众所周知，Web 2.0是注重用户交互的一种新兴互联网模式。这种模式强调了，用户不仅仅是信息的浏览者，也是信息的制造者。

　　随着Web 2.0概念的不断深入，互联网发生了翻天覆地的变化，交互式业务随之也成为互联网应用的主流，而作为最典型的互联网应用的网站，当仁不让的站在了Web 2.0大潮的浪尖上。但与之前有所不同的是，现在我们所见到的网站，大部分都已经脱离了最初仅仅作为简单信息发布的载体，而是越来越多地承载了很多的业务和应用。

　　伴随着众多业务和应用的增加，网站变得越来越“有用”。但是，俗话说，方便与安全是一对天生的矛盾体：人们在享受着便捷互联网服务的同时，也在面临着复杂的信息系统所带来的更多安全风险和隐患。我们不难发现，在Web 1.0年代，所谓的“网站被黑”，大多是其页面被修改，如首页被篡改、页面被增加等;而到了Web 2.0年代，诸如网站页面被挂马、跨站脚本植入、注入式攻击等各式各样的攻击行为更是层出不穷。

　　那么，如何在保证业务和应用纷繁复杂的同时，还能继续保持信息系统的安全性，也就是达到效率和安全之间的平衡?这恐怕是所有网站都必须要关注的问题。

　　网站安全“三防”

　　大部分的网站在设计之初，更多考虑的是如何满足用户的应用，如何实现业务，很少甚至没有考虑网站的安全性。而与之相对应的是，网上的黑客工具、黑客教程多如牛毛。这使得那些脚本小子们攻击网站并不会比考驾照更困难。更加不幸的是，网站的管理者们往往并没有采用什么有效的手段来对付这些“自学成才”的“安全爱好者”，用来保护网站的仅仅是最普通不过的防火墙，或者更彻底：什么都没有。此外，和现实社会中不同的是，网络中的盗窃和抢劫，受害者往往并不知情：页面上被挂上木马长达数月而不自知的大有人在。

　　下面，我们不妨用著名的CIA三要素：Confidentiality(保密性)，Integrity(完整性)，和 Availability(可用性)，来阐述一下作为互联网经典应用载体的网站，需要从哪些方面着手安全防护的建设工作。

　　CIA是信息安全的建设目标，相应的，网站安全防护也可以从这3个维度进行考虑。

　　1. 保密性：防止黑客随意获取内部的私密信息。相对应的网站安全防护措施，即防攻击;

　　2. 完整性：防止黑客在未授权情况下修改信息。相对应的网站安全防护措施，即防篡改;

　　3. 可用性：确保有权限者可随时正常获取信息。相对应的网站安全防护措施，即防病毒(木马)。

　　这便是网站安全“三防”的概念。