企業信息安全經過這么多年的發展，我們可以發現不同時代黑客的攻擊方式是不一樣的：

從最初的猜密碼，暴力破解密碼，e-mail炸彈，到基于DNS、基于TCP-IP協議的攻擊等，到后來的木馬、蠕蟲、最近幾年大家所熟知的SQL 注入，跨站等基于應用軟件的攻擊等。

我們還可以看出，黑客攻擊方式有一個很重要的變化，那就是逐漸地從攻擊網絡，攻擊主機到攻擊應用軟件，攻擊客戶端。

再來看看我們的安全防御體系。我們的企業中正在使用的是什么?我們可以看到，企業的安全防護體系主要就是在網絡上、主機上進行“加層”。加防火墻，加IPS，IDS，等等，這種安全防護體系是完全集中在網絡和邊界上，在以前很有用，但現在，這種安全防護體系是很不完整的，不能夠完全防止黑客攻擊。

因為現在的企業軟件應用的架構，已經打破了我們這些保護層。現在的應用系統一般都是B/S架構。

這種新的應用軟件架構一方面給我們的業務和使用帶來了方便，工作/交流/溝通變得十分高效的同時。另一方面，這種架構也給我們的應用安全帶來隱患。

用戶可直接通過互聯網進行訪問和使用。我們的傳統的，基于網絡的防護層被打破。HTTP 80、HTTPS 443端口是不可以封閉的。那是用戶使用的端口。

而那些黑客或者說攻擊者，就是來自應用系統的用戶，他們利用這些打開的端口，對這些應用系統，輸入非法的攻擊數據，對系統進行攻擊。如果應用系統不夠健壯不夠安全，這些數據進入系統，建立聯接，而且達到對私密信息，如數據庫的入侵，偷取，破壞等目的。

攻擊者經常利用的手段或者說是應用系統漏洞就是SQL 注入，緩沖區溢出，系統信息泄露，等等。

而他們的成功率高嗎?這里IDC的統計數據說：至少75%的企業被成功地攻擊過。而據CERT報告：受攻擊的企業中55%攻擊來自內部人員。

當然，漏洞不止這幾種，黑客可利用的漏洞還有很多。

總結一下，我們剛才講過一方面黑客的攻擊已經轉到應用軟件上來了，而軟件本身的漏洞又不斷增長，另一方面，我們的防御方式還是基于網絡的防御，很不完整不能滿足現在的安全需求。據NIST統計，92%的漏洞是來自應用系統，而不是網絡。

那軟件安全漏洞產生的根源是什么呢? 我們總結：如今的黑客攻擊主要利用軟件本身的安全漏洞，這些漏洞是由不良的軟件架構和不安全的編碼產生的。