◆代俊雅

（北京理工大學(xué)珠海學(xué)院計算機(jī)學(xué)院 廣東 519088）

安全設(shè)計在WEB應(yīng)用程序的研究

◆代俊雅

（北京理工大學(xué)珠海學(xué)院計算機(jī)學(xué)院 廣東 519088）

計算機(jī)網(wǎng)絡(luò)技術(shù)隨著科學(xué)技術(shù)的發(fā)展也在快速地發(fā)展，電子商務(wù)也在不斷地完善和發(fā)展，在開發(fā)軟件系統(tǒng)應(yīng)用程序的領(lǐng)域中，占有了很大的比重。從當(dāng)前來看，發(fā)展網(wǎng)絡(luò)安全方面相關(guān)的研究，在各種安全的技術(shù)上應(yīng)用都比較廣泛。但是，對于程序中的軟件設(shè)計者，如何提升應(yīng)用 WEB程度的安全性，對研究的工作者相對還比較少，在全球化網(wǎng)絡(luò)環(huán)境的普及下，怎樣使網(wǎng)絡(luò)安全環(huán)境的穩(wěn)定能夠得以保證，必須要利用安全設(shè)計。

安全設(shè)計；網(wǎng)絡(luò)；WEB應(yīng)用程序

0 前言

最近幾年，計算機(jī)通信的技術(shù)發(fā)展很快，網(wǎng)絡(luò)購物和辦公以及支付等已經(jīng)得到了普遍應(yīng)用，在互聯(lián)網(wǎng)上，許多的事情已經(jīng)在逐步地變?yōu)楝F(xiàn)實(shí)，但是，互聯(lián)網(wǎng)在現(xiàn)代化中，還是一個比較危險的環(huán)境[1]。為了使現(xiàn)代企業(yè)應(yīng)用程序得以有效的保護(hù)，必須要有控制的措施和安全性的策略。

1 WEB安全的相關(guān)技術(shù)

1.1 身份驗證技術(shù)

身份驗證技術(shù)是一個實(shí)體的過程，就是一個主體對于另外一個主體有無確實(shí)的確認(rèn)。在這個過程中，客戶身份的使用也是一個主體，在WEB應(yīng)用程序中，驗證身份會以各種的異同位置出現(xiàn)，對于WEB應(yīng)用程序，用戶進(jìn)行連接時，WEB服務(wù)器能夠驗證用戶身份；WEB應(yīng)用程序中，如果將WEB頁調(diào)為com+組件時，該組件也可以驗證用戶身份[2]。

1.2 授權(quán)技術(shù)

授權(quán)技術(shù)就是在驗證身份后，主體所需要訪問的一部分資源，能夠通過檢查驗證的身份主體將它所請求資源進(jìn)行有效的訪問，從而將該主體訪問的權(quán)限進(jìn)行決定。主要由比較主體和訪問控制信息兩個方面決定訪問的權(quán)限[3]。

1.3 安全審核技術(shù)

審核是有效地將嘗試訪問和訪問特權(quán)以及其余安全性操作等各種不同信息進(jìn)行收集。審核各種信息后，注入到日志中，對于日后分析各種信息都非常有幫助，日志對于調(diào)試WEB應(yīng)用程序的協(xié)助也非常有幫助，如果沒有日志，只能單一地憑借判斷，會受到資源的拒絕訪問[4]。

1.4 完整性技術(shù)

完整性技術(shù)就是刪掉或者修改數(shù)據(jù)的能力不會隨便地了出現(xiàn)，從而使發(fā)送和收到的信息與歷史的數(shù)據(jù)達(dá)到完全一致[5]。在可編程簽名的數(shù)據(jù)內(nèi)，應(yīng)用該技術(shù)傳奇，數(shù)據(jù)哈希值（Hash value）利用編程格式進(jìn)行創(chuàng)建，將其與歷史數(shù)據(jù)一同發(fā)送，所收到數(shù)據(jù)如果與哈希值（Hash value）能夠相互匹配，接收人就能夠?qū)?shù)據(jù)掌握，并且沒有一點(diǎn)改變出現(xiàn)。

1.5 安全保密技術(shù)

安全保密技術(shù)將沒用經(jīng)過授權(quán)所使用的用戶信息進(jìn)行隱藏，采用的大部分是加密的技術(shù)，用戶之間能夠?qū)C(jī)密信息進(jìn)行發(fā)送，但是，這些消息其余用戶即便利用網(wǎng)絡(luò)協(xié)議分析器也很難看到[6]。

1.6 認(rèn)可技術(shù)

認(rèn)可技術(shù)就是對于已經(jīng)產(chǎn)生的操作進(jìn)行證明，在進(jìn)行操作的過程中，將無端的拒絕進(jìn)行預(yù)防，將授權(quán)訪問、身份驗證、完整性數(shù)據(jù)以及安全審核提供給認(rèn)可計劃的完整性，對于電子商務(wù)發(fā)展具有至關(guān)重要的現(xiàn)實(shí)意義。

2 WEB應(yīng)用程序安全設(shè)計的方法

2.1 確定的威脅

對于WEB應(yīng)用程序信息和產(chǎn)品以及有關(guān)的業(yè)務(wù)需求進(jìn)行有效的收集，必須要將設(shè)計說明和結(jié)構(gòu)圖編出來，在收集完成任務(wù)以后，就是對WEB應(yīng)用程序安全性威脅設(shè)計的確定，應(yīng)該根據(jù)商業(yè)風(fēng)險的執(zhí)行進(jìn)行威脅的界定，當(dāng)不斷地增加商業(yè)風(fēng)險時，威脅的影響就會變大[7]。

2.2 識別受到保護(hù)的資源

分析WEB應(yīng)用程序威脅時，首先，應(yīng)該對說明書和設(shè)計規(guī)格里遭遇的襲擊資源進(jìn)行有效的識別，有一部分在各個組織里受到了保護(hù)，遭受潛伏攻擊資源就會避開。對于WEB站點(diǎn)的訪問，網(wǎng)絡(luò)上的任何人都可以進(jìn)行，但是，使用網(wǎng)絡(luò)站點(diǎn)里資源，不同程度的威脅感染都容易遭受。

2.3 風(fēng)險計算與威脅先后順序的區(qū)分

識別WEB應(yīng)用程序威脅以后，對于每一種不同的威脅成本，應(yīng)該清楚地進(jìn)行避免，將該成本與受保護(hù)資源價值進(jìn)行比較，對于威脅前后次序比較方便。將出現(xiàn)某單個威脅幾率與該威脅的乘積所遭受的影響進(jìn)行識別和掌握，也就是對影響的了解和掌握。

2.4 評估威脅利用安全性措施

安全性措施能夠有效地滿足電腦網(wǎng)絡(luò)需求度的保護(hù)需求，能夠保護(hù)信息的有效性和機(jī)密性以及完整性，同時監(jiān)測安全性的響應(yīng)和事故以及預(yù)防過程也包括在內(nèi)，在對WEB應(yīng)用程序的安全性設(shè)計和規(guī)劃的過程中，為可靠框架結(jié)構(gòu)得以實(shí)現(xiàn)進(jìn)行了提供。

2.5 選擇安全性技術(shù)

防御引起相對的特殊威脅時，只對一種技術(shù)進(jìn)行應(yīng)用時，安全性的疏漏容易出現(xiàn)，所以，在對安全性技術(shù)使用進(jìn)行選擇時，正解性非常重要。對應(yīng)用不同類型的技術(shù)進(jìn)行選擇，對于應(yīng)用于防御威脅所用的決策是否切實(shí)可行必須要清楚，再結(jié)合決策的制定對技術(shù)進(jìn)行選擇。

2.6 加強(qiáng)設(shè)計安全服務(wù)，減輕風(fēng)險

如果想要減輕各種類型的風(fēng)險，可以將安全性服務(wù)的 WEB應(yīng)用程序創(chuàng)建起來，主要的目的是在安全性策略允許的界限內(nèi)減輕風(fēng)險[8]。在將安全性服務(wù)進(jìn)行創(chuàng)建時，安全性技術(shù)可以作為一個獨(dú)立的組件進(jìn)行運(yùn)行，這對于降低WEB應(yīng)用程序耦合性能夠起到促進(jìn)的作用。

3 總結(jié)

綜上所述，本文對WEB安全有關(guān)的技術(shù)進(jìn)行了介紹，分析了WEB應(yīng)用程序的安全設(shè)計過程，同時，對WEB應(yīng)用程序的可行性和設(shè)計方法以及應(yīng)用效益進(jìn)行了驗證，具有至關(guān)重要的現(xiàn)實(shí)意義。

[1]楊艷梅.Web應(yīng)用程序安全設(shè)計及應(yīng)用技術(shù)的研究[J].電子技術(shù)與軟件工程，2014.

[2]鐘文德，邱丹青.WEB應(yīng)用程序安全設(shè)計及應(yīng)用技術(shù)的研究[J].中國新技術(shù)新產(chǎn)品，2014.

[3]吳羽翔.基于模塊化設(shè)計的Web應(yīng)用程序漏洞利用框架研究與開發(fā)[J].計算機(jī)光盤軟件與應(yīng)用，2014.

[4]許巖波.Web應(yīng)用防火墻站點(diǎn)安全與雙機(jī)熱備模塊設(shè)計與實(shí)現(xiàn)[D].北京交通大學(xué)，2013.

[5]栗國斌.基于灰盒測試的 Web應(yīng)用程序安全漏洞檢測[D].北京化工大學(xué)，2013.

[6]閆波波.Web應(yīng)用安全滲透測試工具的設(shè)計與實(shí)現(xiàn)[D].天津大學(xué)，2012.

[7]劉鵬.PHPWeb應(yīng)用程序安全性研究及安全漏洞檢測工具開發(fā)[D].西安電子科技大學(xué)，2012.

[8]趙博.基于靜態(tài)代碼分析的Web應(yīng)用安全漏洞檢測系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D].北京郵電大學(xué)，2012.