我们又该如何应对

　　随着多形态攻击的数量越来越多，传统防护手段的安全效果也越来越差，总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。更为严峻的是，传统的仅针对终端设备的防病毒解决方案并不能应对当前变化多端的Web威胁。

　　作为个人用户来说，应该本身对网络安全防范的加深和正确认识，不断提高自身的计算机及网络应用技术水平加固计算机的安全，以及努力克服自己的好奇心，消除贪图小便宜的心理，规范自己的网络操作行为，来缓解决web应用安全问题日趋严重的趋势。

　　对于企业用户，针对Web应用的安全产品，可以分为网络、Web服务器自身以及程序安全三方面。在网络方面，可以考虑将防火墙、IDS/IPS、安全网关、防病毒墙等产品部署在Web服务器前面，这样可以防御大部分的攻击。此外，可以通过部署更安全的Web服务器、Web服务器自身的保护系统，比如网页防篡改保护系统(防篡改保护和恢复软件)、恶意主动防御系统、访问控制系统、审计系统等产品，做到自动扫描和监控，从而保护系统和文件。目前已经出现了程序安全的研究方向，我们也希望能够早日看到相关产品。

　　最后我们要做到“两手抓、两手都要硬”，用一句形象的比喻来说明：防火墙/入侵检测系统如同金钟罩铁布衫等外功，防止明枪;而更重要的是需要修炼太极等内功，弥补自身的漏洞，躲避暗箭，内外兼修的效果将使您的企业纵横江湖。