互联网WEB应用安全管理浅谈.docVIP

互联网WEB应用安全管理浅谈 【摘要】针对目前互联网WEB应用安全风险和威胁日益严峻的形势，本文从合规性监管要求、WEB应用系统安全漏洞来源以及当前针对WEB应用的管理、技术上存在的不足等方面进行了深入的分析，为如何做好互联网WEB应用安全管理提供了思路。 【关键词】互联网 WEB应用 安全 思路 【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2012）11-0410-01 一、互联网WEB应用安全形势 通常所说的WEB应用系统指的是利用各种动静态WEB技术开发的基于B/S（浏览器服务器）模式的事务处理系统，互联网时代促使WEB应用系统成为了非常普遍及依赖性逐步增强的基础应用，其快速改变了中国人的生活方式和工作方式，如网站系统、网银系统、电信类网上营业厅、电子商务交易平台、ERP等WEB应用已经成为了人们生活不可缺少的组成部分。 与此同时，随着应用系统承载的无形虚拟资产的快速增长，不管现在还是将来，根本无法用数字来统计和分析最终在WEB应用系统中存放的资产价值，而这类虚拟资产可以方便的转换为现实经济价值。很显然，此类应用系统已成为以经济利益为驱动的攻击首选，而且随着黑客技术的不断提高，攻击工具日益专业化、易用化、攻击方法也越来越复杂、隐蔽，防护难度较大、导致各类黑客活动越来越猖獗。 攻击者的目标明确、趋利化特点明显，针对不同网站所采用的攻击手段不同，对于政府类或证券类、银行类相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展（如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒）、蓄意破坏单位形象，严重的导致网站被迫停止服务。对于个人用户，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、证券交易账号、密码等，窃取用户的私有财产。 根据Gartner的最新调查，信息安全攻击有75%都是发生在WEB应用而非网络层面上。同时，数据也显示，三分之二的WEB站点都相当脆弱，易受攻击。而且从互联网渗透人内网的攻击中，90%以上都是以WEB应用系统为攻击人口和跳板。 二、合规性监管要求 国家、各省、各市针对wEB应用系统内容的监管保障都提出了明确的要求，都拟定了针对互联网不良信息的处理意见。公安、信息化管理部门等开展有不定期的不良信息检查工作，一旦发现存在不良信息，监管部门依据相关条例进行处置，轻则责令整改，重则要求强行关闭。所以，作为对外服务的WEB系统，一定要防止WEB应用系统上出现违规信息，重点防范黑客通过攻击实现网页篡改，从而发布藏毒、法论功、色情等不良信鼠。如此，WEB应用系统信息内容除了正确性、严肃性要求之外，同时也要符合国家相关条例要求，不能够因为内容不合规给单位带来巨大的风险。 三、WEB应用系统安全漏洞来源 WEB应用系统安全漏洞主要来自四个方面：一是操作系统与后台数据库可能会存在漏洞或配置不当，如弱口令等，导致攻击者、病毒可以利用这些缺陷进行攻击；二是wEB发布系统如IIS、Apache等由于版本低可能存在安全漏洞，给入侵者可乘之机；三是wEB应用编程的过程中没有考虑安全问题，应用程序存在SQL注入、跨站脚本攻击等漏洞；四是WEB应用系统服务器所处的网络安全状况也影响着WEB应用系统的安全，比如网络中存在的DDos攻击等，也会影响到WEB应用系统的正常运营。上述四个方面基本概括了WEB应用系统的威胁来源，而其中又以第三个方面WEB应用程序的漏洞最为突出。 四、管理上及技术存在问题分析 WEB应用系统目前存在的安全问题，可以从管理和技术两个层面来分析： 管理层面上，WEB应用系统的管理过于松散，安全重视程度不够，使得对wEB安全的考虑无法达到必要的高度。许多WEB服务器管理员从来没有从另一个角度来看看他们的服务器，没有对服务器的安全风险进行检查，例如使用端口扫描程序进行系统风险分析等。如果他们曾经这样做了，就不会在自己的系统上运行那么多的服务，而这些服务原本无需在正式提供WEB服务的机器上运行，或者这些服务原本无需面向公众开放。另外他们没有修改对外提供服务的应用程序的标示信息，使攻击者容易获取到WEB服务器对外提供应用程序的相关版本信息，并根据信息找到相对应的攻击方法和攻击程序。 技术层面上，一是传统的应用系统防御措施过于落后，甚至没有真正的防御，用户还停留在使用传统的防火墙保护其wEB应用的阶段，但对于SQL注入、XSS等应用层威胁行为却无能为力；二是大多数WEB应用系统的设计未能关注设计中的安全问题，设计者往往仅关注功能的实现，而并不关注后面隐藏着的安全问题，缺少大规模代码检验过程，难以完全避免漏洞；三是被入侵后无法及时发现和有效响应，在网页挂马等攻击中，入侵者会竭力隐藏痕迹，如不借助专业工具和相关