中国的互联网发展已进入了第二个十年，随着互联网的基础设施的建设，人们观念意识的变革，互联网越来越成为人们生活中不可分割的一部分。基于互联网的Web应用如火如荼，迅速发展，各类网站网站建设数量也呈井喷式增长，随之而来的，是日益突出的安全问题。建站专家不断被发现的漏洞，黑客的恶意攻击，在网络上疯狂爬行的蠕虫，迅速扩散的病毒，盗取虚拟财物的木马，所有这一切都令人惶惶不可终日。人们一方面享受着 Web带来的好处，另一方面却要忍受着不可预料的安全威胁。本课题就是针对这种尴尬的现状，全面地介绍和分析Web服务和应用中存在的各种漏洞和所面临的各种威胁，探讨Web安全问题的对策。  
    目前和相当一段时间内，国内外关于Web安全的建站研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。安全协议的制定方面，已经提出了大量实用的安全协议，具有代表性的有：电子商务协议SET，IPSec协议，SSL/TLS协议，简单网络管理协议SNMP， PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。这些协议的安全性分析特别是电子商务协议，IPSec协议，TLS协议是当前协议研究中的热点。系统平台的安全方面主要研究安全操作系统、安全数据库等，建站软件以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置；还有就是针对黑客常用的攻击手段制定安全策略。网站程序的安全编程方面，主要研究规范化编程以及现有编程语言（ASP,ASP.NET,PHP,CGI,JSP等）的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面，目前在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有主要的发展方向和产品种类上，开源建站都包含了密码技术的应用，并且是非常基础性的应用。 Web服务器的安全控制方面，主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置，如Apache的访问控制机制、安全模块，IIS的安全锁定等。  
    本文根据对Web安全概念做出的定义，分系统安全、程序安全、数据安全和通信安全对Web安全问题所涉及的四个主要方面分章节做出相应的论述。系统安全方面，介绍和分析两大类操作系统类UNIX和Windows,并对Apache和IIS平台的安全设置进行了一定分析。程序安全方面，主要介绍了ASP和PHP这两种个人常有的编程语言，并对企业级开发语言ASP.Net和JSP做了粗略的介绍。通信安全方面，建站工程师通过对客户端脚本ActiveX和JavaScript，以及Cookies的研究，大致地对Web客户端安全做出了分析。数据安全方面，一是论述了常见数据库的安全，二是介绍了时下最新的数据安全威胁——盗链和采集，并给出了相应的解决办法。