作网络建设、改造的关键环节。
国内相关行业网站的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，政府网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。
随着网络规模的急剧膨胀，网络用户的快速增长，网站在各行业的信息化建设中已经在扮演至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题；因此，解决网络安全问题刻不容缓。
当前企业、金融证券和政府业务系统大都居于BS架构，使用Web应用来运行核心业务，然而，Web应用安全威胁已成为当前信息安全的主要威胁，从以下数据可以看出，80以上的信息安全威胁来自于Web应用：
f中国铁建Web应用安全解决方案
图11信息安全事件分布图12Web漏洞发展趋势
f中国铁建Web应用安全解决方案
图13最新十大安全威胁从以上数据可以看出，随着Web应用的极速发展及大量使用，Web应用漏洞在急剧增加，Web安全威胁已成为当前信息安全的主要威胁。因此，在平台业务建设的同时，必须加强Web应用安全建设，通过全面有效的Web安全防护，保障业务系统正常稳定运行。基于以上数据信息可以看出，中国铁建的对外网站直接暴露在互联网，存在极大的安全威胁，需要对Web网站做必要的安全防护。
f中国铁建Web应用安全解决方案
二中国铁建Web应用安全风险分析
21应用层安全风险分析
Web应用系统主要存在以下安全风险：用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；由于移动网络对外提供网上WWW服务，因此存在外网非法用户对内部网和服务器的攻击。
211身份认证漏洞
服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。
对移动系统的网上移动服务平台，必须加强用户的身份认证，防止对移动网络资源的非授权访问以及r