Web業務平臺已經在電子商務、企業信息化中得到廣泛的應用，很多企業都將應用架設在Web平臺上，并不斷完善和提高其功能和性能，為客戶提供更為方便、快捷的服務支持。因此，國內城市商業銀行業務系統多為Web應用業務。

Web業務的迅速發展引起了黑客們的強烈關注，他們將注意力從以往對傳統網絡服務器的攻擊逐步轉移到了對 Web 業務的攻擊上。但是，很多企業對此并沒有做好足夠的準備，也沒有給予足夠的重視。

根據 Gartner 的調查，信息安全攻擊有 75% 都是發生在 Web 應用層而非網絡層面上。同時，數據也顯示，2/3的 Web 站點都相當脆弱，易受攻擊。可以說，絕大多數企業將大量的投資花費在網絡和服務器的安全上，沒有從真正意義上保證 Web 業務本身的安全，才給了黑客可乘之機。根據世界上知名的Web安全與數據庫安全研究組織OWASP提供的報告，目前對Web業務系統威脅最嚴重的兩種攻擊方式是SQL注入攻擊和跨站腳本攻擊。

SQL注入攻擊。SQL注入的攻擊原理是利用程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，導致入侵者可以通過惡意SQL命令的執行，獲得數據讀取和修改的權限。攻擊者成功進行SQL注入后，會擁有整個系統的最高權限，可以修改頁面、數據，在網頁中添加惡意代碼，危害極大。

跨站腳本(XSS)攻擊。不同于SQL注入以Web服務器為目標的攻擊方式，跨站腳本攻擊則是將目標指向了Web業務系統所提供服務的客戶端?？缯灸_本攻擊是通過在網頁中加入惡意代碼，當訪問者瀏覽網頁時惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員瀏覽，從而獲得管理員權限，控制整個網站。

根據以往跨站腳本攻擊的安全事件及產生的后果來看，跨站腳本攻擊可導致的后果極其嚴重，影響面也十分之廣，列舉出一部分如下：盜取各類用戶賬號，如機器登錄賬號、用戶網銀賬號、各類管理員賬號?？刂破髽I數據，包括讀取、篡改、添加、刪除企業敏感數據的能力。盜竊企業重要的具有商業價值的資料。非法轉賬。網站掛馬。控制受害者機器向其他網站發起攻擊……

鑒于上述對Web業務系統常見攻擊的分析，對Web業務系統的保護已經刻不容緩。安全學術界和產業界的研究機構和各大廠商也紛紛提出了識別和防御的措施和技術方案，力求為Web業務系統提供深層的安全防御。

而對國內城市商業銀行的風險評估發現，城商行的Web應用服務器均具有SQL注入漏洞，被攻擊的可能性極大，威脅可能來自外部終端和內部終端。如何進一步加強信息安全保障建設，啟明星辰的安全專家給出了幾點建議。

安全域調整。劃分單獨的核心服務器區域，將原來統一部署在生產網核心交換機的應用服務器和數據庫服務器等割接至新增的核心服務器交換機，該交換機接入生產網核心交換機，將核心服務器區置于單個VLAN中，同時用VLAN將生產網和辦公網實現隔離。

內外網邏輯隔離。在生產網與互聯網之間部署UTM(統一威脅管理)設備，使其工作在透明模式，通過合理配置UTM的訪問控制策略可降低無法修補的設備漏洞所造成的威脅，并將使用存在漏洞服務的終端控制在一定的范圍內，對其訪問行為進行日志記錄。

核心服務器保護。銀行網絡中的核心服務器包含了最重要的業務系統以及數據資源，而針對服務器群的威脅主要是應用層威脅，具體來講主要是針對Web業務的應用威脅。目前針對Web系統破壞力最強的威脅就是SQL注入，因此徹底屏蔽SQL注入威脅至關重要。