張正東

由于B/S架構(gòu)的兼容性和開放性，以及Web訪問對用戶端的低成本需求，Web應(yīng)用系統(tǒng)被大量部署和采用，因此，Web應(yīng)用系統(tǒng)安全隱患的識別、檢測與防范十分重要，需要從技術(shù)層面進行分析，并結(jié)合運維實踐，提出安全技術(shù)措施。

一、Web訪問機理概述

Web在網(wǎng)頁設(shè)計中稱為網(wǎng)頁，表現(xiàn)為三種形式，即超文本（Hypertext）、超媒體（Hypermedia）、超文本傳輸協(xié)議（HTTP）等。用戶的Web訪問具有不確定性，其瀏覽順序和內(nèi)容完全由用戶自己決定，用戶通過填寫FORM向服務(wù)器提交獲得動態(tài)信息的請求、服務(wù)器根據(jù)用戶請求返回結(jié)果信息。

用戶在瀏覽器上輸入URL（Uniform Resource Locator統(tǒng)一資源定位符），域名系統(tǒng)進行解析后確定IP地址，向在IP地址映射的服務(wù)器發(fā)送一個HTTP請求。在通常情況下HTML文本、圖片和該網(wǎng)頁的一切其他文件會被逐一推送回用戶端，瀏覽器生成用戶所看到的“網(wǎng)頁”。

由于B/S架構(gòu)和Web訪問對用戶端的配置需求和維護成本極低，越來越多的應(yīng)用系統(tǒng)采用此種方式進行部署，成為Web應(yīng)用系統(tǒng)。

二、Web應(yīng)用系統(tǒng)面臨安全威脅

Web應(yīng)用系統(tǒng)面臨的安全威脅主要表現(xiàn)在非授權(quán)訪問、偽用戶登錄、破壞數(shù)據(jù)完整性等方面。它們主要利用以下途徑：應(yīng)用軟件系統(tǒng)自身的漏洞、應(yīng)用軟件系統(tǒng)的安全體系缺陷、合法用戶的安全意識薄弱以及安全管理制度缺失。安全威脅分為人為威脅和自然威脅，人為威脅都是有目的的惡意攻擊，人為威脅分為主動性攻擊和被動性攻擊兩大類。

（一）主動性攻擊

主動攻擊是指攻擊者未經(jīng)授權(quán)和許可，截獲或篡改系統(tǒng)管理權(quán)限、拒絕或中止某些用戶對系統(tǒng)的合法訪問行為。這方面攻擊往往是對數(shù)據(jù)通道中正在傳輸?shù)臄?shù)據(jù)單元進行更改、刪除、延遲、拷貝重發(fā)或插入、合成或偽造等各種惡意處理行為，并以更改報文流、拒絕報文服務(wù)、偽造連結(jié)初始化等形式達到攻擊目的。主動攻擊通常易于探測但卻難于防范。

（二）被動性攻擊

被動攻擊是指攻擊者通過監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)男畔⒘?、截獲信息內(nèi)容的行為。這類攻擊主要是為了獲得信息流長度、傳輸頻率等技術(shù)性要素，同時觀察和解析數(shù)據(jù)單元包含的信息（如用戶數(shù)據(jù)、協(xié)議控制信息），但不纂改或破壞數(shù)據(jù)單元內(nèi)容。攻擊者通過這種看似“安全”行為來了解和熟悉正在進行的通信詳情，以便達到用其他方法竊取或破壞應(yīng)用系統(tǒng)和數(shù)據(jù)資源的攻擊目的。因此，相對主動性攻擊而言，信息發(fā)送者和接收者發(fā)現(xiàn)被動攻擊是困難的。通常情況下，通過對用戶信息進行加密可以避免被動攻擊。

由此可見，Web應(yīng)用系統(tǒng)可能受到的攻擊和攻擊形式是多種多樣的，而且往往是多種攻擊同時存在。如何有效防范非法攻擊、提高應(yīng)用系統(tǒng)安全性是一項復(fù)雜的任務(wù)，需要通過多種安全服務(wù)措施和健全管理機制來實現(xiàn)。

三、如何有效地提高Web應(yīng)用系統(tǒng)的安全性

為了保證應(yīng)用系統(tǒng)的安全運行，保護計算機硬件、軟件和系統(tǒng)數(shù)據(jù)不被攻擊、破壞、更改或泄漏，需要從技術(shù)方面采用以下安全措施。

（一）應(yīng)用防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的網(wǎng)絡(luò)應(yīng)用安全技術(shù)，可應(yīng)用在企事業(yè)單位內(nèi)部專用網(wǎng)絡(luò)，以及內(nèi)部網(wǎng)絡(luò)與外部公用網(wǎng)絡(luò)互聯(lián)環(huán)境條件下，尤其是以接入Internet網(wǎng)絡(luò)使用最為廣泛。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的外部公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列硬件和軟件的組合，是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，它能根據(jù)用戶的安全政策（允許、拒絕、監(jiān)測）控制出入網(wǎng)絡(luò)的信息流，且有較強的抗攻擊能力。防火墻能夠提供信息安全服務(wù)，在邏輯上，防火墻既是一個分離器、限制器，又是一個分析器，能夠有效地監(jiān)控內(nèi)部網(wǎng)和外部公用網(wǎng)絡(luò)的信息交互活動，以保證內(nèi)部網(wǎng)絡(luò)的安全。

1. 企業(yè)網(wǎng)絡(luò)級防火墻，用來防止整個內(nèi)部安全網(wǎng)絡(luò)檢測外部的非法入侵，包括分組過濾和授權(quán)服務(wù)器。分組過濾負(fù)責(zé)檢查所有流入內(nèi)部網(wǎng)絡(luò)的信息，拒絕所有不符合內(nèi)部網(wǎng)絡(luò)預(yù)定安全策略的數(shù)據(jù)，授權(quán)服務(wù)器則檢查系統(tǒng)用戶的登錄是否合法。

2. 企業(yè)應(yīng)用級防火墻，從應(yīng)用程序入手對訪問接入進行控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用，如只允許某類用戶訪問外部網(wǎng)絡(luò)，但阻止FTP應(yīng)用的通過。

（二）增強用戶管理的安全性

Web應(yīng)用系統(tǒng)企事業(yè)單位內(nèi)部多個單位及部門的用戶同時登錄和使用，因此在系統(tǒng)安全性設(shè)計上，可采用角色管理和用戶身份驗證的安全策略。

1. 角色管理

角色管理將應(yīng)用系統(tǒng)中不同模塊權(quán)限和對象權(quán)限建立映射關(guān)系而形成集合，即角色。通過對系統(tǒng)功能模塊的劃分，不同角色對不同模塊具有不同的訪問控制權(quán)限，從而限制了無關(guān)用戶對特定功能模塊的訪問。

2. 系統(tǒng)用戶身份驗證

身份驗證技術(shù)通過登錄用戶向應(yīng)用系統(tǒng)出示自己身份證明、系統(tǒng)核查用戶身份證明的有效性來判斷和確認(rèn)通信雙方的真實有效身份。應(yīng)用系統(tǒng)依靠Internet信息服務(wù)（IIS）的身份驗證技術(shù)和Windows NT文件系統(tǒng)的訪問控制。訪問請求通過網(wǎng)絡(luò)客戶進入IIS，IIS可以選擇使用基本的、簡要的或集成的Windows 身份驗證技術(shù)對客戶進行身份驗證。如果驗證通過。那么IIS將根據(jù)驗證后的結(jié)構(gòu)生成新的對ASP.NET程序的訪問，從而簡化了系統(tǒng)設(shè)計中安全驗證的工作量。如圖1。

（三）增強ASP.NET程序的安全性

Web應(yīng)用系統(tǒng)在程序設(shè)計過程中，采取以下措施來提高安全性。

1. 防止SQL注入攻擊。在編寫代碼時，要禁止用戶輸入非法、危險和內(nèi)定義的字符，如單引號（或）、or、and、*、<、>、空格等，同時在客戶端和服務(wù)器端都要對用戶輸入的信息進行驗證；同時，在編寫程序中要盡量使用存儲過程技術(shù)。使用存儲過程不僅可以防止某些類型的SQL注入式攻擊，還可以提高SQL語句的執(zhí)行速度；在程序出現(xiàn)異常時，程序會自動跳轉(zhuǎn)到固定頁面，而不是將錯誤信息顯示給用戶，防止代碼被截獲。

2. 為了有效管控對業(yè)務(wù)數(shù)據(jù)的訪問授權(quán)，防止用戶冒名登錄、或者直接在瀏覽器地址欄中輸入鏈接地址、從而進入某個超出用戶權(quán)限的頁面，可為Session設(shè)置有效期。當(dāng)Session值過期時，該登錄賬號失去了再次使用系統(tǒng)的權(quán)利，必須重新登錄系統(tǒng)，這樣可以防止用戶離開計算機時被冒名使用。如圖2。

3. Web應(yīng)用系統(tǒng)一般具有附件上傳和導(dǎo)出下載功能。在附件上傳時，為了防止惡意上傳破壞系統(tǒng)，需要在上傳時對文件類型進行判斷和驗證。除特定文件類型外，其他類型的文件一律禁止上傳，尤其是后綴為asp、aspx及exe的文件。

（四）在數(shù)據(jù)庫管理中應(yīng)用數(shù)據(jù)加密技術(shù)

由于應(yīng)用系統(tǒng)的關(guān)鍵信息和數(shù)據(jù)都存儲在數(shù)據(jù)庫中，因此，數(shù)據(jù)庫加密是Web應(yīng)用系統(tǒng)安全的重要環(huán)節(jié)。數(shù)據(jù)加密技術(shù)是把重要應(yīng)用數(shù)據(jù)經(jīng)過特定算法加密后、再進行傳送；加密后的數(shù)據(jù)信息不易被非法入侵者閱讀或理解，到達目的地后再進行解密還原。根據(jù)加密密鑰和解密密鑰在性質(zhì)上的不同，ASP.NET應(yīng)用中提供了兩種加密算法，即對稱加密算法和非對稱加密算法。

1. 對稱加密是加密和解密使用相同密鑰的加密算法。它的優(yōu)點是保密程度較高、運算負(fù)載小、處理速度快、使用方便快捷、密鑰短且破譯困難。由于持有密鑰的雙方都可以使用該密鑰解密數(shù)據(jù)，因此必須保證密鑰不被未經(jīng)授權(quán)的非法用戶得到。在對稱加密算法中廣泛使用的是DES加密算法。

2. 非對稱加密是加密和解密使用不同密鑰的加密算法。它使用了一對密鑰，一個用于加密信息、另一個用于解密信息。通信雙方無需事先交換密鑰就可以進行保密通信。但是加密密鑰不同于解密密鑰，加密密鑰是公開的，任何人都可以使用；而解密密鑰只有解密方 掌握。兩個密鑰之間存在著相互依存關(guān)系：即用其中任一個密鑰加密的信息只能用另一密鑰進行解密，它只可加密少量數(shù)據(jù)。在非對稱加密算法中普遍使用的是RSA加密算法。

在實際應(yīng)用中，可采用RSA與DES混合加密體制的方式進行數(shù)據(jù)信息加密?？梢杂脤ΨQ加密算法（DES加密算法）加密較長的明文，用非對稱加密算法（RSA加密算法）加密數(shù)字簽名等較短的數(shù)據(jù)，這樣既保證了數(shù)據(jù)的保密強度，又加快了系統(tǒng)運算速度。

四、完善數(shù)據(jù)安全備份策略

Web應(yīng)用系統(tǒng)的關(guān)系數(shù)據(jù)庫管理系統(tǒng)，一般均具備數(shù)據(jù)備份功能。數(shù)據(jù)備份方式有完全備份、差異備份以及增量備份三種。

（一）完全備份（Full Backup）

完全備份是指對某一個時間點上所有數(shù)據(jù)或應(yīng)用進行一個完全拷貝。實際應(yīng)用中就是用一盤磁帶對整個系統(tǒng)進行完全備份，包括其中的系統(tǒng)和所有數(shù)據(jù)，完全備份會清除 文件屬性。完全備份的優(yōu)點是大大節(jié)省系統(tǒng)或數(shù)據(jù)恢復(fù)的時間。缺點是，各個全備份磁帶中的備份數(shù)據(jù)存在大量的重復(fù)信息；由于每次需要備份的數(shù)據(jù)量較大，因此備份所需時間較長。

（二）增量備份（Incremental Backup）

增量備份是指在一次全備份或上一次增量備份后，以后每次的備份只需備份與前一次相比增加和者被修改的文件。增量備份只備份有標(biāo)記的選中的文件和文件夾，它清除標(biāo)記，既：備份后標(biāo)記文件，換言之，清除存檔屬性。

增量備份的優(yōu)點就是沒有重復(fù)的備份數(shù)據(jù)，因此備份數(shù)據(jù)量不大、備份所需的時間很短。缺點是對備份磁帶連續(xù)性要求較高導(dǎo)致的可靠性降低，如果環(huán)節(jié)中間有一個磁帶出現(xiàn)故障，整個數(shù)據(jù)恢復(fù)將失敗、風(fēng)險較大；其次是恢復(fù)過程必須沿著從全備份到依次增量備份的時間順序倒序恢復(fù)，因此恢復(fù)時間較長。

（三）差異備份（Differential Backup）

差異備份是指在一次完全備份后至本次備份的時間段內(nèi)，對增加或者修改文件進行備份。差異備份只備份有選中標(biāo)記的文件和文件夾，不清除標(biāo)記，即在備份后對已備份文件不做標(biāo)記。換言之，不清除存檔屬性。在數(shù)據(jù)恢復(fù)時，只需對第一次全備份和最后一次差異備份進行恢復(fù)。

差異備份在避免了其它兩種備份策略缺點的同時，兼顧了它們各自的優(yōu)點。首先，它具有了增量備份需要時間短、節(jié)省磁盤空間的優(yōu)勢；其次，它又具有了全備份恢復(fù)所需磁帶少、恢復(fù)時間短的特點。系統(tǒng)運維人員只需要兩盤磁帶，即全備份磁帶與災(zāi)難發(fā)生前一天的差異備份磁帶，就可以將數(shù)據(jù)恢復(fù)。

在數(shù)據(jù)庫運維實踐中，無論采用何種備份方式，運維人員都要嚴(yán)格執(zhí)行技術(shù)規(guī)范和管理制度，首先在操作過程中對備份時間、備份對象、備份策略做好手工記錄，其次在備份介質(zhì)的標(biāo)簽上記錄備份時間和備份編號，第三要把備份介質(zhì)異地、安全保管，預(yù)防系統(tǒng)硬件和備份介質(zhì)同時遭遇水、火、盜竊、電磁等災(zāi)難性事故。

Web應(yīng)用系統(tǒng)的安全管理，要結(jié)合系統(tǒng)運行的具體環(huán)境和條件，從網(wǎng)絡(luò)環(huán)境、用戶管理、程序設(shè)計開發(fā)、數(shù)據(jù)加密和數(shù)據(jù)備份等方面對可能存在的安全威脅進行分析，制定有效可行的安全防護技術(shù)措施，最大限度地保障和管控系統(tǒng)安全，有效控制安全風(fēng)險。