什么是 Web 安全？

Web 安全是保护网络、服务器、用户、设备和 IT 系统免受基于互联网的网络攻击的学科。这其中包括恶意软件、网络钓鱼等攻击媒介，以及其他可能导致数据泄露和数据盗窃的攻击。Web 安全通常需要多层技术和防御措施，其中可能包括 Web 应用程序防火墙、 入侵防御系统 (IPS)、URL 过滤和防病毒/反恶意软件解决方案。Web 安全可能包括 Web 应用程序和 API 安全，以及旨在保护云环境的云安全解决方案。

Web 安全解决方案可以部署在本地或云端。与网络端点之间的 Web 流量会通过 Web 安全技术进行定向，该技术可监控和检查所有流量和请求，以搜寻潜在威胁。Web 安全解决方案通常涉及到各种工具，这些工具可提供多层防护，以防止恶意软件感染、数据丢失、凭据被盗和违反安全策略。经批准的流量可继续传输至目的地，而可疑流量则会被拦截、隔离或标记。

万维网让世界和市场变得高度互联。与此同时，它公开暴露更多的数据、应用程序和基础架构，从而造成了更广泛的攻击面。攻击者利用这些变化，通过攻击 Web 应用程序、API 和资源，找到了多种突破防御系统的方法。当此类网络犯罪畅通无阻时，黑客可轻易侵入 IT 生态系统实施资金窃取、数据外泄、帐户劫持，并以无数方式造成业务中断。Web 安全解决方案可保护企业及其数据和用户免受各种威胁的侵害，以及收入、生产力、声誉、客户和业务机会的损失。

在企业成功管理 Web 安全计划时，即可获得多项显著优势。

• 数据安全。Web 安全可阻止旨在访问和泄露敏感数据的网络钓鱼、恶意软件和偷渡式下载等攻击。Web 安全技术还有助于防止恶意和无意间的泄露，并保护安全凭据、财务记录、个人身份信息 (PII) 及其他敏感数据。
• 业务连续性。具有强大 Web 安全机制的企业可以更成功地避免网络攻击造成的停机和中断。
• 法规合规性。强大的 Web 安全计划可帮助企业满足各种监管框架的要求，包括 GDPR、HIPAA 和 PCI DSS。
• 远程员工支持。Web 安全解决方案对于确保远程员工和需要随时随地办公的员工安全访问至关重要。在连接到 Web 的任何设备上实施安全策略，能让员工无论身在何处，都能高效处理工作。
• 品牌声誉。组织一旦遭受网络攻击，将不可避免地损害其品牌声誉。反之，拥有强大安全保障的公司，则能为其品牌赢得更高的信任度，并提升客户黏性。
• 避免经济损失。Web 安全可以帮助企业避免因网络攻击得逞而造成的重大财务损失。这些费用包括抵御攻击和修复损害的成本，因不合规而产生的罚款，以及网络攻击造成中断而导致的生产力损失。

Web 安全面临的威胁分为几大类。其中许多安全威胁都出现在 OWASP 十大安全风险中，这份清单列出了最危险的威胁和漏洞。

• 恶意软件。网络犯罪分子通常会在用户的计算机上安装恶意软件，以实施各种恶意行动，例如窃取登录凭据、实施拒绝服务攻击或转移帐户中的资金。勒索软件是恶意软件的一种形式，它的危险程度极高，因为它会加密计算机和服务器上的文件，让网络犯罪分子能够向受害者索要赎金来交换解密密钥。
• 钓鱼攻击。在钓鱼攻击中，黑客使用虚假网站或其他形式的欺骗手段来诱骗受害者泄露密码或信用卡信息等敏感信息。
• 网页劫持。在网页劫持或浏览器劫持中，黑客会在用户不知情的情况下将其引向虚假网站，或导致浏览器执行不必要或恶意操作，例如记录按键或窃取信息。
• 高级持久威胁。这种类型的攻击使黑客能够在企业的 IT 环境中长时间潜藏，而不被检测到，从而收集数据、观察操作并破坏企业的安全和运营。
• 影子 IT。影子 IT 是指用户采用或下载的、任何未经 IT 部门批准的解决方案。用户往往依靠影子 IT 来解决问题、尝试新技术或提高效率。影子 IT 本质上不受安全控制措施的保护，因此可能会造成 Web 安全方面的漏洞，为攻击者敞开大门。
• 注入攻击。攻击者可能会利用网站或 Web 应用程序中的输入字段注入恶意代码，从而篡改软件，或者获取系统访问权限。在线表单中的 SQL 注入可能使黑客能够更改数据库中的数据和权限。
• 拒绝服务 (DoS)。拒绝服务和分布式拒绝服务 (DDoS) 攻击通过向服务器等 IT 资源发送大量恶意或虚假请求，导致其不堪重负，发生崩溃或运行缓慢。这会造成此类 IT 资源无法向合法用户和应用程序提供服务。
• 跨站点脚本攻击 (XSS)。这种攻击媒介利用的不能充分验证用户输入的网页，这可能会导致恶意代码反射回用户。XSS 攻击可用于执行各种恶意行动，例如窃取用户 Cookie 或以用户的名义执行各种操作。
• 密码泄露。攻击者经常利用窃取或泄露的密码获取网站用户帐户的访问权限，从而盗取资金和数据、劫持帐户或入侵 IT 环境。

安全团队可以部署各种 Web 安全解决方案来抵御以互联网为载体的攻击。

• 应用程序控制。安全管理员可以实施特定于应用程序的规则，以控制某些应用程序及其内部敏感数据的使用。
• 数据泄露防护 (DLP)。DLP 解决方案可帮助企业识别其最关键的数据资产，并定义安全策略来保护这些资产。DLP 技术还可以监控流量，以防止敏感数据因恶意或无意泄露而外泄到企业之外。
• 防病毒/反恶意软件软件。Web 安全解决方案可以检查传入和传出企业的所有 Web 流量，以搜索包含已知恶意软件和病毒相关代码的数据包，从而阻止病毒和恶意软件。
• URL 过滤。企业可以部署 URL 过滤，从而根据威胁情报源阻止用户访问可疑或已知恶意的网站。
• 安全 Web 网关 (SWG)。SWG 会监控流量并实施策略，以阻止不需要的流量并防止威胁进入 IT 环境。
• Web 应用程序防火墙 (WAF)。网络环境中的 WAF 可阻止恶意代码注入、阻止 DDoS 攻击并增强企业的安全态势。
• DNS 控制措施。DNS 控制措施（例如 DNS 防火墙）有助于发现和抵御利用域名系统发起的攻击，域名系统用于将人类可读的网站名称转换为机器可读的地址。
• 漏洞扫描程序。通过扫描应用程序中的已知漏洞，安全团队可以及时识别和缓解软件中的漏洞，避免被攻击者发现并利用。
• VPN。虚拟专用网络 (VPN) 可对远程设备与网络之间的流量进行加密，以确保数据安全并防止中间设备攻击。
• 安全意识培训。通过开展培训来帮助员工了解攻击者常用的技术手段，企业就能有效防范由人为失误引发的安全事件。
• 入侵检测和预防。入侵检测系统 (IDS) 和入侵防御系统 (IPS) 可以识别并阻止未经授权访问网络的可疑尝试。

安全团队经常采用这些做法来增强 Web 安全。

• 部署 HTTPS。超文本传输安全协议 (HTTPS) 通过加密数据来确保浏览器与 Web 服务器间的通信安全，防止通信在传输过程中被攻击者截获。
• 更新和补丁。定期更新软件和修补系统对于消除黑客在各种攻击中使用的漏洞至关重要。
• 强密码。鼓励用户使用强密码且不重复使用密码有，助于防止攻击者获得帐户和 IT 网络的访问权限。
• 多重身份验证 (MFA)。MFA 解决方案（https://www.akamai.com/zh/glossary/what-are-mfa-solutions 的链接）要求用户提供两种或多种形式的身份标识，之后才会授予用户 IT 资源访问权限。
• 经常备份。定期备份数据库、文件和网站配置数据，对于在遭受入侵或攻击后快速恢复运营至关重要。