摘 要:隨著信息技術(shù)的快速發(fā)展,信息安全越來越引起廣泛關(guān)注,基于Web信息系統(tǒng)的安全架構(gòu)與策略研究也越來越深入。該文討論了不同類型信息系統(tǒng)安全體系結(jié)構(gòu)的特征,并研究了信息系統(tǒng)安全體系結(jié)構(gòu)的構(gòu)成要素,提出了基于Web信息系統(tǒng)安全架構(gòu)的模型。
關(guān)鍵詞:Web信息系統(tǒng);信息安全;安全架構(gòu)
中圖分類號:TP393.02
伴隨著互聯(lián)網(wǎng)的快速發(fā)展和經(jīng)濟(jì)的全球化,軟件已經(jīng)深入并廣泛地滲透到人類社會的各個方面。與此同時如何構(gòu)建一個基于WEB信息系統(tǒng)的安全架構(gòu)就顯得尤為迫切?;赪EB的信息系統(tǒng)采用B/S(Browser/Server)架構(gòu),具體指運(yùn)行服務(wù)器系統(tǒng)架構(gòu)。在軟件程序更新頻率加快的情況下,B/S架構(gòu)將逐步替代C/S架構(gòu),而且B/S架構(gòu)能夠提高Web軟件系統(tǒng)編譯與智能數(shù)據(jù)庫系統(tǒng)兼容性,加快軟件程序技術(shù)的發(fā)展速度。本文在分析基于web的信息系統(tǒng)體系結(jié)構(gòu)的基礎(chǔ)上, 對基于Web 的信息系統(tǒng)安全架構(gòu)所涉及的安全性問題進(jìn)行了探討, 并給出了建議和意見.
1 基于Web的信息系統(tǒng)的體系架構(gòu)研究概述
B/S結(jié)構(gòu)是對C/S結(jié)構(gòu)的改進(jìn)型,在B/S架構(gòu)的邏輯運(yùn)算主要通過云服務(wù)器完成,這種方式實(shí)現(xiàn)了原來需要復(fù)雜專用軟件才能實(shí)現(xiàn)的強(qiáng)大功能,并節(jié)約了開發(fā)成本,是一種全新的軟件系統(tǒng)構(gòu)造技術(shù)。隨著Windows圖形操作系統(tǒng)將瀏覽器技術(shù)植入操作系統(tǒng)內(nèi)部,這種結(jié)構(gòu)更成為當(dāng)今應(yīng)用軟件普遍使用的體系結(jié)構(gòu)。
在B/S架構(gòu)中,用戶電腦與主服務(wù)器采用HTTP通信協(xié)議,用戶可以通過Web瀏覽器訪問云端數(shù)據(jù)庫,各組成部分通過網(wǎng)絡(luò)實(shí)現(xiàn)物理連接。B/S體系結(jié)構(gòu)的核心是動態(tài)Web服務(wù)器,在這種結(jié)構(gòu)下,應(yīng)用程序的安裝和部署是在Web服務(wù)器上進(jìn)行的,基于服務(wù)器的架構(gòu)設(shè)計模式使B/S架構(gòu)功能呈分布狀態(tài)。用戶通過瀏覽器向服務(wù)器數(shù)據(jù)庫發(fā)送特定指令,服務(wù)器通過復(fù)雜運(yùn)算將用戶所需界面以HTML文本的格式發(fā)送給用戶計算機(jī),用戶可以隨時隨地進(jìn)行業(yè)務(wù)處理,開發(fā)者通過增加網(wǎng)頁即可增加服務(wù)功能;B/S結(jié)構(gòu)易于維護(hù),開發(fā)簡單,共享性強(qiáng),隨著安全和標(biāo)準(zhǔn)問題正在被快速解決,基于WEB信息系統(tǒng)安全架構(gòu)越來越成熟,基于WEB信息系統(tǒng)安全架構(gòu)產(chǎn)品將成為未來發(fā)展的主流。
2 基于WEB信息系統(tǒng)安全架構(gòu)概念層次分析
2.1 信息系統(tǒng)安全保密規(guī)范
信息安全保密規(guī)范是保證計算機(jī)網(wǎng)絡(luò)通信服務(wù),實(shí)現(xiàn)智能化服務(wù)的安全標(biāo)準(zhǔn),它強(qiáng)調(diào)網(wǎng)絡(luò)通信的安全與保密性質(zhì)。信息安全保密規(guī)范包括下列幾個方面:
描述安全框架的組織結(jié)構(gòu);
定義安全框架各部分要求的安全概念;
描述框架其他部門確定的業(yè)務(wù)與機(jī)制之間的關(guān)系。
2.2 信息安全機(jī)制及其標(biāo)準(zhǔn)
2.2.1 保密機(jī)制。保密機(jī)制是計算機(jī)安全系統(tǒng)的核心,它能夠?qū)崿F(xiàn)信息存儲、傳輸?shù)募用?,加密方式是將明文?jīng)過特定的邏輯運(yùn)算變成密文。
2.2.2 訪問控制機(jī)制。訪問控制能夠?qū)?shù)據(jù)庫信息針對不同用戶設(shè)定訪問權(quán)限,具體方法是登陸密碼、通信授權(quán)、設(shè)定訪問時間等。
2.2.3 數(shù)據(jù)完整性機(jī)制。數(shù)據(jù)完整機(jī)制保證了數(shù)據(jù)傳輸前后的高度一致性,即沒有經(jīng)過篡改或非法讀取。數(shù)據(jù)完整性機(jī)制包括數(shù)據(jù)加密、監(jiān)測等,數(shù)據(jù)完整性機(jī)制標(biāo)準(zhǔn)包含分部加密運(yùn)算、密保監(jiān)測機(jī)制等。
2.3 網(wǎng)絡(luò)通信安全標(biāo)準(zhǔn)
網(wǎng)絡(luò)通信安全主要利用互聯(lián)網(wǎng)通信系統(tǒng)中特定的安全加密程序如網(wǎng)絡(luò)防火墻、加密程序、網(wǎng)關(guān)限制等安全服務(wù)保證信息傳輸?shù)陌踩?/p>
2.4 信息安全管理標(biāo)準(zhǔn)
信息安全要求信息傳輸過程中保密性、完整性與實(shí)效性,因此需要建立信息安全法制體系,通過法律強(qiáng)制性營造安全健康的網(wǎng)絡(luò)信息環(huán)境,并鼓勵信息安全加密技術(shù)發(fā)展,確保信息安全。
2.5 系統(tǒng)證書管理機(jī)制設(shè)計
為了實(shí)現(xiàn)上述系統(tǒng)的安全運(yùn)行,需要科學(xué)數(shù)字證書管理系統(tǒng),證書管理系統(tǒng)包含證書服務(wù)器設(shè)置、數(shù)字證書申請與認(rèn)證、證書安裝等。
2.5.1 證書服務(wù)器的設(shè)置。證書服務(wù)器即CA(Certificate Authority,認(rèn)證中心),采用特定服務(wù)器系統(tǒng)申請并設(shè)置獨(dú)立的認(rèn)證密保CA即可。服務(wù)器申請建立的獨(dú)立根CA即可。
2.5.2 數(shù)字證書申請。用戶利用瀏覽器通過通過IIS提供數(shù)字證書申請的證書申請功能(http://servername/certsrv,其中server nanle數(shù)字證書服務(wù)器的名稱)來實(shí)施數(shù)字證書的申請操作,用戶輸入證書服務(wù)器網(wǎng)址后可以根據(jù)申請到的證書設(shè)置登陸與使用權(quán)限的密鑰。
2.5.3 頒發(fā)證書。微軟Windows系統(tǒng)數(shù)字證書設(shè)置操作過程所采用的證書文本格式為標(biāo)準(zhǔn)的X.509v3證書格式。X.509證書系統(tǒng)包含申請證書用戶的個人電腦與云端數(shù)據(jù)庫信息、證書使用權(quán)限與密鑰格式、頒發(fā)證書的權(quán)威機(jī)構(gòu)信息等。一般證書申請后都包括公用密保與私人密保兩部分證書,證書格式大多為pfx。如果用戶用傳輸保密數(shù)據(jù)或者將云端數(shù)據(jù)進(jìn)行加密操作,可以將公共密保的證書部分發(fā)送給數(shù)據(jù)加密的第三方服務(wù)器,數(shù)字證書內(nèi)容除以pfx格式存儲于系統(tǒng)程序中,還可以存儲于證書系統(tǒng)的加密程序存儲器中。
2.5.4 證書安裝。用戶經(jīng)申請獲得認(rèn)證的數(shù)字證書后,還需要將含有個人密保設(shè)定的證書安裝在用戶個人計算機(jī)中,以確認(rèn)證書的可用性與保密的唯一性,并利用證書安全檢驗(yàn)程序驗(yàn)證個人設(shè)定的安全密鑰。將含有公鑰的證書安裝在需要發(fā)信息的客戶端,用其簽名和加密消息,以保證數(shù)據(jù)信息傳輸?shù)耐暾?、可靠性和唯一性?/p>
2.6 數(shù)據(jù)訪問控制
用戶使用互聯(lián)網(wǎng)進(jìn)行加密數(shù)據(jù)的數(shù)據(jù)通信時,亦可以對加密數(shù)據(jù)設(shè)定特定的訪問權(quán)限,即對其他互聯(lián)網(wǎng)用戶進(jìn)行訪問控制,訪問控制可以通過物理方式或者計算機(jī)安全保密系統(tǒng)實(shí)施特定的設(shè)置。因此計算機(jī)訪問控制功能能夠?qū)μ囟ㄓ脩艋蛘叻?wù)器中的特定信息設(shè)定訪問權(quán)限。就基于角色訪問控制而言,訪問控制針對的是訪問的特定角色,私人使用者是某個網(wǎng)絡(luò)團(tuán)體的一部分,針對每一部分進(jìn)行設(shè)定,更能夠體現(xiàn)訪問控制的智能化、人性化。用戶具有指派的角色定義角色的過程應(yīng)該基于對組織運(yùn)轉(zhuǎn)的徹底分析,應(yīng)該包括來自一個組織中更廣范圍用戶的輸入。
3 結(jié)束語
基于WEB信息系統(tǒng)安全架構(gòu)研究是信息系統(tǒng)安全研究領(lǐng)域的一個重要內(nèi)容,目前在此方面還缺乏對一些基本問題的共同認(rèn)識和理解,因此,該文討論了基于WEB信息系統(tǒng)安全架構(gòu)的類型和構(gòu)成要素,并提出了基于WEB信息系統(tǒng)安全架構(gòu)的構(gòu)建步驟,目的在于從整體上理順和發(fā)展信息系統(tǒng)安全架構(gòu)的基本概念,以實(shí)現(xiàn)基于WEB信息系統(tǒng)安全架構(gòu)的構(gòu)建和應(yīng)用。
參考文獻(xiàn):
[1]王立新,周元.計算機(jī)網(wǎng)絡(luò)安全技術(shù)的問題及解決辦法[J].中國科技信息,2008(06).
[2]莫瑞·加瑟.計算機(jī)安全的技術(shù)與方法[M].吳亞非,譯.北京:電子工業(yè)出版社,1992.
[3]段海新,吳建平.計算機(jī)網(wǎng)絡(luò)安全體系的一種框架結(jié)構(gòu)及其應(yīng)用[J].計算機(jī)工程與應(yīng)用,2000.
[4]張英朝等,基于智能協(xié)作技術(shù)的信息系統(tǒng)安全體系結(jié)構(gòu)研究[J].計算機(jī)學(xué)報,2002.
作者單位:北京天航信民航通信網(wǎng)絡(luò)發(fā)展有限公司,北京 100222