基于等级保护Web应用安全测评分析.pdfVIP

入选论文 基于等级保护的Web应用 安全测评分析 吕波梁世伟彭浩西安尚易安华信息科技有限责任公司 【摘要】 应用安全测评是等级保护测评中的重要一环，通过对应用安全测评第三级(s3A3G3)要求 项的深入理解，并结合现有的安全技术给出了增强web应用安全性的实用性建议，并针对 应用安全测评给出可行的实施建议。 【关键词】 web安全等级保护应用安全测评渗透测试工具测试 一、引言 随着社会信息化的不断深人，web应用系 统不仅在其架构成本与应用能力方面具有较大 的优势，而且相对于C／S架构的应用系统在易 用性、方便性、集成性等方面具有明显的优 势。随着web应用平台普及越来越广泛，针对 web应用程序的攻击也越来越多，web应用安 全已成为越来越重要的课题。应用安全作为信 叠◇一 1户 息系统的核心部分，其重要性不言而喻。研究 表明，大多数的安全漏洞来自于软件设计自 图l Web应用系统架构及部署图 身，在软件开发生命周期内软件安全并没有被 (1)前端应用：包括用户浏览器、ActiveX控 贯穿始终。本文对第三级信息系统的应用安全 件等客户端元素； 基本要求进行分析，深入解析第三级要求的关 (2)应用服务：包括应用中间件、访问应用 键测评项，并结合测评过程巾的实践经验，说 所采用的协议，如H，IvrP、H1TrPS等、表现层服务 明第三级信息系统关键测评项的测评要求以及 组件、逻辑层服务组件、业务层服务组件，其中 在软件开发过程的一些建议。 二、Web应用安全概述 ic、webSphere等； (3)框架组件：包括静态网页、动态页面、 web应用系统具有复杂的架构。从总体上看， 代码库以及采用的框架，如J2EE框架、NET框 可以分为两部分，即服务器和浏览器。两者通过 架、LAMP框架等； 协议进行通信，传递web上的信息。从系统角度 (4)数据库：包括各种数据库、文件、LDAP 来看web应用系统中的服务器和客户端，可以分 成三个层面：应用层、支撑技术和中间件以及底 目录服务以及数据库访问协议。 层的计算机资源。具体的应用架构如图1所示。 为了保障web应用系统的安全，首先要明白 第三届全国信息安全等级保护技术大会论文集 需要保护什么。而对于实现web应用系统的安全 (2)应用系统架构由框架、组件和中间件等 应着中考虑以下几个web服务的安全因素…： 组成，与平台软件如web平台、操作系统、数据 (1)数据保密性；(2)数据完整性；(3)数据可库系统、网络等都存在关联关系，其安全问题漏 用性和真实性；(4)验证和授权；(5)不可抵赖洞不容易发现，且代码级的安全隐患无法快速修 性；(6)服务可用性；(7)通信安全性。其应用复，只能暂时采用规避的手段来实现； 安全中安全子类的对应关系如图2所示。 (3)应用软件在开发之处对安全需求考虑不 其中SAG[21分别表示为保护数据在存储、传 足，系统上线后二次开发比较困难，软件开发商 输、处理过程中不被泄漏、破坏和免受未授权