Web應(yīng)用開發(fā)時需要注意哪些方面的安全問題以及相應(yīng)的對策.doc

摘要： Web頁面是所有互聯(lián)網(wǎng)應(yīng)用的主要界面和入口，各行業(yè)信息化過程 中的應(yīng)用幾乎都架設(shè)在Web平臺上，關(guān)鍵業(yè)務(wù)也通過Web應(yīng)用程序來實現(xiàn)，Web應(yīng)用程序的安全性變得越來越重要。Web應(yīng)用本身具有一些的安全弱點，其 安全漏洞常被利用來攻擊。Web應(yīng)用程序的安全問題是一個復(fù)雜的綜合問題，在Web應(yīng)用程序開發(fā)階段就應(yīng)予以重視，分別從數(shù)據(jù)庫設(shè)計、程序設(shè)計、Web服 務(wù)器等三個層面去考慮如何加強Web應(yīng)用程序的安全性。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來越多的web應(yīng)用件被用于Internet中。對于Web應(yīng)用軟件而言，是一種借助Internet技術(shù)加以連接的客戶/服 務(wù)器軟件，并且可以傳輸數(shù)據(jù)。在市場需求的不斷推動下，Web應(yīng)用軟件的種類與數(shù)量也不斷增加，軟件的復(fù)雜程度也不斷增加，軟件的質(zhì)量與安全問題已成為人 們越來越關(guān)注的問題。對于該軟件的服務(wù)而言，包括郵件服務(wù)、電子公告牌、網(wǎng)上商店以及數(shù)據(jù)庫管理工具。對于這些服務(wù)的提供，使得系統(tǒng)在運行過程中暴露出越 來越多的弱點，這也意味著web應(yīng)用軟件將面臨著較為嚴(yán)重的安全隱患。為此，在今后的工作過程中，應(yīng)對Web應(yīng)用軟件的安全現(xiàn)狀進(jìn)行分析，并提出有針對性 的應(yīng)對措施，以提升Web應(yīng)用軟件的運作安全水平。 1 Web應(yīng)用安全認(rèn)識誤區(qū)及安全現(xiàn)狀 1.1 安全認(rèn)識誤區(qū) 為了確保Web應(yīng)用安全，人們多在各個工作層面部署屬于自己的安全策略，如安裝殺毒軟件來 確保計算機運行安全，采用SSL技術(shù)對所傳輸?shù)臄?shù)據(jù)加密處理，并搭建防火墻來過濾一些不安全訪問信息。對于這些防護(hù)措施而言，雖然可以將不必要暴露的端口 進(jìn)行關(guān)閉，對一些非法信息進(jìn)行過濾處理，但仍然不能保障Web應(yīng)用安全。對于Web服務(wù)所依賴的80和443端口而言，必須是開放的，然而防火墻卻不能正 確辨認(rèn)出端口所傳輸?shù)男畔⑹欠癜踩?，?dāng)訪問通過防護(hù)措施時，Web應(yīng)用就會完全暴露在用戶面前。而針對應(yīng)用面層的攻擊而言，可以很輕易地突破受防火墻保護(hù) 的網(wǎng)站。如對較為常見的SQL注入攻擊表現(xiàn)層面而言，幾乎是普通的數(shù)據(jù)交互查詢。而對于防護(hù)系統(tǒng)而言，它也是較為正常的訪問鏈接，并且判斷不出其所存在的 惡意攻擊。因此對于搭建防火墻、安裝殺毒軟件以及SSL加密等處理措施都不能完全保障Web應(yīng)用的安全。 1.2 Web應(yīng)用安全現(xiàn)狀 最新的網(wǎng)絡(luò)安全統(tǒng)計數(shù)據(jù)表明，累計每天都有超過12億人次的網(wǎng)民受到木馬攻擊，并且有大量的流行軟件、大型網(wǎng)站被“掛馬”，并且每年都呈現(xiàn)出明顯的大幅 度增長趨勢。由此可以看出，現(xiàn)階段的互聯(lián)網(wǎng)仍然非常脆弱，90%左右的木馬病毒都以“掛馬”的形式進(jìn)行傳播。而這些問題的額產(chǎn)生，在很大程度上源于web 安全領(lǐng)域的問題，如后臺服務(wù)器的不安全設(shè)置、系統(tǒng)漏洞、Web應(yīng)用程序?qū)崿F(xiàn)代碼缺陷等，給不法分子以可乘之機。而對于這些隱患而言，75%左右的攻擊都出 現(xiàn)在Web應(yīng)用程序本身，這也是用入侵檢測系統(tǒng)、防火墻以SSL所無法應(yīng)對與解決的。 2 確保Web應(yīng)用安全的防護(hù)措施 2.1 確保操作系統(tǒng)安全的效安全防護(hù)措施 操作系統(tǒng)作為抵御非法攻擊的第一道防線，對確保Web的安全發(fā)揮著非常重要的作用。對于操作系統(tǒng)的防護(hù)措施而言，主要包含以下幾個方面：（1）對系統(tǒng)補丁進(jìn)行實時更新升級，防止不法分子依靠系統(tǒng)漏洞進(jìn) 行攻擊。（2）對不必要的通訊端口進(jìn)行關(guān)閉處理，以有效降低惡意攻擊的入侵通口。（3）對密碼管理制度進(jìn)行規(guī)范處理。對服務(wù)器上的各個登錄密碼進(jìn)行統(tǒng)一生 成與集中處理。（4）在進(jìn)行軟件與組件安裝時，應(yīng)認(rèn)真謹(jǐn)慎，關(guān)閉不必要的服務(wù)器，以有效降低安全隱患。（5）遵循最小權(quán)限原則設(shè)置文件系統(tǒng)，以有效避免跨 站腳本攻擊與提權(quán)操作。 2.2 網(wǎng)絡(luò)與通信信道防護(hù) 網(wǎng)絡(luò)作為系統(tǒng)防護(hù)的第一門戶，直接面對著大量的外部訪問請求。提升網(wǎng)絡(luò)安全性，能有效防御基于TCP/IP的惡意攻擊。對于本層的防護(hù)技術(shù)而言，主要立足于網(wǎng)絡(luò)層的端口、協(xié)議等，在保障通信暢通的前提下，應(yīng)盡可能對系統(tǒng)進(jìn)行防護(hù)處理。邊界路由器、網(wǎng)絡(luò)防火墻、 核心交換機等都能實現(xiàn)對網(wǎng)絡(luò)層端口、協(xié)議等層面的安全保護(hù)。對于防火墻而言，可作為網(wǎng)絡(luò)通信的Port開關(guān)，只對必要的通信端口開放，能有效屏蔽大量病毒 的端口，并可將較為重要的Web納進(jìn)隔離區(qū)進(jìn)行防護(hù)。對于邊界路由器、核心交換機設(shè)備而言，都有基ACL的訪問控制單元。為此，建立起相對比較完善的訪問 控制表，并結(jié)合企業(yè)內(nèi)部的IP管理，能對大量非正常訪問的數(shù)據(jù)包進(jìn)行過濾處理。在此過程中，還可將安全網(wǎng)關(guān)、防病毒墻、IDS/IPS以及網(wǎng)站保護(hù)墻等部 署在Web服務(wù)器前 面，能屏蔽大量的入侵攻擊。對于通信信道的防護(hù)措施而言，可在較為安全的環(huán)境中，以HTI/PS協(xié)議來代替HTFP協(xié)議。并利用SSL來保證安全傳輸文 件，通過Web服務(wù)器與客戶端瀏覽器之間構(gòu)建起一條安全通信信道，能有效確保信息在Interact中傳送的完整性與保密性。 2.3 Web應(yīng)用主機防護(hù)措施 主機平臺的安全性是確保應(yīng)用程序安全的前提，因此必須采取相應(yīng)的措施確保Web應(yīng)用主機的安全。同時，對于主機平臺的安全而言，包括主機系統(tǒng)安全與 Web組件系統(tǒng)安全。（1）對于Web主機系統(tǒng)的安全設(shè)置而言，主要包括以下幾個方面：確立系統(tǒng)安全策略設(shè)置，設(shè)置目錄及磁盤訪問權(quán)限。將默認(rèn)共享的 空鏈接關(guān)閉，將不必要的端口也進(jìn)行關(guān)閉處理。限制匿名用戶對本機的訪問，并設(shè)置相應(yīng)的用戶執(zhí)行權(quán)限。安裝策略最小化處理，將不必要的服務(wù)進(jìn)行關(guān)閉。 創(chuàng)建一個無用戶組的Administrator賬戶，并設(shè)置安全系數(shù)高的密碼。（2）對于Web組件的安全設(shè)置而言，主要包括以下幾個方面：將默認(rèn)創(chuàng)建 的Inetpub目錄進(jìn)行刪除。為Web服務(wù)器設(shè)置站點、目錄以及文件的訪問權(quán)限。將不必要IIS擴展名映射刪除。將IIS日志的路徑更改。將未使用的賬戶刪除，并設(shè)置安全系數(shù)高的密碼。使用應(yīng)用程序池，將應(yīng)用程序隔離，提升Web股武器的安全性與可靠性。 2.4 關(guān)于應(yīng)用程序的安全防護(hù)措施 對于應(yīng)用程序安全而言，包括web服務(wù)軟件安全以及業(yè)務(wù)系統(tǒng)代碼安全。相對于操作系統(tǒng)的安全防護(hù)工作而言，應(yīng)用程序安全有著更高的技術(shù)要求。對于應(yīng)用程序等安全防護(hù)措施而言，主要包括以下幾個方面的內(nèi)容：（1）部署安全系數(shù)較高的Web應(yīng)用程序。程序安全設(shè) 計的目的是將漏洞消除，因此對于設(shè)計人員而言，應(yīng)對Web應(yīng)用開發(fā)出一套周密、詳細(xì)的思路，對Web頁面進(jìn)行加密與驗證處理，而不是僅僅為實現(xiàn)單向功能。 同時，部署安全系數(shù)較高的Web應(yīng)用才能從根本上解決Web應(yīng)用層面的安全問題。（2）根據(jù)業(yè)務(wù)系統(tǒng)需求，配置安全系數(shù)相對較高的Web服務(wù)。（3）創(chuàng)建 Web防御檢測系統(tǒng)。使用該系統(tǒng)對Web應(yīng)用的運行情況進(jìn)行實時監(jiān)控，快速掌握Web應(yīng)用安裝運行狀況，以及時采取有針對性的應(yīng)對措施，將安全風(fēng)險降到最 低。（4）安裝殺毒軟件。安裝殺毒軟件既能防止不法分子通過漏洞將帶有病毒的文件上傳至服務(wù)器，同時也能對病毒的操作進(jìn)行監(jiān)控，確保上傳至服務(wù)器文件的安全性。（5）建立用戶分級與審核制度，對普通用戶與系統(tǒng)管理員區(qū)分管理，并設(shè)置高安全系數(shù)的密碼。 3 結(jié)語 隨著Web應(yīng)用需求的不斷增加，