以WEB為基礎(chǔ)探討系統(tǒng)防御框架的構(gòu)建

0 引言

我國(guó)科學(xué)技術(shù)不斷發(fā)展的同時(shí)，信息化建設(shè)也呈現(xiàn)出迅猛發(fā)展的趨勢(shì)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍也越來(lái)越廣泛，相應(yīng)的基礎(chǔ)設(shè)施也越來(lái)越多，硬件設(shè)備和軟件技術(shù)都在不斷提高。在技術(shù)進(jìn)步的基礎(chǔ)上，以動(dòng)態(tài)WEB技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)在社會(huì)各行各業(yè)中正普遍被應(yīng)用，在給生產(chǎn)企業(yè)帶來(lái)便利的同時(shí)，也產(chǎn)生了一定的安全問(wèn)題。為了保證企業(yè)的信息安全，建立牢固的安全防御框架具有重要意義。所以，本文就在WEB網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全防御框架從缺陷和實(shí)施的關(guān)鍵技術(shù)進(jìn)行了如下討論。

1 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)中的安全問(wèn)題現(xiàn)狀及主要表現(xiàn)

WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)中的安全問(wèn)題主要是由 WEB技術(shù)的特點(diǎn)所導(dǎo)致的，因?yàn)槠浔旧砭哂袠O大的開放性、交互性和虛擬性等特點(diǎn)，所以存在很多安全隱患，具體表現(xiàn)在：系統(tǒng)開發(fā)環(huán)境不穩(wěn)定、關(guān)聯(lián)性較強(qiáng)、用戶自身安全保護(hù)意識(shí)不足、系統(tǒng)屬性有待完善和不確定因素多等5個(gè)方面，下面一一對(duì)其進(jìn)行分析。

1.1 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)的開發(fā)環(huán)境穩(wěn)定性不足

這一安全問(wèn)題就是指系統(tǒng)開發(fā)環(huán)境的機(jī)制和安全策略不足。例如，在使用各種WEB語(yǔ)言，比如JAVA、PHP和Android等開發(fā)語(yǔ)言來(lái)編寫程序代碼時(shí)，極易發(fā)生拒絕服務(wù)的攻擊問(wèn)題。當(dāng)服務(wù)被拒絕攻擊時(shí)，Http的請(qǐng)求就會(huì)大大增加服務(wù)器中CPU的使用率，使WEB服務(wù)器的使用率在幾小時(shí)內(nèi)就達(dá)到99%，甚至在幾分鐘中內(nèi)就達(dá)到。

1.2 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)具有很強(qiáng)的服務(wù)關(guān)聯(lián)性

WEB應(yīng)用服務(wù)器在受到攻擊之后，攻擊者就會(huì)利用它進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò)，獲取關(guān)鍵信息或進(jìn)行破壞。這是因?yàn)?，WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供的服務(wù)和其他毒物之間具有非常密切的聯(lián)系，所以一旦WEB服務(wù)器被攻擊，其本身的訪問(wèn)權(quán)限就會(huì)受到控制，并對(duì)系統(tǒng)內(nèi)部其他的數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪問(wèn)控制或者攻擊。

1.3 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)用戶的自身安全保護(hù)意識(shí)不足

從筆者多年的工作經(jīng)驗(yàn)可知，WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)的用戶大多缺乏專業(yè)的安全知識(shí)，所以對(duì)于WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全防范的概念沒(méi)有足夠的認(rèn)識(shí)，對(duì)其重視度不高，不能及時(shí)根據(jù)相關(guān)的知識(shí)和技術(shù)來(lái)采取安全防護(hù)措施來(lái)保障數(shù)據(jù)安全，消除安全隱患，是WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)中導(dǎo)致安全問(wèn)題的重要因素之一。

1.4 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)的自身屬性有待進(jìn)一步完善

在WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)中，底層軟件具有復(fù)雜性，所以也容易產(chǎn)生安全問(wèn)題。與此同時(shí)，該系統(tǒng)服務(wù)器的操作系統(tǒng)、網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)庫(kù)等技術(shù)也存在很多安全漏洞，如果這些漏洞被惡意利用，就會(huì)導(dǎo)致信息泄露或者惡意攻擊等安全事故的發(fā)生，這些都是由其自身系統(tǒng)不完善所導(dǎo)致的。

1.5 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)存在很多不確定因素

WEB應(yīng)用系統(tǒng)中的信息交流具有很強(qiáng)的交互性，屬于雙向流通，其所包含的文本、圖像、錄音、視頻等信息和傳統(tǒng)的單一信息有很大的區(qū)別，所以也更加容易受到攻擊。這種開放式交互環(huán)境中涉及的安全需求和封閉環(huán)境中的安全需求不同。

WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全隱患的具體表現(xiàn)，主要包括以下幾個(gè)方面：①信息訪問(wèn)存在漏洞。訪問(wèn)控制的主要目的是為了使合法用戶能夠通過(guò)認(rèn)證授權(quán)，預(yù)防非法用戶未經(jīng)過(guò)授權(quán)就對(duì)應(yīng)用系統(tǒng)信息資源進(jìn)行訪問(wèn)。因?yàn)閼?yīng)用系統(tǒng)認(rèn)證方式較為單一，極易出現(xiàn)口令猜測(cè)等一系列不良狀況，同時(shí)個(gè)人身份證信息環(huán)節(jié)處于薄弱狀態(tài)，導(dǎo)致惡意攻擊能夠十分容易的獲取相關(guān)機(jī)密文件。②資源非法使用。惡意用戶可以通過(guò)對(duì)管理員賬戶密碼進(jìn)行盜取，然后訪問(wèn)一些無(wú)訪問(wèn)權(quán)限的網(wǎng)頁(yè)信息，并對(duì)網(wǎng)頁(yè)中的信息數(shù)據(jù)進(jìn)行修改、破壞以及非法傳播。同時(shí)，網(wǎng)絡(luò)上流傳的一系列惡意代碼對(duì)于網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全也產(chǎn)生了巨大威脅。③用戶權(quán)限過(guò)高。就目前來(lái)看，知識(shí)經(jīng)濟(jì)時(shí)代背景下，網(wǎng)絡(luò)信息技術(shù)呈現(xiàn)迅猛的發(fā)展趨勢(shì)，在對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行組建的時(shí)候主要考慮的是網(wǎng)絡(luò)結(jié)構(gòu)及其功能，對(duì)于安全問(wèn)題的考慮比較欠缺；隨著網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能越來(lái)越強(qiáng)大，用戶使用權(quán)限管理也有了較大幅度的提升，網(wǎng)絡(luò)管理人員擁有網(wǎng)絡(luò)系統(tǒng)高級(jí)權(quán)限，可以隨意進(jìn)行操作，這就造成簡(jiǎn)單授權(quán)訪問(wèn)方式受到一定的制約。一旦用戶具備的權(quán)限過(guò)高時(shí)，就會(huì)對(duì)機(jī)密數(shù)據(jù)的安全性構(gòu)成威脅，導(dǎo)致網(wǎng)絡(luò)環(huán)境失去安全導(dǎo)向。

2 WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)構(gòu)建安全防御框架的主要技術(shù)

2.1 加強(qiáng)對(duì)訪問(wèn)權(quán)限的設(shè)置

采取這一措施的主要目的就是利用對(duì)用戶訪問(wèn)權(quán)限來(lái)控制他們的訪問(wèn)和可執(zhí)行程度。由于用戶的訪問(wèn)權(quán)利和職責(zé)范圍不同，系統(tǒng)的安全管理員就可以在此基礎(chǔ)上，為他們制定不同的用戶操作策略，明確他們的訪問(wèn)目錄、文件、程度、服務(wù)、端口和設(shè)備等，根據(jù)他們完成任務(wù)的需要，只給予他們最小的訪問(wèn)權(quán)限來(lái)完成任務(wù)即可。

2.2 建立身份認(rèn)證和平臺(tái)認(rèn)證系統(tǒng)

這一技術(shù)包括兩方面的措施，首先就是認(rèn)證用戶的具體身份。具體來(lái)說(shuō)就是為用戶建立專門的身份識(shí)別碼、證書和私人鑰匙，并在這些憑證的基礎(chǔ)上來(lái)建立保障安全操作的內(nèi)核和可靠的訪問(wèn)路徑，只需要完成身份認(rèn)證，就可以進(jìn)入到相應(yīng)的終端中。另一方面就是對(duì)平臺(tái)進(jìn)行認(rèn)證。這一過(guò)程主要是利用服務(wù)器的防火墻來(lái)完成的。安全管理員只需要對(duì)終端的授權(quán)進(jìn)行維護(hù)就可以對(duì)服務(wù)器進(jìn)行訪問(wèn)。如果將身份認(rèn)證和平臺(tái)認(rèn)證結(jié)合起來(lái)，就能夠?qū)⑽唇?jīng)授權(quán)接入的內(nèi)部網(wǎng)絡(luò)終端和不安全的內(nèi)部網(wǎng)絡(luò)終端孤立起來(lái)，保證終端接入的安全。

2.3 充分運(yùn)用可信度量技術(shù)

該技術(shù)可以對(duì)腳本或者程序進(jìn)行檢驗(yàn)和驗(yàn)證，破壞或者阻斷惡意代碼的趁虛而入及傳播，具體表現(xiàn)在如下三個(gè)方面。第一，如果用戶申請(qǐng)運(yùn)行某一個(gè)腳本或程序，安全操作系統(tǒng)內(nèi)核就可以馬上獲取該請(qǐng)求，并對(duì)該請(qǐng)求進(jìn)行專業(yè)的安全分析，檢測(cè)其是否在“用戶執(zhí)行程序列表”中，否則拒絕該程序運(yùn)行。第二，在第一次啟動(dòng)可信度量模塊計(jì)算程序和代碼時(shí)，相關(guān)文件摘要值一定要上報(bào)給管理中心，將其作為安全管理的策略基礎(chǔ)，然后將最終實(shí)行的安全管理值進(jìn)行統(tǒng)一管理和分發(fā)。第三，在第二次運(yùn)行可信度量程序時(shí)，度量模塊將驗(yàn)證計(jì)算值與存儲(chǔ)值是否一致。如果一致，則認(rèn)為程序或代碼是可信的，從而允許啟動(dòng)，否則拒絕其運(yùn)行。

2.4 增強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的保護(hù)力度

在WEB環(huán)境中，網(wǎng)絡(luò)應(yīng)用系統(tǒng)有很多表現(xiàn)形式，包括拒絕服務(wù)、SQL 注入、跨站腳本和緩沖器溢出等。如果要對(duì)應(yīng)用系統(tǒng)建立單個(gè)的安全防御框架，就需要將軟件和硬件充分結(jié)合起來(lái)，為應(yīng)用系統(tǒng)的服務(wù)提供最大程度的安全保障。

2.5 對(duì)WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)進(jìn)行安全審計(jì)

我們可以充分利用網(wǎng)絡(luò)安全審計(jì)制度來(lái)為系統(tǒng)的安全運(yùn)行提供保障，對(duì)授權(quán)人員的操作行為在安全管理中心進(jìn)行備案，建立責(zé)任追究制度，這樣即便出現(xiàn)安全事故，也有證可查。與此同時(shí)，進(jìn)行安全審計(jì)還有利于監(jiān)控非授權(quán)人員的攻擊行為，并進(jìn)行實(shí)時(shí)記錄，便于追蹤審查。

2.6 養(yǎng)成容災(zāi)備份的習(xí)慣

根據(jù)容災(zāi)備份系統(tǒng)對(duì)災(zāi)難的抵抗程度，可分為數(shù)據(jù)容災(zāi)備份和應(yīng)用容災(zāi)備份。數(shù)據(jù)容災(zāi)備份是指實(shí)時(shí)復(fù)制原系統(tǒng)關(guān)鍵應(yīng)用數(shù)據(jù)。應(yīng)用容災(zāi)備份是指在異地建立一套完整的、與本地?cái)?shù)據(jù)系統(tǒng)相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)。在災(zāi)難出現(xiàn)后，遠(yuǎn)程應(yīng)用系統(tǒng)迅速接管或承擔(dān)本地應(yīng)用系統(tǒng)的業(yè)務(wù)運(yùn)行。

3 結(jié)束語(yǔ)

綜上所述，WEB網(wǎng)絡(luò)應(yīng)用系統(tǒng)由于自身的屬性和特點(diǎn)，導(dǎo)致其存在諸多安全隱患，為了提出針對(duì)性的措施來(lái)解決，本文從系統(tǒng)開發(fā)環(huán)境不穩(wěn)定、關(guān)聯(lián)性較強(qiáng)、用戶自身安全保護(hù)意識(shí)不足、系統(tǒng)屬性有待完善和不確定因素多等五個(gè)方面對(duì)系統(tǒng)中存在的安全問(wèn)題進(jìn)行了闡述，然后從加強(qiáng)對(duì)訪問(wèn)權(quán)限的設(shè)置、建立身份認(rèn)證和平臺(tái)認(rèn)證系統(tǒng)、充分運(yùn)用可信度量技術(shù)、增強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的保護(hù)力度、進(jìn)行安全審計(jì)和養(yǎng)成容災(zāi)備份的習(xí)慣等六個(gè)方面對(duì)其安全防御框架的建立進(jìn)行了詳細(xì) 討論，希望能為大家提供參考意見(jiàn)。