Web 应用平台安全防护技术研究与应急预案.pdfVIP

Web 应用平台安全防护技术研究与应急预案 唐承华 韦皓元 （广西经济信息中心南宁市 530022） 摘要： Web 应用由于其良好的跨平台性和交互性特点，得到普遍的应用，恶意制造者正是 看准这一事实，对Web 应用不断的发动攻击。一个安全的Web 应用不仅要有严谨的防护措施， 还要求在故障与灾难发生时有一套完整应急预案。 关键词：Web 应用 安全 防护 研究 应急 Tang Chenghua Wei Haoyuan (Guangxi Economic Information Center, Nanning 530022) Abstract:Due to Web application of good cross-platform and interactive features, Web application is universal. Malicious manufacturers focus on the fact that they continue to attack web application. A safe Web application is not only has strict protective measures but also have a complete set of plans as failure and disaster happen. Keywords: Web application Security Research Contingency 引言 随着全球信息化的时代浪潮，互联网基础设施建设的推进与完善，Web 技术的迅速发展， 基于互联网平台的Web 应用也势如破竹、如火如荼，为互联网的发展增添了不少活力。然而， 随之而来的信息安全问题也日益突出，大量的数据窃取、网站挂马、恶意攻击等信息安全事 件损害人们的财产利益、危及国家安全与社会稳定。根据Gartner 的最新调查，信息安全攻 击有75%都是发生在Web 应用而非网络层面上。同时，数据也显示，三分之二的Web 站点都 相当脆弱，易受攻击。而在绝大多数的网络安全措施中，人们将大量的投资都花费在网络和 服务器的硬件安全上，没有从真正意义上保证Web 应用本身的安全。如何在推动社会信息化 进程中加强Web 应用平台的安全，维护各方的根本利益和构建社会的和谐稳定，促进社会经 济的健康发展，成为信息安全研究里必须要认真对待的一个问题。 1 Web 应用的安全现状 1.1 Web 安全的认识误区 为了保障Web 应用的安全，人们通常会在各个工作层面部署自己的安全策略，在客户端 机器安装防病毒软件来保护计算机的安全；使用 SSL （安全套接层）技术对传输数据进行加 密；搭建防火墙和 IDS （入侵诊断系统）/IPS （入侵防御系统）来过滤一些非法的访问等等， 如图1 所示是目前最常见的Web 安全结构图。 桌 面 传 输 防火墙 IDS/IPS Web应用 开放的80和 443端口 病毒防护 应用服务器 后台服务器 SSL 防火墙 IDS 安全套接层 非法过滤 入侵诊断系统 IPS Web服务器 数据库 入侵防御系统 图1 Web 安全结构图 这些防护措施虽然可以关闭不必要暴露的端口，过滤一些非法的访问，但远远不能保障 Web 应用的安全。Web 服务所依赖的80 和443 端口是必须开放的，防火墙很