摘要：隨著信息化的不斷發(fā)展，基于互聯(lián)網(wǎng)平臺(tái)的Web應(yīng)用得到了迅速發(fā)展，為互聯(lián)網(wǎng)的發(fā)展發(fā)揮著非常重要的作用。然而，伴隨該項(xiàng)技術(shù)的不斷發(fā)展，隨之也出現(xiàn)了不少安全問題，給Web的應(yīng)用造成了一定的威脅。本文，對(duì)Web的應(yīng)用安全現(xiàn)狀進(jìn)行了分析，并提出了有針對(duì)性的應(yīng)對(duì)措施。

關(guān)鍵詞：Web應(yīng)用；安全現(xiàn)狀；防護(hù)措施

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 21-0000-02

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來越多的web應(yīng)用件被用于Internet中。對(duì)于Web應(yīng)用軟件而言，是一種借助Internet技術(shù)加以連接的客戶/服務(wù)器軟件，并且可以傳輸數(shù)據(jù)。在市場(chǎng)需求的不斷推動(dòng)下，Web應(yīng)用軟件的種類與數(shù)量也不斷增加，軟件的復(fù)雜程度也不斷增加，軟件的質(zhì)量與安全問題已成為人們?cè)絹碓疥P(guān)注的問題。對(duì)于該軟件的服務(wù)而言，包括郵件服務(wù)、電子公告牌、網(wǎng)上商店以及數(shù)據(jù)庫管理工具。對(duì)于這些服務(wù)的提供，使得系統(tǒng)在運(yùn)行過程中暴露出越來越多的弱點(diǎn)，這也意味著web應(yīng)用軟件將面臨著較為嚴(yán)重的安全隱患。為此，在今后的工作過程中，應(yīng)對(duì)Web應(yīng)用軟件的安全現(xiàn)狀進(jìn)行分析，并提出有針對(duì)性的應(yīng)對(duì)措施，以提升Web應(yīng)用軟件的運(yùn)作安全水平。

1 Web應(yīng)用安全認(rèn)識(shí)誤區(qū)及安全現(xiàn)狀

1.1 安全認(rèn)識(shí)誤區(qū)

為了確保Web應(yīng)用安全，人們多在各個(gè)工作層面部署屬于自己的安全策略，如安裝殺毒軟件來確保計(jì)算機(jī)運(yùn)行安全，采用SSL技術(shù)對(duì)所傳輸?shù)臄?shù)據(jù)加密處理，并搭建防火墻來過濾一些不安全訪問信息。對(duì)于這些防護(hù)措施而言，雖然可以將不必要暴露的端口進(jìn)行關(guān)閉，對(duì)一些非法信息進(jìn)行過濾處理，但仍然不能保障Web應(yīng)用安全。對(duì)于Web服務(wù)所依賴的80和443端口而言，必須是開放的，然而防火墻卻不能正確辨認(rèn)出端口所傳輸?shù)男畔⑹欠癜踩?，?dāng)訪問通過防護(hù)措施時(shí)，Web應(yīng)用就會(huì)完全暴露在用戶面前。而針對(duì)應(yīng)用面層的攻擊而言，可以很輕易地突破受防火墻保護(hù)的網(wǎng)站。如對(duì)較為常見的SQL注入攻擊表現(xiàn)層面而言，幾乎是普通的數(shù)據(jù)交互查詢。而對(duì)于防護(hù)系統(tǒng)而言，它也是較為正常的訪問鏈接，并且判斷不出其所存在的惡意攻擊。因此對(duì)于搭建防火墻、安裝殺毒軟件以及SSL加密等處理措施都不能完全保障Web應(yīng)用的安全。

1.2 Web應(yīng)用安全現(xiàn)狀

最新的網(wǎng)絡(luò)安全統(tǒng)計(jì)數(shù)據(jù)表明，累計(jì)每天都有超過12億人次的網(wǎng)民受到木馬攻擊，并且有大量的流行軟件、大型網(wǎng)站被“掛馬”，并且每年都呈現(xiàn)出明顯的大幅度增長(zhǎng)趨勢(shì)。由此可以看出，現(xiàn)階段的互聯(lián)網(wǎng)仍然非常脆弱，90%左右的木馬病毒都以“掛馬”的形式進(jìn)行傳播。而這些問題的額產(chǎn)生，在很大程度上源于web安全領(lǐng)域的問題，如后臺(tái)服務(wù)器的不安全設(shè)置、系統(tǒng)漏洞、Web應(yīng)用程序?qū)崿F(xiàn)代碼缺陷等，給不法分子以可乘之機(jī)。而對(duì)于這些隱患而言，75%左右的攻擊都出現(xiàn)在Web應(yīng)用程序本身，這也是用入侵檢測(cè)系統(tǒng)、防火墻以SSL所無法應(yīng)對(duì)與解決的。

2 確保Web應(yīng)用安全的防護(hù)措施

2.1 確保操作系統(tǒng)安全的效安全防護(hù)措施

操作系統(tǒng)作為抵御非法攻擊的第一道防線，對(duì)確保Web的安全發(fā)揮著非常重要的作用。對(duì)于操作系統(tǒng)的防護(hù)措施而言，主要包含以下幾個(gè)方面：（1）對(duì)系統(tǒng)補(bǔ)丁進(jìn)行實(shí)時(shí)更新升級(jí)，防止不法分子依靠系統(tǒng)漏洞進(jìn)行攻擊。（2）對(duì)不必要的通訊端口進(jìn)行關(guān)閉處理，以有效降低惡意攻擊的入侵通口。（3）對(duì)密碼管理制度進(jìn)行規(guī)范處理。對(duì)服務(wù)器上的各個(gè)登錄密碼進(jìn)行統(tǒng)一生成與集中處理。（4）在進(jìn)行軟件與組件安裝時(shí)，應(yīng)認(rèn)真謹(jǐn)慎，關(guān)閉不必要的服務(wù)器，以有效降低安全隱患。（5）遵循最小權(quán)限原則設(shè)置文件系統(tǒng)，以有效避免跨站腳本攻擊與提權(quán)操作。

2.2 網(wǎng)絡(luò)與通信信道防護(hù)

網(wǎng)絡(luò)作為系統(tǒng)防護(hù)的第一門戶，直接面對(duì)著大量的外部訪問請(qǐng)求。提升網(wǎng)絡(luò)安全性，能有效防御基于TCP/IP的惡意攻擊。對(duì)于本層的防護(hù)技術(shù)而言，主要立足于網(wǎng)絡(luò)層的端口、協(xié)議等，在保障通信暢通的前提下，應(yīng)盡可能對(duì)系統(tǒng)進(jìn)行防護(hù)處理。邊界路由器、網(wǎng)絡(luò)防火墻、核心交換機(jī)等都能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層端口、協(xié)議等層面的安全保護(hù)。對(duì)于防火墻而言，可作為網(wǎng)絡(luò)通信的Port開關(guān)，只對(duì)必要的通信端口開放，能有效屏蔽大量病毒的端口，并可將較為重要的Web納進(jìn)隔離區(qū)進(jìn)行防護(hù)。對(duì)于邊界路由器、核心交換機(jī)設(shè)備而言，都有基ACL的訪問控制單元。為此，建立起相對(duì)比較完善的訪問控制表，并結(jié)合企業(yè)內(nèi)部的IP管理，能對(duì)大量非正常訪問的數(shù)據(jù)包進(jìn)行過濾處理。在此過程中，還可將安全網(wǎng)關(guān)、防病毒墻、IDS/IPS以及網(wǎng)站保護(hù)墻等部署在Web服務(wù)器前面，能屏蔽大量的入侵攻擊。對(duì)于通信信道的防護(hù)措施而言，可在較為安全的環(huán)境中，以HTI/PS協(xié)議來代替HTFP協(xié)議。并利用SSL來保證安全傳輸文件，通過Web服務(wù)器與客戶端瀏覽器之間構(gòu)建起一條安全通信信道，能有效確保信息在Interact中傳送的完整性與保密性。

2.3 Web應(yīng)用主機(jī)防護(hù)措施

主機(jī)平臺(tái)的安全性是確保應(yīng)用程序安全的前提，因此必須采取相應(yīng)的措施確保Web應(yīng)用主機(jī)的安全。同時(shí)，對(duì)于主機(jī)平臺(tái)的安全而言，包括主機(jī)系統(tǒng)安全與Web組件系統(tǒng)安全。（1）對(duì)于Web主機(jī)系統(tǒng)的安全設(shè)置而言，主要包括以下幾個(gè)方面：①確立系統(tǒng)安全策略設(shè)置，設(shè)置目錄及磁盤訪問權(quán)限。②將默認(rèn)共享的空鏈接關(guān)閉，將不必要的端口也進(jìn)行關(guān)閉處理。③限制匿名用戶對(duì)本機(jī)的訪問，并設(shè)置相應(yīng)的用戶執(zhí)行權(quán)限。④安裝策略最小化處理，將不必要的服務(wù)進(jìn)行關(guān)閉。⑤創(chuàng)建一個(gè)無用戶組的Administrator賬戶，并設(shè)置安全系數(shù)高的密碼。（2）對(duì)于Web組件的安全設(shè)置而言，主要包括以下幾個(gè)方面：①將默認(rèn)創(chuàng)建的Inetpub目錄進(jìn)行刪除。為Web服務(wù)器設(shè)置站點(diǎn)、目錄以及文件的訪問權(quán)限。②將不必要IIS擴(kuò)展名映射刪除。③將IIS日志的路徑更改。④將未使用的賬戶刪除，并設(shè)置安全系數(shù)高的密碼。⑤使用應(yīng)用程序池，將應(yīng)用程序隔離，提升Web股武器的安全性與可靠性。

2.4 關(guān)于應(yīng)用程序的安全防護(hù)措施

對(duì)于應(yīng)用程序安全而言，包括web服務(wù)軟件安全以及業(yè)務(wù)系統(tǒng)代碼安全。相對(duì)于操作系統(tǒng)的安全防護(hù)工作而言，應(yīng)用程序安全有著更高的技術(shù)要求。對(duì)于應(yīng)用程序等安全防護(hù)措施而言，主要包括以下幾個(gè)方面的內(nèi)容：（1）部署安全系數(shù)較高的Web應(yīng)用程序。程序安全設(shè)計(jì)的目的是將漏洞消除，因此對(duì)于設(shè)計(jì)人員而言，應(yīng)對(duì)Web應(yīng)用開發(fā)出一套周密、詳細(xì)的思路，對(duì)Web頁面進(jìn)行加密與驗(yàn)證處理，而不是僅僅為實(shí)現(xiàn)單向功能。同時(shí)，部署安全系數(shù)較高的Web應(yīng)用才能從根本上解決Web應(yīng)用層面的安全問題。（2）根據(jù)業(yè)務(wù)系統(tǒng)需求，配置安全系數(shù)相對(duì)較高的Web服務(wù)。（3）創(chuàng)建Web防御檢測(cè)系統(tǒng)。使用該系統(tǒng)對(duì)Web應(yīng)用的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控，快速掌握Web應(yīng)用安裝運(yùn)行狀況，以及時(shí)采取有針對(duì)性的應(yīng)對(duì)措施，將安全風(fēng)險(xiǎn)降到最低。（4）安裝殺毒軟件。安裝殺毒軟件既能防止不法分子通過漏洞將帶有病毒的文件上傳至服務(wù)器，同時(shí)也能對(duì)病毒的操作進(jìn)行監(jiān)控，確保上傳至服務(wù)器文件的安全性。（5）建立用戶分級(jí)與審核制度，對(duì)普通用戶與系統(tǒng)管理員區(qū)分管理，并設(shè)置高安全系數(shù)的密碼。

3 結(jié)語

隨著Web應(yīng)用需求的不斷增加，隨之出現(xiàn)的問題也會(huì)逐漸增加并越來越復(fù)雜。為此，應(yīng)遵循相應(yīng)的方法與原則，對(duì)Web應(yīng)用進(jìn)行深入分析，對(duì)其存在的安全問題進(jìn)行認(rèn)真考慮分析，并提出有針對(duì)性的應(yīng)對(duì)措施，以提供必要的安全保障。在此過程中，還應(yīng)建立起應(yīng)急事件響應(yīng)制度與體系，并對(duì)Web應(yīng)用安全防護(hù)措施進(jìn)行不斷完善與創(chuàng)新，以提升Web應(yīng)用的安全可靠性。

參考文獻(xiàn)：

[1]唐承華，韋皓元.Web應(yīng)用安全防護(hù)措施及應(yīng)急預(yù)案[J].廣西科學(xué)院學(xué)報(bào)，2009，（4）：353-356.

[2]雷軍程，劉水強(qiáng)，伍雁鵬，等.網(wǎng)絡(luò)Web應(yīng)用安全故障分析與應(yīng)對(duì)措施[J].邵陽學(xué)院學(xué)報(bào)：自然科學(xué)版，2009，6（4）：66-68.