关于web软件信息安全问题防护资料的整理 （一）

　　之前意识到了安全问题的重要性，于是就在网上找了一下安全问题的解决办法（主要是web应用以及政府网站方面的），问了一下同学的公司是怎么保证安全的，跟我说用的是shiro安全机制这个貌似好多公司都在用，网上也有很多教程。

1.绿盟 http://www.nsfocus.com.cn/index.html

这个中国第一个网络公司虽然不是什么世界500强，但是它的官网有个其他网络安全公司网站都没有的优点，就是有很多关于技术方面的论文和报告。

1.确保网络安全要有整体的方案，先看看绿盟的安全体系整改方案。

可见很完整的一个安全体系 。

2.

3这个对政府网站的防护非常严格的

1. DDoS防御：在Internet出口处部署一台抗DDOS攻击防护系统，用于防护来自外网的拒绝服务攻击；
2. 网络访问控制：利用防火墙进行访问控制，防止不必要的服务请求进入网站系统，减少被攻击的可能性；
3. 系统安全加固：找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞，进行加固，以保障系统的安全性；
4. 应用层防护：在网站服务器前部署一台Web应用防护系统，通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、CSRF、cookie篡改以及应用层DDoS等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障门户网站的高可用性和可靠性。
5. 网页防篡改：在Web服务器系统上部署网页防篡改系统，针对Web应用网页和文件进行防护。
6. 网站安全监测：通过专业化的托管式服务来实时监测和周期度量网站的风险隐患，评估网站的安全状态，衡量改进情况。为政府用户提供基于网站访问行为、基于安全事件事前、事中、事后的7×24小时安全运营解决方案。