王洪亮

摘 要：Web應(yīng)用程序的應(yīng)用范圍越來越廣泛，進(jìn)而引發(fā)不法分子的惡意攻擊，給企業(yè)和用戶的信息安全帶來極大的威脅，加強(qiáng)Web應(yīng)用程序的安全保護(hù)就成為當(dāng)前面臨的緊迫任務(wù)。本文主要圍繞Web應(yīng)用程序的安全防護(hù)展開相關(guān)論述。

關(guān)鍵詞：Web;應(yīng)用程序;安全防護(hù);服務(wù)器

1 概述

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企事業(yè)單位在構(gòu)建內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)和對外信息發(fā)布平臺時，都不可避免地要使用Web應(yīng)用技術(shù)。該技術(shù)不僅能為用戶提供簡單便捷的交互平臺，還為信息服務(wù)商提供了構(gòu)建信息系統(tǒng)的標(biāo)準(zhǔn)化技術(shù)，因此在各個領(lǐng)域得到了廣泛的應(yīng)用。伴隨著Web技術(shù)應(yīng)用范圍的不斷擴(kuò)大，針對該應(yīng)用程序的攻擊也越來越多，Web應(yīng)用技術(shù)的安全正在遭受前所未有的威脅和調(diào)整。

2 Web應(yīng)用安全問題產(chǎn)生原因分析

2.1 Web應(yīng)用程序自身的原因

早期的萬維網(wǎng)只能提供靜態(tài)的HTML頁面瀏覽服務(wù)，站點用戶不需要通過身份驗證即可享受服務(wù)，這種情況下Web站點的安全僅與Web服務(wù)器軟件機(jī)操作系統(tǒng)的漏洞有關(guān)，解決這兩部分的安全問題，就可為Web站點的安全提供有力保障。而當(dāng)前的萬維網(wǎng)提供的服務(wù)已經(jīng)逐漸升級到動態(tài)解析應(yīng)用程序的層面，即Web應(yīng)用程序，該程序能夠為用戶提供注冊、登錄、搜索、交易等與用戶身份密切相關(guān)的服務(wù)，這些服務(wù)需要在客戶端和服務(wù)器之間進(jìn)行雙向數(shù)據(jù)交互才能完成，而交互的數(shù)據(jù)可能包括了用戶的個人隱私或機(jī)密信息。但Web程序在開發(fā)過程中可能存在的技術(shù)漏洞，就成為引發(fā)各種安全問題的主要原因。Web站點上運行程序不同，存在的漏洞也各具差異：Web應(yīng)用程序無法對客戶端的操作進(jìn)行有效干預(yù)，用戶可向應(yīng)用程序提交任意的請求指令，而指令中一旦含有錯誤或異常信息，就會對應(yīng)用程序的安全性產(chǎn)生威脅。常見的安全隱患主要有以下幾種：攻擊者可以對客戶端和服務(wù)器間的交互數(shù)據(jù)進(jìn)行篡改;攻擊者利用惡意參數(shù)，改變用戶輸入的最初假設(shè)，引發(fā)程序異常;攻擊者利用智能化的攻擊工具影響瀏覽器的正常服務(wù)，或短時間內(nèi)產(chǎn)生大量請求，然后利用程序漏洞達(dá)到自身的攻擊目的。

2.2 安全意識薄弱

Web應(yīng)用程序客戶端用戶對應(yīng)用安全問題沒有引起足夠的重視，在應(yīng)用程序過程中沒有形成良好的用網(wǎng)習(xí)慣;而Web應(yīng)用程序的開發(fā)人員對該應(yīng)用領(lǐng)域的核心概念了解不夠深入，甚至存在誤解，直接導(dǎo)致Web應(yīng)用程序在設(shè)計過程中就存在設(shè)計缺陷，為程序的后期應(yīng)用的安全埋下了隱患。

2.3 其他原因

在設(shè)計Web應(yīng)用程序時，濫用第三方模塊，影響了程序的性能;缺乏高質(zhì)量的安全測試，只對程序進(jìn)行快速滲透測試，使程序中的隱蔽漏洞無法及時發(fā)現(xiàn);安全威脅更新速度快，在程序研發(fā)初期對技術(shù)漏洞進(jìn)行有效處理后，會在短時間內(nèi)生產(chǎn)新的威脅。

3 Web應(yīng)用程序安全防護(hù)研究

3.1 應(yīng)用層安全防護(hù)技術(shù)

Web應(yīng)用程序研發(fā)及使用之前，企業(yè)只要從網(wǎng)絡(luò)邊界低于外部網(wǎng)絡(luò)的攻擊就可對內(nèi)部網(wǎng)進(jìn)行有效的安全防護(hù)，常用的安全防護(hù)技術(shù)有修補(bǔ)系統(tǒng)漏洞、加強(qiáng)對開放服務(wù)的安全管理、在網(wǎng)絡(luò)邊界上部署防火墻和入侵監(jiān)測系統(tǒng)等一系列安全設(shè)備。

Web應(yīng)用程序接收外網(wǎng)用戶輸入方式具有多樣性，與內(nèi)部網(wǎng)絡(luò)重要數(shù)據(jù)的交互同樣具有多樣性，這就對Web應(yīng)用程序的安全防護(hù)技術(shù)提出了嚴(yán)峻的挑戰(zhàn)。在設(shè)計Web應(yīng)用程序安全防護(hù)措施時，應(yīng)從以下幾方面進(jìn)行考慮：①對用戶的輸入數(shù)據(jù)進(jìn)行安全檢測，防止惡意輸入或輸入非法數(shù)據(jù);②對Web用戶的訪問權(quán)限進(jìn)行檢測，防止不良用戶的惡意入侵;③對攻擊行為進(jìn)行快速、準(zhǔn)確的識別，為Web應(yīng)用程序的正常運轉(zhuǎn)提供安全保障，同時對攻擊者的非法行為進(jìn)行極力挫敗;④協(xié)助管理員對Web應(yīng)用程序的異常行為進(jìn)行實時監(jiān)控，在發(fā)生異常情況時，及時發(fā)出警報。

3.2 綜合層面的Web應(yīng)用程序安全防護(hù)措施

除應(yīng)用層外，Web服務(wù)器主機(jī)平臺同樣面臨著安全威脅，分布式拒絕服務(wù)（DDos）、端口掃描攻擊等，因此在構(gòu)建Web應(yīng)用程序安全防御系統(tǒng)時，不僅要從應(yīng)用層面進(jìn)行構(gòu)建，還應(yīng)從服務(wù)器平臺層面進(jìn)行構(gòu)建，以達(dá)到對Web應(yīng)用平臺的全面保護(hù)。

第一，Web服務(wù)器在部署完畢后，由于管理水平和技術(shù)水平限制的原因，可能會在服務(wù)器上配置或開啟了一些不必要的服務(wù)，這些不必要的服務(wù)就成為攻擊者入侵程序的入口。Web安全防護(hù)系統(tǒng)可提供安全檢測功能，對操作系統(tǒng)及Web服務(wù)器軟件中可能存在的安全隱患進(jìn)行掃描，管理員結(jié)合生產(chǎn)的掃描報告對安全漏洞進(jìn)行及時修復(fù)，一定程度上可提高系統(tǒng)的安全性。

第二，可獲取服務(wù)器運行狀態(tài)的信息，為管理員對系統(tǒng)運行的安全性提供判斷依據(jù)。其中系統(tǒng)信息應(yīng)包括系統(tǒng)硬件的基本信息、系統(tǒng)軟件的相關(guān)信息、CPU利用率、硬盤內(nèi)存利用率、TCP和UDP網(wǎng)絡(luò)連接情況、Windows系統(tǒng)服務(wù)情況等，管理員根據(jù)以上信息，可對系統(tǒng)的安全性進(jìn)行初步定位。

第三，實時監(jiān)測功能的利用。利用實時監(jiān)測功能，對系統(tǒng)的運行性能進(jìn)行檢測，當(dāng)系統(tǒng)性能的運行指標(biāo)出現(xiàn)異常時，系統(tǒng)能夠生成告警并對其進(jìn)行記錄。例如，當(dāng)系統(tǒng)受到DDos攻擊時，系統(tǒng)性能會發(fā)生改變，結(jié)合系統(tǒng)的歷史記錄、實時告警指標(biāo)等對其進(jìn)行判斷，查看系統(tǒng)是否正在遭受DDos攻擊，以便及時采取有效保護(hù)措施。

第四，當(dāng)網(wǎng)站數(shù)量較多時，應(yīng)對網(wǎng)站進(jìn)行集中式統(tǒng)一管理。用戶可將網(wǎng)站的相關(guān)信息和攻擊數(shù)據(jù)提交到統(tǒng)一的數(shù)據(jù)服務(wù)器保存，這種集中式統(tǒng)一管理模式為管理員對網(wǎng)站上安裝的Web防護(hù)系統(tǒng)的遠(yuǎn)程監(jiān)督和管理提供了便利。

4 結(jié)語

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企業(yè)、政府、個人對Web應(yīng)用程序的依賴程度越來越高，這就使得不法分子開始利用各種攻擊工具對應(yīng)用程序進(jìn)行非法侵入，以達(dá)到自己的攻擊目的。Web應(yīng)用程序的安全防護(hù)不僅需要設(shè)計人員從應(yīng)用層面和系統(tǒng)層面對其進(jìn)行安全防御體系建立，還應(yīng)從提高用戶方的安全防護(hù)意識入手，以便建立全方位的安全防御體系。

參考文獻(xiàn)：

[1]李昌.Web應(yīng)用安全防護(hù)技術(shù)研究與實現(xiàn)[D].中南大學(xué)，2010.

[2]李必云，石俊萍.Web攻擊及安全防護(hù)技術(shù)研究[J].電腦知識與技術(shù)，2009，5（31）：8647-8649.

[3]龍興剛.Web應(yīng)用的安全現(xiàn)狀與防護(hù)技術(shù)研究[J].通信技術(shù)，2013（7）：63-66.