張 健， 陳未如， 關(guān) 慧

(沈陽化工大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院，遼寧沈陽110142)

隨著網(wǎng)絡(luò)應(yīng)用日益增多，網(wǎng)絡(luò)應(yīng)用程序越來越復(fù)雜、越來越開放，其安全性問題越來越顯現(xiàn).網(wǎng)絡(luò)應(yīng)用程序的開放性和允許對信息的公共訪問，使程序面臨多種威脅.有報告表明，在2008下半年網(wǎng)絡(luò)應(yīng)用程序的漏洞占互聯(lián)網(wǎng)漏洞的80%，在2010上半年又上升約8%［1］，網(wǎng)絡(luò)應(yīng)用程序的安全問題已成為一個重要的研究課題.

威脅分析是保障網(wǎng)絡(luò)應(yīng)用程序安全性的重要前提.但網(wǎng)絡(luò)應(yīng)用程序類型很多，綜合分析其所面臨的威脅較為復(fù)雜，有必要對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行類別劃分，以便進(jìn)行威脅分析和研究.葉升路等從程序漏洞角度分析指出，網(wǎng)絡(luò)應(yīng)用程序所面臨的安全威脅可來自運行環(huán)境、網(wǎng)絡(luò)傳輸過程和程序代碼3方面［2］;秦育華闡述了受威脅的主要資產(chǎn)是網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序［3］;張紅林等為研究網(wǎng)絡(luò)流量監(jiān)測技術(shù)，根據(jù)所對應(yīng)的服務(wù)類型和所使用的協(xié)議對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類［4］; Akhilesh Bajaj等提出使用頁面結(jié)構(gòu)、業(yè)務(wù)處理的位置、內(nèi)部事件的相關(guān)程度對萬維網(wǎng)應(yīng)用程序進(jìn)行分類［5］;胡勇提出的分類僅限于資源的分布研究，威脅源頭定義為人為因素或自然災(zāi)害2方面［6］.從以上內(nèi)容可得出，對網(wǎng)絡(luò)應(yīng)用程序威脅研究更多的是從應(yīng)用程序自身出發(fā)，而在分類基礎(chǔ)上研究網(wǎng)絡(luò)應(yīng)用程序面臨威脅的內(nèi)容較少.

本文從網(wǎng)絡(luò)應(yīng)用程序自身出發(fā)，研究其所面臨的威脅，在基于其使用范圍、目標(biāo)用戶、連接方式等3個屬性對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類的基礎(chǔ)上進(jìn)行研究.另外文中定義網(wǎng)絡(luò)應(yīng)用程序的主要資產(chǎn)為DFD中的數(shù)據(jù)流和數(shù)據(jù)存儲兩部分，從網(wǎng)絡(luò)應(yīng)用程序流程框架中分析這兩部分面臨的主要威脅.

1 網(wǎng)絡(luò)應(yīng)用程序分類

網(wǎng)絡(luò)應(yīng)用程序面臨的威脅錯綜復(fù)雜，威脅的存在與網(wǎng)絡(luò)應(yīng)用程序所處的環(huán)境息息相關(guān).以環(huán)境作為切入點對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行劃分，是對威脅進(jìn)行詳盡研究的一種有效途徑.盡管網(wǎng)絡(luò)應(yīng)用程序的體系結(jié)構(gòu)及支撐系統(tǒng)的復(fù)雜程度各有不同，但它們都是通過網(wǎng)絡(luò)向用戶開放，運行這些應(yīng)用程序所需的資源和技術(shù)可能相同，所以能夠找到一種劃分網(wǎng)絡(luò)應(yīng)用程序類型的方法，并以此為基礎(chǔ)研究網(wǎng)絡(luò)應(yīng)用程序的威脅.

根據(jù)不同的運行環(huán)境，基于使用范圍、目標(biāo)用戶和連接方式等3個屬性對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類.網(wǎng)絡(luò)應(yīng)用程序的使用范圍包括3類，即僅供企業(yè)內(nèi)部使用、內(nèi)部和外部混合使用和外部使用;目標(biāo)用戶分為已知用戶和匿名用戶2類;連接方式包括內(nèi)聯(lián)網(wǎng)、VPN和互聯(lián)網(wǎng).根據(jù)上述屬性劃分，考慮實際應(yīng)用情況，網(wǎng)絡(luò)應(yīng)用程序可 劃分成5種類型，如表1所示.

表1 網(wǎng)絡(luò)應(yīng)用程序分類Table 1 Classification of Web application

2 威脅研究

威脅是可能對資產(chǎn)或組織造成損害的意外事件的潛在原因［7］，所以威脅的主要對象是資產(chǎn).Microsoft已經(jīng)開發(fā)了一種對威脅研究的方法，將威脅分為:欺騙(S)、竄改(T)、否認(rèn)(R)、信息泄露(I)、拒絕服務(wù)(D)和特權(quán)升級(E)6類(STRIDE)，并依據(jù)數(shù)據(jù)流圖進(jìn)行威脅資產(chǎn)分析［8］.以數(shù)據(jù)流圖中的數(shù)據(jù)流和數(shù)據(jù)存儲2部分作為威脅的資產(chǎn)，研究不同類型網(wǎng)絡(luò)應(yīng)用程序所面臨的威脅.

為便于說明，把威脅表示為Ti(i=1.2…n)，網(wǎng)絡(luò)應(yīng)用程序的屬性表示符號分別為:

使用范圍(A):內(nèi)部使用——A1;內(nèi)外混合模式——A2;外部使用——A3.

目標(biāo)用戶(B):已知用戶——B1;匿名用戶——B2.

連接方式(C):內(nèi)網(wǎng)連接——C1;VPN連接——C2;外網(wǎng)連接——C3.

以數(shù)據(jù)流作為資產(chǎn)主要分為3個階段，即用戶登錄與服務(wù)響應(yīng)進(jìn)程之間，服務(wù)響應(yīng)進(jìn)程與身份驗證進(jìn)程之間，業(yè)務(wù)邏輯與數(shù)據(jù)庫之間.表2～表4分別列出網(wǎng)絡(luò)應(yīng)用程序在不同階段面臨的部分主要威脅.

以數(shù)據(jù)存儲作為資產(chǎn)主要分為數(shù)據(jù)庫和服務(wù)器2個方面.表5、表6分別列出這2個方面5種網(wǎng)絡(luò)應(yīng)用程序類型面臨的主要威脅.

表3 服務(wù)響應(yīng)進(jìn)程與身份驗證進(jìn)程之間的部分主要威脅Table 3 Facing primary threats between services response processes and authentication

表4 業(yè)務(wù)邏輯與數(shù)據(jù)庫之間的部分主要威脅Table 4 Facing primary threats between business and database

表5 數(shù)據(jù)庫后為資產(chǎn)的部分主要威脅Table 5 Database as assets faced primary threats

表6 以服務(wù)器作為資產(chǎn)的部分主要威脅Table 6 Server as assets faced primary threats

表2～表6列出了不同階段的主要威脅及 其描述，這些威脅可歸類于微軟提出的STRIDE六個方面.根據(jù)威脅歸類的不同，表7簡要列出 了STRIDE六個方面威脅的部分應(yīng)對對策.

表7 基于STRIDE的威脅對策Table 7 Based STRIDE's threats strategy table

3 算法與案例分析

在1、2工作的基礎(chǔ)上，根據(jù)1提出的網(wǎng)絡(luò)應(yīng)用程序的分類方法(詳見表1)，可得到各種網(wǎng)絡(luò)應(yīng)用程序面臨的部分主要威脅.威脅生成算法的偽代碼如下:

上述威脅生成算法的主要思想是:在明確網(wǎng)絡(luò)應(yīng)用程序3個屬性值的前提下，通過查找表2～表6，得到不同網(wǎng)絡(luò)應(yīng)用程序面臨的部分主要威脅.可以看出，算法中的主要部分是網(wǎng)絡(luò)應(yīng)用程序的分類條件，上述算法中只列出生成web_ app1、web_app4兩種類型的條件，那么根據(jù)前文提出的網(wǎng)絡(luò)應(yīng)用程序分類方法可知:當(dāng)使用范圍為混合使用(A==A2)、目標(biāo)用戶為已知用戶(B==B1)且連接方式為外網(wǎng)連接(C==C2)時，通過查找表2～表6，可以得到Web_app2面臨的部分主要威脅;當(dāng)使用范圍為外部使用(A==A3)、目標(biāo)用戶為已知用戶(B==B1)，同時連接方式為外網(wǎng)連接(C==C3)時，通過查找表2～表6，可以找到Web_app3面臨的部分主要威脅;較為復(fù)雜的是web_app5的條件，當(dāng)使用范圍為混合使用(A==A2)、目標(biāo)用戶是已知或者匿名用戶((B==B1)||(B==B2))，在連接方式既有內(nèi)網(wǎng)連接又存在外網(wǎng)連接((C==C1)|| (C==C3))的情況下，通過查找表2～表6，可得Web_app3面臨的部分主要威脅.

例:某公司總部在北京，總部使用以太網(wǎng)接入Internet，為滿足外出業(yè)務(wù)人員及時獲取信息、更新總部的數(shù)據(jù)庫等需求，出差人員可通過VPN與公司總部進(jìn)行網(wǎng)絡(luò)溝通和交換信息.這種網(wǎng)絡(luò)應(yīng)用程序的使用范圍為外部使用(A==A2)、目標(biāo)用戶為匿名用戶(B==B1)、連接方式為內(nèi)外混合連接(C==C2)，通過查找表2～表6，可得該種網(wǎng)絡(luò)應(yīng)用程序面臨的部分主要威脅，如表8所示.

表8 Web_app2所面臨的部分主要威脅Table 8 Web_app2 faced primary threats

在分析出web_app2類型的網(wǎng)絡(luò)應(yīng)用程序面對的威脅后，使用表7研究威脅的相應(yīng)對策.這里不再過多說明.

4 總結(jié)與工作展望

提出從網(wǎng)絡(luò)應(yīng)用程序分類入手對威脅進(jìn)行研究的思路.基于使用范圍、目標(biāo)用戶和連接方式等3個屬性對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類，以此為基礎(chǔ)可分析、研究網(wǎng)絡(luò)應(yīng)用程序面臨的主要威脅.列舉以數(shù)據(jù)流和數(shù)據(jù)存儲為資產(chǎn)的部分主要威脅，給出分析發(fā)現(xiàn)給定網(wǎng)絡(luò)應(yīng)用程序面臨威脅的算法，闡述基于STRIDE威脅的對策，并進(jìn)行案例分析.

網(wǎng)絡(luò)應(yīng)用程序的安全評估是個復(fù)雜且需要大量研究支撐的工作.以分析、研究網(wǎng)絡(luò)應(yīng)用程序面臨的威脅為基礎(chǔ)、加之一套有效的安全評估度量方法，能夠更好地完成網(wǎng)絡(luò)應(yīng)用程序的安全評估.

［1］ Khera M.Web Application Security Trends Report［EB/OL］.(2009－3－17)［2010－12－22］http://blog.cenzic.com/public/blog/228854.

［2］ 葉升路，徐波，欒國森.提高Web應(yīng)用程序的安全性［J］.計算機(jī)安全，2010(6):38－42.

［3］ 秦育華.WEB網(wǎng)絡(luò)應(yīng)用程序安全威脅及對策的研究與探討［J］.電腦知識與技術(shù)，2010，6(21): 5716－5719.

［4］ 張紅林.面向應(yīng)用的流量識別算法研究和實現(xiàn)［D］湖南:國防科學(xué)技術(shù)大學(xué)計算機(jī)學(xué)院，2006: 18－20.

［5］ Bajaj A，Krishnan R.Analyzing Models for Current World Wide Web Applications Using A Classification Space and Usability Metrics［EB/OL］.(1998－06－15)［2010－12－22］http://nfp.cba.utulsa.edu/ bajaja/MyInfo/conferencepubs/EMMSAD98.doc.

［6］ 胡勇.網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險評估方法研究［D］.四川:四川大學(xué)應(yīng)用數(shù)學(xué)專業(yè)，2007:58－60.

［7］ 孫鵬鵬.信息安全風(fēng)險評估系統(tǒng)的研究與開發(fā)［D］.北京:北京交通大學(xué)計算機(jī)軟件理論專業(yè)，2007:8－9.

［8］ Hernan S，Lambert S，Ostwald T.Uncover Security Design Flaws Using the STRIDE Approach［EB/ OL］.(2006－11－15)［2010－12－25］.http://msdn.microsoft.com/en-us/magazine/cc163519.aspx.