的漏洞還有很多。

總結(jié)一下，我們剛才講過(guò)一方面黑客的攻擊已經(jīng)轉(zhuǎn)到應(yīng)用軟件上來(lái)了，而軟件本身的漏洞又不斷增長(zhǎng)，另一方面，我們的防御方式還是基于網(wǎng)絡(luò)的防御，很不完整不能滿足現(xiàn)在的安全需求。據(jù)NIST統(tǒng)計(jì)，92%的漏洞是來(lái)自應(yīng)用系統(tǒng)，而不是網(wǎng)絡(luò)。

那軟件安全漏洞產(chǎn)生的根源是什么呢? 我們總結(jié)：如今的黑客攻擊主要利用軟件本身的安全漏洞，這些漏洞是由不良的軟件架構(gòu)和不安全的編碼產(chǎn)生的。