WEB业务的安全现状
    所谓Web业务，是指由企业发布的完成其特别商务需求的在线应用服务，其它公司或应用软件能够通过Internet来访问并使用这项应用服务。WEB业务采用基本的Internet协议“松”连接网络上的服务节点，并将业务“过程”定义在WEB应用程序中，利用标准的存取协议（XML）为客户端节点提供服务。
    Web业务主要解决基于分布在网络上不同服务器或终端之间的业务集成，是面对海量的外部信息资源和应用资源，提供一种中间的服务，使得所有用户可以得到方便的信息共享和应用共享。WEB业务平台已经在电子商务、企业信息化中得到广泛的应用，很多企业都将应用架设在WEB平台上，为客户提供更为方便、快捷的服务支持。企业为了得到用户的支持，这些年都在不断的完善和提高WEB业务平台的功能和性能，然而在非常重要的安全性上，却没有得到足够的重视。而黑客们却将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 业务本身的安全，给黑客以可乘之机。
    企业为了保障其信息系统，通常会使用不同的技术来确保安全性。这些技术包括：访问控制技术、防病毒技术、加密技术等等，但是即便有防病毒保护、防火墙和VPN，企业仍然不得不允许一部分的通讯经过防火墙，毕竟 Web 业务的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是 Web 应用必须的 80 和 443 端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。这里需要注意的是，Web 应用是由软件构成的，那么，它一定会包含缺陷(bugs)，这些 bug 就可以被恶意的用户利用，他们通过执行各种恶意的操作，或者偷窃、或者操控、或者破坏 Web 应用数据、甚至利用WEB系统作为攻击跳板，破坏企业的整个信息系统。
    WEB业务平台的不安全性主要是由WEB平台的特点－即开放性所致，企业需要利用WEB业务平台为用户提供服务就必须接受这个特点。也就是说只要访问可以顺利通过企业的防火墙，Web 业务就毫无保留的呈现在用户面前，因此，只有加强 Web 业务服务器自身的安全，才是真正的 Web 业务安全解决之道。
根据世界上最知名的Web安全与数据库安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。
 
首先从SQL注入攻击来看：
    其攻击原理是利用程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，导致入侵者可以通过恶意SQL命令的执行，获得数据读取和修改的权限。攻击者成功进行SQL注入后，会拥有整个系统的最高权限，可以修改页面、数据，在网页中添加恶意代码，危害极大。
SQL注入攻击具有如下特点:
    变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。
    攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。
    危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至。
    不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。
 
    跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果极其严重，影响面也十分之广，我们可以列举出一部分如下：
1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
8、……
    跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统基于攻击特征匹配的方法收效甚微。
    鉴于上述对Web业务系统常见攻击的分析，对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷提出了识别和防御的措施和技术方案，力求为Web业务系统提供深层的安全防御。
启明星辰天清入侵防御系统web防御方案
    启明星辰天清入侵防御产品，采用了融合基于原理和基于特征的柔性化检测机制来解决web攻击的防御问题，独创出基于攻击手法的VXID专利检测算法，为各种WEB攻击方法建立具备行为共性的检测模型。使用轻型虚拟机预分析技术，对提交的URL、Cookie、Post Form、脚本代码等进行进一步分析，判断这些提交信息中是否含有WEB攻击的企图。
    VXID算法是一种将规则分析（建立虚拟机检测规则的过程）和异常分析（符合WEB攻击模型的，就是WEB攻击）相结合的技术。其核心内容是首先收集、分析各种可能的WEB攻击方法（包括SQL注入特征和XSS攻击特征），并提取出相应的有针对性的攻击机理。为这些攻击方法建立相应的检测模型，所有的的这些检测虚拟机模型，就叫做VXID算法误用检测模型。根据这些虚拟机检测来自URL\COOKIE\ POST-Form中的各参数域值是否符合SQL注入模型，检测提交的脚本代码是否符合XSS攻击模型，如果符合则表示发生了WEB攻击。

   描述的就是天清入侵防御系统WEB攻击检测流程图。可以看到，VXID算法避免了传统产业界基于单纯模式匹配方法的大量漏报：攻击者的编码转换和关键字跨域都将无法躲避检测；也不会由于用户输入中包含关键字而产生误报。
    和基于异常检测技术的产业界做法相比，VXID算法避免了由于采样学习数据不够“清洁”导致的漏报，而且作为内置信息算法，也避免需要重新学习才能适应网络环境的变更。
    和学术界的解决方案比，采用入侵防御产品的解决方法简便易行：无需更改网络拓扑环境和设备配置信息，也不需要对web发布系统进行代码级的修改。
其典型部署方式如下：
将入侵防御产品硬件串行接入在需要保护的WEB业务系统之前即可。
天清入侵防御产品的web业务安全解决方案有如下特点：
A：和学术界的解决方案相比，天清入侵防御系统将检测和防御功能都固化在硬件产品中，用户仅需要简单部署产品就可以全面防御SQL注入、XSS攻击等web攻击行为，不需要在业务系统的代码上做任何修改。
B：和传统的产业界解决方案相比，天清入侵防御系统报警准确率高，避免了仅采用单纯的特征匹配方法的大量漏报和误报。不会因为将关键字定义得过于严格而出现误报，也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。
有了这两个特点，我们可以看到，使用天清入侵防御产品解决web安全问题，是一种既便捷又有效的方法。