張 健， 陳未如， 關(guān) 慧

(沈陽(yáng)化工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，遼寧沈陽(yáng)110142)

隨著網(wǎng)絡(luò)應(yīng)用日益增多，網(wǎng)絡(luò)應(yīng)用程序越來(lái)越復(fù)雜、越來(lái)越開(kāi)放，其安全性問(wèn)題越來(lái)越顯現(xiàn).網(wǎng)絡(luò)應(yīng)用程序的開(kāi)放性和允許對(duì)信息的公共訪(fǎng)問(wèn)，使程序面臨多種威脅.有報(bào)告表明，在2008下半年網(wǎng)絡(luò)應(yīng)用程序的漏洞占互聯(lián)網(wǎng)漏洞的80%，在2010上半年又上升約8%［1］，網(wǎng)絡(luò)應(yīng)用程序的安全問(wèn)題已成為一個(gè)重要的研究課題.

威脅分析是保障網(wǎng)絡(luò)應(yīng)用程序安全性的重要前提.但網(wǎng)絡(luò)應(yīng)用程序類(lèi)型很多，綜合分析其所面臨的威脅較為復(fù)雜，有必要對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行類(lèi)別劃分，以便進(jìn)行威脅分析和研究.葉升路等從程序漏洞角度分析指出，網(wǎng)絡(luò)應(yīng)用程序所面臨的安全威脅可來(lái)自運(yùn)行環(huán)境、網(wǎng)絡(luò)傳輸過(guò)程和程序代碼3方面［2］;秦育華闡述了受威脅的主要資產(chǎn)是網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序［3］;張紅林等為研究網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)，根據(jù)所對(duì)應(yīng)的服務(wù)類(lèi)型和所使用的協(xié)議對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類(lèi)［4］; Akhilesh Bajaj等提出使用頁(yè)面結(jié)構(gòu)、業(yè)務(wù)處理的位置、內(nèi)部事件的相關(guān)程度對(duì)萬(wàn)維網(wǎng)應(yīng)用程序進(jìn)行分類(lèi)［5］;胡勇提出的分類(lèi)僅限于資源的分布研究，威脅源頭定義為人為因素或自然災(zāi)害2方面［6］.從以上內(nèi)容可得出，對(duì)網(wǎng)絡(luò)應(yīng)用程序威脅研究更多的是從應(yīng)用程序自身出發(fā)，而在分類(lèi)基礎(chǔ)上研究網(wǎng)絡(luò)應(yīng)用程序面臨威脅的內(nèi)容較少.

本文從網(wǎng)絡(luò)應(yīng)用程序自身出發(fā)，研究其所面臨的威脅，在基于其使用范圍、目標(biāo)用戶(hù)、連接方式等3個(gè)屬性對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類(lèi)的基礎(chǔ)上進(jìn)行研究.另外文中定義網(wǎng)絡(luò)應(yīng)用程序的主要資產(chǎn)為DFD中的數(shù)據(jù)流和數(shù)據(jù)存儲(chǔ)兩部分，從網(wǎng)絡(luò)應(yīng)用程序流程框架中分析這兩部分面臨的主要威脅.

1 網(wǎng)絡(luò)應(yīng)用程序分類(lèi)

網(wǎng)絡(luò)應(yīng)用程序面臨的威脅錯(cuò)綜復(fù)雜，威脅的存在與網(wǎng)絡(luò)應(yīng)用程序所處的環(huán)境息息相關(guān).以環(huán)境作為切入點(diǎn)對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行劃分，是對(duì)威脅進(jìn)行詳盡研究的一種有效途徑.盡管網(wǎng)絡(luò)應(yīng)用程序的體系結(jié)構(gòu)及支撐系統(tǒng)的復(fù)雜程度各有不同，但它們都是通過(guò)網(wǎng)絡(luò)向用戶(hù)開(kāi)放，運(yùn)行這些應(yīng)用程序所需的資源和技術(shù)可能相同，所以能夠找到一種劃分網(wǎng)絡(luò)應(yīng)用程序類(lèi)型的方法，并以此為基礎(chǔ)研究網(wǎng)絡(luò)應(yīng)用程序的威脅.

根據(jù)不同的運(yùn)行環(huán)境，基于使用范圍、目標(biāo)用戶(hù)和連接方式等3個(gè)屬性對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類(lèi).網(wǎng)絡(luò)應(yīng)用程序的使用范圍包括3類(lèi)，即僅供企業(yè)內(nèi)部使用、內(nèi)部和外部混合使用和外部使用;目標(biāo)用戶(hù)分為已知用戶(hù)和匿名用戶(hù)2類(lèi);連接方式包括內(nèi)聯(lián)網(wǎng)、VPN和互聯(lián)網(wǎng).根據(jù)上述屬性劃分，考慮實(shí)際應(yīng)用情況，網(wǎng)絡(luò)應(yīng)用程序可 劃分成5種類(lèi)型，如表1所示.

表1 網(wǎng)絡(luò)應(yīng)用程序分類(lèi)Table 1 Classification of Web application

2 威脅研究

威脅是可能對(duì)資產(chǎn)或組織造成損害的意外事件的潛在原因［7］，所以威脅的主要對(duì)象是資產(chǎn).Microsoft已經(jīng)開(kāi)發(fā)了一種對(duì)威脅研究的方法，將威脅分為:欺騙(S)、竄改(T)、否認(rèn)(R)、信息泄露(I)、拒絕服務(wù)(D)和特權(quán)升級(jí)(E)6類(lèi)(STRIDE)，并依據(jù)數(shù)據(jù)流圖進(jìn)行威脅資產(chǎn)分析［8］.以數(shù)據(jù)流圖中的數(shù)據(jù)流和數(shù)據(jù)存儲(chǔ)2部分作為威脅的資產(chǎn)，研究不同類(lèi)型網(wǎng)絡(luò)應(yīng)用程序所面臨的威脅.

為便于說(shuō)明，把威脅表示為T(mén)i(i=1.2…n)，網(wǎng)絡(luò)應(yīng)用程序的屬性表示符號(hào)分別為:

使用范圍(A):內(nèi)部使用——A1;內(nèi)外混合模式——A2;外部使用——A3.

目標(biāo)用戶(hù)(B):已知用戶(hù)——B1;匿名用戶(hù)——B2.

連接方式(C):內(nèi)網(wǎng)連接——C1;VPN連接——C2;外網(wǎng)連接——C3.

以數(shù)據(jù)流作為資產(chǎn)主要分為3個(gè)階段，即用戶(hù)登錄與服務(wù)響應(yīng)進(jìn)程之間，服務(wù)響應(yīng)進(jìn)程與身份驗(yàn)證進(jìn)程之間，業(yè)務(wù)邏輯與數(shù)據(jù)庫(kù)之間.表2～表4分別列出網(wǎng)絡(luò)應(yīng)用程序在不同階段面臨的部分主要威脅.

以數(shù)據(jù)存儲(chǔ)作為資產(chǎn)主要分為數(shù)據(jù)庫(kù)和服務(wù)器2個(gè)方面.表5、表6分別列出這2個(gè)方面5種網(wǎng)絡(luò)應(yīng)用程序類(lèi)型面臨的主要威脅.

表3 服務(wù)響應(yīng)進(jìn)程與身份驗(yàn)證進(jìn)程之間的部分主要威脅Table 3 Facing primary threats between services response processes and authentication

表4 業(yè)務(wù)邏輯與數(shù)據(jù)庫(kù)之間的部分主要威脅Table 4 Facing primary threats between business and database

表5 數(shù)據(jù)庫(kù)后為資產(chǎn)的部分主要威脅Table 5 Database as assets faced primary threats

表6 以服務(wù)器作為資產(chǎn)的部分主要威脅Table 6 Server as assets faced primary threats

表2～表6列出了不同階段的主要威脅及 其描述，這些威脅可歸類(lèi)于微軟提出的STRIDE六個(gè)方面.根據(jù)威脅歸類(lèi)的不同，表7簡(jiǎn)要列出 了STRIDE六個(gè)方面威脅的部分應(yīng)對(duì)對(duì)策.

表7 基于STRIDE的威脅對(duì)策Table 7 Based STRIDE's threats strategy table

3 算法與案例分析

在1、2工作的基礎(chǔ)上，根據(jù)1提出的網(wǎng)絡(luò)應(yīng)用程序的分類(lèi)方法(詳見(jiàn)表1)，可得到各種網(wǎng)絡(luò)應(yīng)用程序面臨的部分主要威脅.威脅生成算法的偽代碼如下:

上述威脅生成算法的主要思想是:在明確網(wǎng)絡(luò)應(yīng)用程序3個(gè)屬性值的前提下，通過(guò)查找表2～表6，得到不同網(wǎng)絡(luò)應(yīng)用程序面臨的部分主要威脅.可以看出，算法中的主要部分是網(wǎng)絡(luò)應(yīng)用程序的分類(lèi)條件，上述算法中只列出生成web_ app1、web_app4兩種類(lèi)型的條件，那么根據(jù)前文提出的網(wǎng)絡(luò)應(yīng)用程序分類(lèi)方法可知:當(dāng)使用范圍為混合使用(A==A2)、目標(biāo)用戶(hù)為已知用戶(hù)(B==B1)且連接方式為外網(wǎng)連接(C==C2)時(shí)，通過(guò)查找表2～表6，可以得到Web_app2面臨的部分主要威脅;當(dāng)使用范圍為外部使用(A==A3)、目標(biāo)用戶(hù)為已知用戶(hù)(B==B1)，同時(shí)連接方式為外網(wǎng)連接(C==C3)時(shí)，通過(guò)查找表2～表6，可以找到Web_app3面臨的部分主要威脅;較為復(fù)雜的是web_app5的條件，當(dāng)使用范圍為混合使用(A==A2)、目標(biāo)用戶(hù)是已知或者匿名用戶(hù)((B==B1)||(B==B2))，在連接方式既有內(nèi)網(wǎng)連接又存在外網(wǎng)連接((C==C1)|| (C==C3))的情況下，通過(guò)查找表2～表6，可得Web_app3面臨的部分主要威脅.

例:某公司總部在北京，總部使用以太網(wǎng)接入Internet，為滿(mǎn)足外出業(yè)務(wù)人員及時(shí)獲取信息、更新總部的數(shù)據(jù)庫(kù)等需求，出差人員可通過(guò)VPN與公司總部進(jìn)行網(wǎng)絡(luò)溝通和交換信息.這種網(wǎng)絡(luò)應(yīng)用程序的使用范圍為外部使用(A==A2)、目標(biāo)用戶(hù)為匿名用戶(hù)(B==B1)、連接方式為內(nèi)外混合連接(C==C2)，通過(guò)查找表2～表6，可得該種網(wǎng)絡(luò)應(yīng)用程序面臨的部分主要威脅，如表8所示.

表8 Web_app2所面臨的部分主要威脅Table 8 Web_app2 faced primary threats

在分析出web_app2類(lèi)型的網(wǎng)絡(luò)應(yīng)用程序面對(duì)的威脅后，使用表7研究威脅的相應(yīng)對(duì)策.這里不再過(guò)多說(shuō)明.

4 總結(jié)與工作展望

提出從網(wǎng)絡(luò)應(yīng)用程序分類(lèi)入手對(duì)威脅進(jìn)行研究的思路.基于使用范圍、目標(biāo)用戶(hù)和連接方式等3個(gè)屬性對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行分類(lèi)，以此為基礎(chǔ)可分析、研究網(wǎng)絡(luò)應(yīng)用程序面臨的主要威脅.列舉以數(shù)據(jù)流和數(shù)據(jù)存儲(chǔ)為資產(chǎn)的部分主要威脅，給出分析發(fā)現(xiàn)給定網(wǎng)絡(luò)應(yīng)用程序面臨威脅的算法，闡述基于STRIDE威脅的對(duì)策，并進(jìn)行案例分析.

網(wǎng)絡(luò)應(yīng)用程序的安全評(píng)估是個(gè)復(fù)雜且需要大量研究支撐的工作.以分析、研究網(wǎng)絡(luò)應(yīng)用程序面臨的威脅為基礎(chǔ)、加之一套有效的安全評(píng)估度量方法，能夠更好地完成網(wǎng)絡(luò)應(yīng)用程序的安全評(píng)估.

［1］ Khera M.Web Application Security Trends Report［EB/OL］.(2009－3－17)［2010－12－22］http://blog.cenzic.com/public/blog/228854.

［2］ 葉升路，徐波，欒國(guó)森.提高Web應(yīng)用程序的安全性［J］.計(jì)算機(jī)安全，2010(6):38－42.

［3］ 秦育華.WEB網(wǎng)絡(luò)應(yīng)用程序安全威脅及對(duì)策的研究與探討［J］.電腦知識(shí)與技術(shù)，2010，6(21): 5716－5719.

［4］ 張紅林.面向應(yīng)用的流量識(shí)別算法研究和實(shí)現(xiàn)［D］湖南:國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院，2006: 18－20.

［5］ Bajaj A，Krishnan R.Analyzing Models for Current World Wide Web Applications Using A Classification Space and Usability Metrics［EB/OL］.(1998－06－15)［2010－12－22］http://nfp.cba.utulsa.edu/ bajaja/MyInfo/conferencepubs/EMMSAD98.doc.

［6］ 胡勇.網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法研究［D］.四川:四川大學(xué)應(yīng)用數(shù)學(xué)專(zhuān)業(yè)，2007:58－60.

［7］ 孫鵬鵬.信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與開(kāi)發(fā)［D］.北京:北京交通大學(xué)計(jì)算機(jī)軟件理論專(zhuān)業(yè)，2007:8－9.

［8］ Hernan S，Lambert S，Ostwald T.Uncover Security Design Flaws Using the STRIDE Approach［EB/ OL］.(2006－11－15)［2010－12－25］.http://msdn.microsoft.com/en-us/magazine/cc163519.aspx.