这些年除了企业信息化过程中投入很多资金和精力做防火墙等等这样一些反恐的防护设备。最近几年企业对信息安全非常重视，做了很多信息安全的工作，但是到现在信息安全的问题还有很多没有问题。网站的核心问题是网站自身的漏洞，网站漏洞它实际上是一种可持续的，它的根源在于它的前世，它的前世就是在网站编制过程中的源代码。所以当前企业应该把信息安全不仅仅关注于基础运营之后事后的检测，更应该关注企业在网站开发或者网站交付的节点做质量安全把关。如果从源代码深层次把关的话，一方面可以查到根源问题，第二可以在网站开发生命周期的越早期发现问题。当然网站中的源代码中可能会发现一些新的其他网站或者其他方式的产品。

这里有一张图，同样说明一个问题，就是企业在网站整个需求设计过程中，缺陷管理成本与网站生命周期有关系，越往后企业的损失会越大。当然企业从源代码层次来找网站缺陷，这里面有一些理论说明可以有效找到代码的缺陷。比如说美国国防安全部和开源合作做了一些项目，美国这边有一个SAMATE的项目也说明这个行业在高速发展过程中。

谁来为企业的安全把关？这个网站是由谁来开发的？当前业界有一个OEM的问题，企业并不是说OEM不好，关键是OEM过程中本身有没有关注网站的把关。企业来看一下美国的一组统计数据，这个统计数据都是一些包括恶意代码等等，这个比例是比较高的，这个说明什么问题？这个不是普通网站的因为缺陷所带来的漏洞，这个带有人为的恶意的行为，往往这种危害比企业前面谈到网站本身质量的问题大得多。

那么如何解决网站安全的保障？第一个是要考虑来源安全，就是这个网站是不是作为研发。第二个是质量安全，企业在开发过程中和设计过程中，通过一些标准流程，通过一些安全开发的工具，去保证企业的网站质量比较高，避免一些不必要的漏洞。第三个是行为安全，人为设置的安全漏洞，如逻辑炸弹、隐藏管理接口等。除了这三个方面企业需要让用户得到安全信心以外，所有这些观点必须贯彻到信息系统的建设中。

前面说到了国外公司对自身网站安全把关上存在很多不足，国内网站企业相对来说在网站安全的把关上所做的投入也是不够的。所以第三方的在网站使用之前，或者在信息系统交付之前，对网站有一定的把关尤为重要。企业可以看一下这张图，实际上企业通常所关注的是安全机制和安全性能，企业根据一定规则一些预期的行为。实际上对漏洞的检测是一些对预期的行为，因此企业应该把传统的工作深入到深入的漏洞分析。回顾到前面所谈到的，包括源代码本身的安全，包括是不是自己开发的，包括在开发过程中的一些培训，包括开发过程的一个安全的监督等等，这些工作显得尤为重要。这个案例是某网站源代码里面有很多安全缺陷，比如企业日常生活中用的证券客户端，比如OEM的产品也存在一些历史漏洞。

总结一下，也就是说企业的安全实际上是开发方、用户方以及第三方检测机构和相关单位共同努力，把企业的安全从被动的事后防护推向到主动的先天的防范。