企業(yè)信息安全經(jīng)過這么多年的發(fā)展，我們可以發(fā)現(xiàn)不同時(shí)代黑客的攻擊方式是不一樣的：

從最初的猜密碼，暴力破解密碼，e-mail炸彈，到基于DNS、基于TCP-IP協(xié)議的攻擊等，到后來的木馬、蠕蟲、最近幾年大家所熟知的SQL 注入，跨站等基于應(yīng)用軟件的攻擊等。

我們還可以看出，黑客攻擊方式有一個(gè)很重要的變化，那就是逐漸地從攻擊網(wǎng)絡(luò)，攻擊主機(jī)到攻擊應(yīng)用軟件，攻擊客戶端。

再來看看我們的安全防御體系。我們的企業(yè)中正在使用的是什么?我們可以看到，企業(yè)的安全防護(hù)體系主要就是在網(wǎng)絡(luò)上、主機(jī)上進(jìn)行“加層”。加防火墻，加IPS，IDS，等等，這種安全防護(hù)體系是完全集中在網(wǎng)絡(luò)和邊界上，在以前很有用，但現(xiàn)在，這種安全防護(hù)體系是很不完整的，不能夠完全防止黑客攻擊。

因?yàn)楝F(xiàn)在的企業(yè)軟件應(yīng)用的架構(gòu)，已經(jīng)打破了我們這些保護(hù)層。現(xiàn)在的應(yīng)用系統(tǒng)一般都是B/S架構(gòu)。

這種新的應(yīng)用軟件架構(gòu)一方面給我們的業(yè)務(wù)和使用帶來了方便，工作/交流/溝通變得十分高效的同時(shí)。另一方面，這種架構(gòu)也給我們的應(yīng)用安全帶來隱患。

用戶可直接通過互聯(lián)網(wǎng)進(jìn)行訪問和使用。我們的傳統(tǒng)的，基于網(wǎng)絡(luò)的防護(hù)層被打破。HTTP 80、HTTPS 443端口是不可以封閉的。那是用戶使用的端口。

而那些黑客或者說攻擊者，就是來自應(yīng)用系統(tǒng)的用戶，他們利用這些打開的端口，對這些應(yīng)用系統(tǒng)，輸入非法的攻擊數(shù)據(jù)，對系統(tǒng)進(jìn)行攻擊。如果應(yīng)用系統(tǒng)不夠健壯不夠安全，這些數(shù)據(jù)進(jìn)入系統(tǒng)，建立聯(lián)接，而且達(dá)到對私密信息，如數(shù)據(jù)庫的入侵，偷取，破壞等目的。

攻擊者經(jīng)常利用的手段或者說是應(yīng)用系統(tǒng)漏洞就是SQL 注入，緩沖區(qū)溢出，系統(tǒng)信息泄露，等等。

而他們的成功率高嗎?這里IDC的統(tǒng)計(jì)數(shù)據(jù)說：至少75%的企業(yè)被成功地攻擊過。而據(jù)CERT報(bào)告：受攻擊的企業(yè)中55%攻擊來自內(nèi)部人員。

當(dāng)然，漏洞不止這幾種，黑客可利用的漏洞還有很多。

總結(jié)一下，我們剛才講過一方面黑客的攻擊已經(jīng)轉(zhuǎn)到應(yīng)用軟件上來了，而軟件本身的漏洞又不斷增長，另一方面，我們的防御方式還是基于網(wǎng)絡(luò)的防御，很不完整不能滿足現(xiàn)在的安全需求。據(jù)NIST統(tǒng)計(jì)，92%的漏洞是來自應(yīng)用系統(tǒng)，而不是網(wǎng)絡(luò)。

那軟件安全漏洞產(chǎn)生的根源是什么呢? 我們總結(jié)：如今的黑客攻擊主要利用軟件本身的安全漏洞，這些漏洞是由不良的軟件架構(gòu)和不安全的編碼產(chǎn)生的。