信息安全培訓(xùn)

《信息安全培訓(xùn)》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全培訓(xùn)（31頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、信息安全的簡介 一、什么是信息安全 信息安全本身包括的范圍很大，大到國家軍事政治 等機(jī)密安全，小范圍的當(dāng)然還包括如防范商業(yè)企業(yè) 機(jī)密泄露，防范青少年對不良信息的瀏覽，個(gè)人信 息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信 息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安 全協(xié)議、安全機(jī)制（數(shù)字簽名，信息認(rèn)證，數(shù)據(jù)加 密等），直至安全系統(tǒng)，其中任何一個(gè)安全漏洞便 可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支 持信息網(wǎng)絡(luò)安全服務(wù)的基本理論，以及基于新一代 信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。 一、什么是信息安全 信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù) 受到保護(hù)，不受偶然的或者惡意的原因而遭

2、到破壞、更改、 泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。 信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、 密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種 學(xué)科的綜合性學(xué)科。 從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、 可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的 研究領(lǐng)域。 二、信息安全的實(shí)現(xiàn)目標(biāo) 真實(shí)性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予 以鑒別。 保密性：保證機(jī)密信息不被竊聽，或竊聽者不能了解信息 的真實(shí)含義。 完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。 可用性：保證合法用戶對信息和資源的使用不會(huì)被不正當(dāng) 地拒絕。 二、信息安全的實(shí)現(xiàn)目標(biāo) 不

3、可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為， 這一點(diǎn)在電子商務(wù)中是極其重要的。 可控制性：對信息的傳播及內(nèi)容具有控制能力。 可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段 三、主要的信息安全威脅 竊?。悍欠ㄓ脩敉ㄟ^數(shù)據(jù)竊聽的手段獲得敏感信息。 截?。悍欠ㄓ脩羰紫全@得信息，再將此信息發(fā)送給真實(shí)接 收者。 偽造：將偽造的信息發(fā)送給接收者。 篡改：非法用戶對合法用戶之間的通訊信息進(jìn)行修改，再 發(fā)送給接收者。 拒絕服務(wù)攻擊：攻擊服務(wù)系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法 用戶獲得服務(wù)。 三、主要的信息安全威脅 行為否認(rèn)：合法用戶否認(rèn)已經(jīng)發(fā)生的行為。 非授權(quán)訪問：未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。 傳

4、播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高， 而且用戶很難防范。 四、信息安全威脅的主要來源 自然災(zāi)害、意外事故； 計(jì)算機(jī)犯罪； 人為錯(cuò)誤，比如使用不當(dāng)，安全意識(shí)差等； 黑客 行為； 內(nèi)部泄密； 外部泄密； 信息丟失； 電子諜報(bào)，比如信息流量分析、信息竊取等； 信息戰(zhàn)； 網(wǎng)絡(luò)協(xié)議自身缺陷缺陷，例如 TCP/IP協(xié)議的安全問題等 等。 五、信息安全策略 信息安全策略是指為保證提供一定級(jí)別的安全保護(hù)所必須遵 守的規(guī)則。實(shí)現(xiàn)信息安全，不但靠先進(jìn)的技術(shù)，而且也得靠 嚴(yán)格的安全管理，法律約束和安全教育： DG圖文檔加密 :能夠智能識(shí)別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)， 并自動(dòng)強(qiáng)制對所有涉密數(shù)據(jù)進(jìn)行加密操作，而

5、不需要人的參 與。體現(xiàn)了安全面前人人平等。從根源解決信息泄密 先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。用戶對自身 面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估，決定其所需要的安全服務(wù)種類， 選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個(gè) 全方位的安全系統(tǒng)； 五、信息安全策略 嚴(yán)格的安全管理。各計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)，企業(yè)和單位應(yīng) 建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立合適的 網(wǎng)絡(luò)安全管理系統(tǒng)，加強(qiáng)用戶管理和授權(quán)管理，建立安全審 計(jì)和跟蹤體系，提高整體網(wǎng)絡(luò)安全意識(shí)； 制訂嚴(yán)格的法律、法規(guī)。計(jì)算機(jī)網(wǎng)絡(luò)是一種新生事物。它 的許多行為無法可依，無章可循，導(dǎo)致網(wǎng)絡(luò)上計(jì)算機(jī)犯罪處 于無序狀態(tài)。面對日趨嚴(yán)重的網(wǎng)絡(luò)上犯罪

6、，必須建立與網(wǎng)絡(luò) 安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄 動(dòng)。 安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運(yùn)行平臺(tái)， 構(gòu)成安全 WWW服務(wù)，安全 FTP服務(wù)，安全 SMTP服務(wù)等， 并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅(jiān)實(shí)底座，確保這些安全產(chǎn)品的 自身安全。 網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題 安全漏洞與安全對策問題 信息安全保密問題 系統(tǒng)內(nèi)部安全防范問題 防病毒問題 數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題 六、信息安全涉及的主要問題 本標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原 則。 本標(biāo)準(zhǔn)適用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品， 涉及實(shí)體安全、運(yùn)行安全和信息安全三個(gè)方面。 實(shí)體安全包括環(huán)境安全，設(shè)備安

7、全和媒體安全三個(gè) 方面。 運(yùn)行安全包括風(fēng)險(xiǎn)分析 ,審計(jì)跟蹤，備份與恢復(fù)，應(yīng) 急四個(gè)方面。 信息安全包括操作系統(tǒng)安全，數(shù)據(jù)庫安全，網(wǎng)絡(luò)安 全，病毒防護(hù)，訪問控制，加密與鑒別七個(gè)方面。 七、信息安全產(chǎn)品分類原則 目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安 全產(chǎn)品大致有以下幾類： 防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。 它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界 對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。主 要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防 火墻能夠較為有效地防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò) 的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄

8、和報(bào)告功 能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可 能存在安全問題，也可能會(huì)是一個(gè)潛在的瓶頸。 八、目前主流安全產(chǎn)品 八、目前主流安全產(chǎn)品 安全路由器：由于 WAN連接需要專用的路由器設(shè)備，因 而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技 術(shù)來控制網(wǎng)絡(luò)信息流。 虛擬專用網(wǎng) (VPN)：虛擬專用網(wǎng)（ VPN）是在公共數(shù)據(jù)網(wǎng) 絡(luò)上，通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)，實(shí)現(xiàn)兩個(gè)或 多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)。 VPN的構(gòu)筑通常都要求采用具 有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的 可信傳遞。 安全服務(wù)器：安全服務(wù)器主要針對一個(gè)局域網(wǎng)內(nèi)部信息存 儲(chǔ)、傳輸?shù)陌踩Ｃ軉栴}，其

9、實(shí)現(xiàn)功能包括對局域網(wǎng)資源的 管理和控制，對局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安 全相關(guān)事件的審計(jì)和跟蹤。 電子簽證機(jī)構(gòu) -CA和 PKI產(chǎn)品：電子簽證機(jī)構(gòu)（ CA）作 為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。 CA 可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗(yàn)證和密 鑰管理等功能。 PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)， 將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件。 用戶認(rèn)證產(chǎn)品：由于 IC卡技術(shù)的日益成熟和完善， IC卡被 更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來存儲(chǔ)用戶的個(gè)人私鑰， 并與其它技術(shù)如動(dòng)態(tài)口令相結(jié)合，對用戶身份進(jìn)行有效的識(shí) 別。同時(shí)，還可利用 IC卡上的個(gè)人私鑰與數(shù)字簽名

10、技術(shù)結(jié)合， 實(shí)現(xiàn)數(shù)字簽名機(jī)制。隨著模式識(shí)別技術(shù)的發(fā)展，諸如指紋、 視網(wǎng)膜、臉部特征等高級(jí)的身份識(shí)別技術(shù)也將投入應(yīng)用，并 與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，必將使得對于用戶身份的認(rèn)證 和識(shí)別更趨完善。 八、目前主流安全產(chǎn)品 八、目前主流安全產(chǎn)品 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同 的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全 管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安 全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。 入侵檢測系統(tǒng)（ IDS）：入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制 （比如訪問控制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系 統(tǒng)中不可或缺的反饋鏈。 入侵防御系統(tǒng)（ I

11、PS）：入侵防御，入侵防御系統(tǒng)作為 IDS很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計(jì) 算機(jī)網(wǎng)絡(luò)硬件。 安全數(shù)據(jù)庫：由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有 些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫可 以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì) 性及存取控制與用戶身份識(shí)別等。 安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運(yùn)行平臺(tái)， 構(gòu)成安全 WWW服務(wù)，安全 FTP服務(wù)，安全 SMTP服務(wù)等， 并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅(jiān)實(shí)底座，確保這些安全產(chǎn)品的 自身安全。 DG圖文檔加密 :能夠智能識(shí)別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)， 并自動(dòng)強(qiáng)制對所有涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參 與。體

12、現(xiàn)了安全面前人人平等。從根源解決信息泄密 八、目前主流安全產(chǎn)品 九、信息安全服務(wù) （一）信息安全培訓(xùn) 信息安全教育和培訓(xùn)是本網(wǎng)站的首要目的，所以我們將毫無 保留地提供信息系統(tǒng)安全管理和技術(shù)方面的信息，其中包括 具體的操作方法和步驟。我們希望信息系統(tǒng)用戶通過本網(wǎng)站 了解信息系統(tǒng)的安全知識(shí)，并且能夠自主地將這些安全知識(shí) 應(yīng)用到信息系統(tǒng)中去，采取具有成本效益的安全解決方案以 全面和有效地提高信息系統(tǒng)的整體安全防護(hù)水平。 （二）系統(tǒng)缺陷評估 使用自動(dòng)化缺陷掃描工具對目標(biāo)信息技術(shù)系統(tǒng)進(jìn)行掃描以發(fā) 現(xiàn)目標(biāo)系統(tǒng)中所存在的技術(shù)缺陷和設(shè)置錯(cuò)誤。結(jié)合目標(biāo)信息 技術(shù)系統(tǒng)的應(yīng)用需求和安全需求對缺陷掃描的結(jié)果進(jìn)行分析，

13、 得出目標(biāo)系統(tǒng)缺陷評估結(jié)論和目標(biāo)系統(tǒng)加固建議報(bào)告書。 （三）系統(tǒng)加固建議 根據(jù)目標(biāo)系統(tǒng)缺陷評估結(jié)論和目標(biāo)系統(tǒng)加固建議報(bào)告書的要 求，制定各種需要加固的子系統(tǒng)的加固說明和詳細(xì)的加固規(guī) 程。 九、信息安全服務(wù) （四）安全方案建議 根據(jù)目標(biāo)信息技術(shù)系統(tǒng)的應(yīng)用需求和安全需求，結(jié) 合目標(biāo)用戶的具體要求、行業(yè)特點(diǎn)和市場當(dāng)前所具 備的產(chǎn)品等情況提出目標(biāo)系統(tǒng)的技術(shù)解決方案。 （五）安全技術(shù)支持 根據(jù)目標(biāo)用戶的要求，對目標(biāo)信息技術(shù)系統(tǒng)的加固、 安全方案的部署、安全設(shè)備的配置、管理以及安全 事件的分析處理提供遠(yuǎn)程或現(xiàn)場技術(shù)支持和操作 九、信息安全服務(wù) （六）安全風(fēng)險(xiǎn)提醒 在目標(biāo)信息技術(shù)系統(tǒng)被可靠加固的基礎(chǔ)上，根據(jù)

14、其應(yīng)用需求 和安全需求，在目標(biāo)系統(tǒng)中所應(yīng)用的技術(shù)被發(fā)現(xiàn)存在新的缺 陷或者出現(xiàn)了新的必要的更新時(shí)，對目標(biāo)用戶進(jìn)行主動(dòng)提醒 并為目標(biāo)用戶提供具體的修改或更新建議和詳細(xì)的操作規(guī)程。 在目標(biāo)信息技術(shù)系統(tǒng)的應(yīng)用需求和安全需求發(fā)生變化時(shí)，響 應(yīng)目標(biāo)用戶的要求對這些變化進(jìn)行評估并為目標(biāo)用戶提供具 體的建議和詳細(xì)的操作規(guī)程。 九、信息安全服務(wù) 十、 2009年信息安全八大預(yù)測 （一）惡意軟件即服務(wù) 2008年剛被賽門鐵克收購的 MessageLabs， 近日做出了關(guān)于惡意軟件發(fā)展趨勢的預(yù)測， MessageLabs認(rèn)為，“ 2009年惡意軟件將作為一 項(xiàng)服務(wù)出現(xiàn)?！?回顧 2008，惡意軟件及其大量變種一直在

15、與 各種反惡意軟件解決方案進(jìn)行殊死較量。我們注意 到一些黑客組織在 2009年中將把病毒木馬等惡意軟 件的制作商業(yè)化，通過讓需求者定購個(gè)性化的惡意 軟件并自動(dòng)發(fā)送，來保證惡意軟件數(shù)量和變種的要 求，實(shí)現(xiàn) MAAS(malware as a service，惡意軟件 即服務(wù) )。 十、 2009年信息安全八大預(yù)測 SAAS(軟件即服務(wù) )的理念已經(jīng)被惡意軟件傳播 者如此快速的借用。但要想實(shí)現(xiàn)惡意軟件的商業(yè)化 運(yùn)作也并非易事，畢竟傳播惡意軟件是不被法律所 容許的。 十、 2009年信息安全八大預(yù)測 （二） UTM大勢所趨 作為一家率先實(shí)現(xiàn)萬兆 UTM的廠商 Fortinet預(yù)測，“由 于受金融海嘯

16、的影響，企業(yè) IT預(yù)算緊縮將給各種威脅攻以可 趁之機(jī)，從而不可避免地提升市場對 UTM(Unified Threat Management，統(tǒng)一威脅管理 )設(shè)備的需求?！?十、 2009年信息安全八大預(yù)測 UTM作為企業(yè)解決一體化邊界安全防護(hù)、降低 運(yùn)維成本的希望，一直由于其性能瓶頸飽受爭議。 2008年隨著多核技術(shù)的成熟， UTM有望真正實(shí)現(xiàn)統(tǒng) 一安全管理。 IT專家網(wǎng)認(rèn)為受到金融危機(jī)的影響， 在今后一兩年中，節(jié)省開支將成為公司選購產(chǎn)品或 者開發(fā)產(chǎn)品的前提，因此 2009年 UTM將受到越來越 多的企業(yè)用戶關(guān)注。當(dāng)然，國外的 UTM是否是最省 錢的解決方案，筆者并不好直接回答，可以肯定的 是

17、 2009年國內(nèi)信息安全市場將會(huì)更多的看到天融信、 啟明星辰、聯(lián)想網(wǎng)御等國產(chǎn)品牌的身影。 十、 2009年信息安全八大預(yù)測 （三）信譽(yù)危機(jī) 另外，不斷增長的“信譽(yù)危機(jī)”，不得不讓企業(yè) 在 2009年繃緊神經(jīng)，特別是當(dāng) DNS的漏洞攻擊問題迅 猛增加的今天。 2008年， DNS漏洞已經(jīng)引起業(yè)內(nèi)的廣 泛關(guān)注這，一些惡意軟件 (如 DNS Changer等 )能夠?qū)?惡意 DNS服務(wù)器替代為合法的 DNS服務(wù)器向用戶提供 服務(wù)，當(dāng)用戶輸入合法網(wǎng)址時(shí)就會(huì)被鏈接到惡意網(wǎng)站。 IT專家網(wǎng)不得不警告您， 2009年很可能成為 DNS漏洞 滿天飛的一年。 十、 2009年信息安全八大預(yù)測 （四）漏洞帶來的定

18、向攻擊將會(huì)增加 ScanSafe預(yù)測，有針對性的專業(yè)攻擊將會(huì)增加，這個(gè) 預(yù)測也是很有意義的。 2008年中出現(xiàn)了大量的安全漏洞，筆 者曾經(jīng)在 08年安全市場回顧中提到過，隨著漏洞挖掘技術(shù)及 漏洞提交機(jī)制的完善，將會(huì)有更多的安全漏洞將會(huì)公布于眾。 更為嚴(yán)重的是，網(wǎng)絡(luò)攻擊技術(shù)的門檻不斷降低，這種針對特 殊漏洞的攻擊行為幾乎每時(shí)每刻都會(huì)發(fā)生，再加上經(jīng)濟(jì)利益 的影響，所以針對漏洞的攻擊防不勝防。 十、 2009年信息安全八大預(yù)測 （五） CAPTCHA帶來的郵件隱患 2008年 2月，黑客首次成功破解了郵件驗(yàn)證碼系統(tǒng) CAPTCHA，一眼之間基于 Web證明的垃圾郵件威脅劇增。 事實(shí)證明 CAPTCH

19、A還不足以保護(hù)帳戶申請過程，雖然 CAPTCHA攻擊所波及面積還不是很大大，但 2009年必將越 演越烈，攻擊者的速度總是快于防御系統(tǒng)。不過，對于大家 對于這個(gè)預(yù)測卻持不同意見，有人預(yù)測改進(jìn)后的 CAPTCHA 將讓攻擊者無計(jì)可施。 CAPTCHA最總將何去何從，我們將 拭目以待。 十、 2009年信息安全八大預(yù)測 （六）針對基礎(chǔ)設(shè)施的攻擊行為將增加 Secure Computing最新的調(diào)查顯示，能源等行 業(yè)關(guān)鍵基礎(chǔ)設(shè)施易受網(wǎng)絡(luò)攻擊。專家指出，除了金 融服務(wù)業(yè)外，大多數(shù)行業(yè)對于網(wǎng)絡(luò)攻擊幾乎毫無準(zhǔn) 備，包括：水利、電力、石油天然氣行業(yè)、電信、 運(yùn)輸、服務(wù)業(yè)、化工和物流業(yè)?；A(chǔ)設(shè)施的網(wǎng)絡(luò)安 全防

20、護(hù)將成為 2009年，行業(yè)用戶關(guān)注的焦點(diǎn)。 十、 2009年信息安全八大預(yù)測 （七）網(wǎng)絡(luò)戰(zhàn)爭將越演越烈 這聽起來仿佛和企業(yè)安全關(guān)系甚微，然而網(wǎng)絡(luò)戰(zhàn)爭的目 的即是破壞或干擾敵對國家網(wǎng)絡(luò)通信、截取關(guān)鍵信息、擾亂 對方網(wǎng)絡(luò)正常秩序，其危害是巨大的，對于企業(yè)而言也是毀 滅性的。 2008年，我們已經(jīng)看到到俄羅斯對愛沙尼亞和格魯 吉亞發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)爭而造成的影響。所謂“防人之心不可無”， 對于政府以及敏感行業(yè)而言，加強(qiáng)網(wǎng)絡(luò)防護(hù)能力是十分必要 的。 十、 2009年信息安全八大預(yù)測 （八） SQL注入、 XSS攻擊仍將威脅 Web安全 對于 web安全， IT專家網(wǎng)認(rèn)為將會(huì) 2009Web安全仍將是 最為嚴(yán)重的威脅之一。究其原因，首先 SQL注入攻擊使得攻 擊者可以在網(wǎng)站上注入各種惡意內(nèi)容，而針對 SQL注入的防 御卻相對較難 ;其次跨站腳本攻擊 (XSS)對 Web安全的威脅將 會(huì)繼續(xù)加大。 2009年跨站腳本攻擊和 SQL注入攻擊將會(huì)變 得更加普遍，并且很難從網(wǎng)站代碼中消除。