Web應(yīng)用的網(wǎng)絡(luò)與數(shù)據(jù)庫安全威脅、策略設(shè)計(jì)與審計(jì)

劉巍 國際關(guān)系學(xué)院

Web應(yīng)用的網(wǎng)絡(luò)與數(shù)據(jù)庫安全威脅、策略設(shè)計(jì)與審計(jì)

劉巍 國際關(guān)系學(xué)院

如今的網(wǎng)站使用Web應(yīng)用與數(shù)據(jù)庫實(shí)現(xiàn)交互來檢索信息、存取數(shù)據(jù)的行為十分普遍，這些Web應(yīng)用已存在于我們生活的各方面，可以為我們提供支付、購物、出行等多種便利。同時(shí)相關(guān)的安全問題也隨之而來，尤其是在數(shù)據(jù)訪問、交互需求指數(shù)級(jí)增長的大環(huán)境下。本論文簡述并分析現(xiàn)今網(wǎng)絡(luò)與數(shù)據(jù)庫面臨的安全問題，同時(shí)總結(jié)了安全模型設(shè)計(jì)的核心思想與網(wǎng)絡(luò)系統(tǒng)中安全審計(jì)工作的重要性。

Web應(yīng)用 數(shù)據(jù)庫 信息安全 Ajax

1 簡述

近年來，持續(xù)出現(xiàn)的信息安全事件使政府、企業(yè)與學(xué)術(shù)機(jī)構(gòu)意識(shí)到隱私數(shù)據(jù)保護(hù)與安全模型設(shè)計(jì)的重要性。如今的信息系統(tǒng)很大程度上依賴于網(wǎng)絡(luò)和數(shù)據(jù)庫，因此該兩種技術(shù)面對(duì)的威脅與挑戰(zhàn)也會(huì)對(duì)整個(gè)系統(tǒng)的安全產(chǎn)生影響。因此，網(wǎng)絡(luò)與數(shù)據(jù)庫安全相關(guān)安全技術(shù)在信息系統(tǒng)構(gòu)建與安全模型設(shè)計(jì)中起到了至關(guān)重要的作用。

2 現(xiàn)今網(wǎng)絡(luò)與數(shù)據(jù)庫安全威脅

2.1 網(wǎng)絡(luò)安全威脅

隨著Web應(yīng)用變得復(fù)雜，用戶對(duì)網(wǎng)頁服務(wù)性能需求也在增加，05年提出的Ajax技術(shù)依靠Web2．0時(shí)代的蓬勃發(fā)展為用戶提供了更自然的瀏覽體驗(yàn)。它使得用戶可以通過異步通信實(shí)現(xiàn)了更流暢的網(wǎng)頁動(dòng)態(tài)提交、刷新等功能，但同時(shí)帶來的安全問題仍然不容忽視。

Ajax技術(shù)依賴于在瀏覽器廣泛使用的JavaScript語言，因而也繼承了它的一些安全問題，例如解釋型語言會(huì)導(dǎo)致程序錯(cuò)誤只能在運(yùn)行時(shí)出現(xiàn)，JavaScript還是一門弱類型語言，它的動(dòng)態(tài)屬性在某種程度上提供了攻擊者占據(jù)控制權(quán)的可能性，帶來一系列安全漏洞。

2.2 數(shù)據(jù)庫安全威脅

數(shù)據(jù)庫安全涉及兩大方面：訪問控制與數(shù)據(jù)恢復(fù)，訪問控制需要一套完善的認(rèn)證機(jī)制來保障認(rèn)證用戶獲取準(zhǔn)確數(shù)據(jù)并禁止一切越權(quán)行為；數(shù)據(jù)庫還應(yīng)該具備安全、完整恢復(fù)數(shù)據(jù)的能力，近年來數(shù)據(jù)庫面臨的安全威脅包括跨站腳本攻擊、SQL注入、數(shù)據(jù)泄露等。

3 安全策略設(shè)計(jì)準(zhǔn)則

在設(shè)計(jì)與部署網(wǎng)絡(luò)安全策略時(shí)我們應(yīng)遵循以下準(zhǔn)則：

3.1 力求需求、風(fēng)險(xiǎn)與消耗的有機(jī)平衡

基于現(xiàn)有技術(shù)設(shè)計(jì)完美的安全網(wǎng)絡(luò)環(huán)境難度很大，在制定對(duì)應(yīng)策略時(shí)要時(shí)刻保持質(zhì)與量的合理分析平衡，并考慮到一定概率的各種風(fēng)險(xiǎn)。

3.2 準(zhǔn)則保證完整與詳盡

在對(duì)整個(gè)網(wǎng)絡(luò)安全問題的分析與應(yīng)對(duì)策略制定的過程中擁有一個(gè)全局與細(xì)節(jié)兼顧的標(biāo)準(zhǔn)是至關(guān)重要的。一個(gè)互聯(lián)網(wǎng)絡(luò)的建立實(shí)際上包含管理員、設(shè)備、軟件與數(shù)據(jù)等幾部分組成有機(jī)整體的過程，因此考慮周全的策略制定是有效實(shí)施的保障。

3.3 準(zhǔn)則的連貫性

準(zhǔn)則連貫性意味著安全策略應(yīng)貫穿整個(gè)網(wǎng)絡(luò)建立與運(yùn)行的生命周期，安全模型的建立應(yīng)與網(wǎng)絡(luò)工程搭建的進(jìn)度看齊。

3.4 準(zhǔn)則的安全與可信賴性

準(zhǔn)則的安全性是整個(gè)安全模型建立與策略制定的根基，通過嚴(yán)格的技術(shù)管理和設(shè)備冗余的精確計(jì)算能保障產(chǎn)品質(zhì)量和系統(tǒng)的可依賴性。

3.5 準(zhǔn)側(cè)的可操控性

安全策略實(shí)施的過程還與方法復(fù)雜程度有關(guān)，過于復(fù)雜的技術(shù)追求必定會(huì)帶來不必要的資源消耗同時(shí)也會(huì)降低整體安全性，因此方法的可操控性對(duì)系統(tǒng)建設(shè)與管理工作至關(guān)重要。

4 安全審計(jì)

安全審計(jì)是基于安全策略通過分析歷史事務(wù)與數(shù)據(jù)提升網(wǎng)絡(luò)系統(tǒng)性能與安全性的有效方法，它通過測(cè)試、評(píng)估、分析網(wǎng)絡(luò)系統(tǒng)的脆弱節(jié)點(diǎn)來得出業(yè)務(wù)平穩(wěn)展開與最大化安全性保障的最佳辦法。它保證了整個(gè)系統(tǒng)的操作安全性，并有效避免了由于人為誤操作或惡意攻擊導(dǎo)致的數(shù)據(jù)損壞。整個(gè)系統(tǒng)的進(jìn)程與狀態(tài)都能通過審計(jì)系統(tǒng)查看記錄、追蹤或在極端情況下執(zhí)行回滾操作。審計(jì)工作還能為過濾有害信息提供數(shù)據(jù)基礎(chǔ)，可以通過建立相應(yīng)IP地址的過濾表實(shí)現(xiàn)對(duì)有害信息的防范。

安全審計(jì)系統(tǒng)主要由三大模塊構(gòu)成：數(shù)據(jù)搜集模塊基于交換機(jī)行為分析與用戶畫像策略等先進(jìn)技術(shù)通過監(jiān)控用戶操作實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)信息動(dòng)態(tài)獲?。恍畔⑻幚砟K主要工作通過數(shù)據(jù)包頭部信息精確得出所采用協(xié)議并通過信息重構(gòu)等技術(shù)結(jié)構(gòu)化用戶操作數(shù)據(jù)；審計(jì)模塊基于系統(tǒng)安全策略校驗(yàn)用戶操作合法性來采取對(duì)應(yīng)措施。

5 總結(jié)

網(wǎng)絡(luò)與數(shù)據(jù)庫等技術(shù)永遠(yuǎn)在飛速發(fā)展著，例如備受關(guān)注的web3．0與圖數(shù)據(jù)庫帶來了新的視角與體驗(yàn)。盡管隨著技術(shù)的革新會(huì)有越來越多的安全問題涌現(xiàn)，但安全策略設(shè)計(jì)的理論基礎(chǔ)是不變的。本文簡要分析了web應(yīng)用面臨的網(wǎng)絡(luò)與數(shù)據(jù)庫安全威脅的技術(shù)本質(zhì)，總結(jié)了安全策略設(shè)計(jì)的基礎(chǔ)準(zhǔn)則與審計(jì)系統(tǒng)工作的重要性，期望為構(gòu)建安全網(wǎng)絡(luò)系統(tǒng)提供理論支撐。

[1]劉璐玲.動(dòng)態(tài)數(shù)據(jù)安全審計(jì)云存儲(chǔ)系統(tǒng)研究[J].現(xiàn)代電子技術(shù),2017,(09):96-98+103.

[2]賈偉.基于局域網(wǎng)的空管信息系統(tǒng)安全策略[J].無線互聯(lián)科技,2017,(08):26-27.

[3]王宏宇.計(jì)算機(jī)應(yīng)用安全策略本體研究[J].電腦知識(shí)與技術(shù),2017,(12):35-36.

[4]宋秋雨.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫安全策略探討[J].中國新通信,2017,(08):70.