物联网应用层安全分析.pptxVIP

第10章 物联网应用层安全;10.1 应用层安全需求;;;;;;10.1.2 应用层安全技术需求;10.2 Web安全;尽管不同的企业会有不同的 Web 环境搭建方式，一个典型的 Web 应用通常是标准的三层架构模型，如下图所示。 在这种最常见的模型中，客户端是第一层；使用动态 Web 内容技术的部分属于中间层；数据库是第三层。用户通过 Web 浏览器发送请求(request)给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。;用户使用通用的Web浏览器，通过接入网络(网站的接入则是互联网)连接到Web服务器上。用户发出请求，服务器根据请求的URL的地址连接，找到对应的网页文件，发送给用户。网页文件是用文本描述的，HTML/Xml格式，在用户浏览器中有个解释器，把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。;这些小程序可以嵌入在页面中，也可以以文件的形式单独存放在Web服务器的目录里，如asp、php、jsp文件等，并且可以在开发时指定是在用户端运行，还是在服务器端运行；用户不再能看到这些小程序的源代码，服务的安全性也大大提高。这样功能性的小程序越来越多，形成常用的工具包，单独管理，Web业务开发时，直接使用就可以了，这就是中间件服务器，它实际上是Web服务器处理能力的扩展。 小程序的使用给用户电脑带来了安全问题，因为Web可以对本地的进程、硬盘操作，可以把木马、病毒放到你的电脑上来，Web架构中使用沙漏技术提供安全保护，就是限制页面中小程序的本地读写权限，但限制毕竟不能不让其工作，所以多数情况下在写入时给出提示，让用户自己选择。用户看见有进程在安装程序进入他的电脑，大多数人分不清是否应该，要么一概不许，造成很多事情做不了，要么接受，大门敞开，听天由命。这里主要分析服务器端的安全，客户端的安全再行考虑。;随着Web环境在互联网应用中越来越广泛，物联网各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。 ;;;;网页防篡改技术的基本原理：是对Web服务器上的页面文件(目录下文件)进行监控，发现有更改及时恢复。所以该产品实际是一个修补的工具，不能阻止攻击者的篡改，就来个守株待兔，专人看守，减少损失是目标，防篡改属于典型的被动防护技术。 网页防篡改产品的部署：建立一台单独的管理服务器(Web服务器数量少可以省略)，然后在每台Web服务器上安装一个Agent程序，负责该服务器的网页文件防护，管理服务器是管理这些Agent防护策略的。;Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。 Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。 Web防火墙的主要技术的对入侵的检测能力，尤其是对Web服务入侵的检测，不同的厂家技术差别很大，不能以厂家特征库大小来衡量，主要的还是看测试效果，从厂家技术特点来说，有下面几种方式：（1）代理服务；（2）特征识别；（3）算法识别；（4）模式匹配； Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，因为漏网进去的入侵者，并非都很张扬，比如给网页挂马，就很难察觉进来的是那一个，不知道当然也无法统计。对于已知的攻击方式，可以谈识别率；对未知的攻击方式，用户也只好等他自己“跳”出来才知道。;;Web木马检查工具一般作为安全服务检查使用，也可以单独部署一台服务器，定期对网站检查，发现问题及时报警。该工具目前市场上的产品化很少，一般不销售，网上有些免费的类似软件可以试用，随着Web服务在企业内的应用增多，该工具应该像防病毒检查工具一样流行。;针对SQL注入手段，安全专家认为，最根本的措施是对Web应用的用户输入进行过滤。并针对Web应用的基本特性，对Web应用的整体安全工作采取以下具体措施： Web应用安全评估：结合应用的开发周期，通过安全扫描、人工检查、渗透测试、代码审计、架构分析等方法，全面发现Web应用本身