Web应用系统安全及防护.docVIP

Web应用系统安全及防护摘 要：随着网络的发展，Web应用服务的快速普及，各种形式的攻击手段不断出现，Web应用系统面临严重安全问题。本文试分析Web应用系统的主要安全问题，并提出事前防范、事中防御、事后响应的系统安全防护策略。 关键词：Web应用系统 安全 防护 Web应用系统就是利用各种动态Web技术开发的，基于B/S（浏览器/服务器）模式的事务处理系统。用户直接面对的是客户端浏览器，使用Web应用系统时，用户通过浏览器发出的请求，其之后的事务逻辑处理和数据的逻辑运算由服务器与数据库系统共同完成，对用户而言是完全透明的。运算后得到的结果再通过网络传输给浏览器，返回给用户。 1.Web应用系统面临的安全问题 目前，互联网已经成为各大机构发展的一个重要基础平台，由于Web应用的开放性，以及各种Web软硬件漏洞的不可避免性，加上网络攻击技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。然而，目前大多数企业仍是把网络和服务器的安全放在第一位，Web应用系统的安全并未得到足够的重视。在2011年底，国内互联网业界爆发的CSDN等众多网站“泄密门”系列事件，就掀开了Web应用威胁的冰山一角。 Web应用系统在日常运行过程中，会遇到多种方式的攻击，主要有以下四个方面： 1.1 操作系统、后台数据库的安全问题 这里指操作系统和后台数据库的漏洞，配置不当，如弱口令等，导致黑客、病毒可以利用这些缺陷对网站进行攻击。 1.2Web发布系统的漏洞 We b业务常用的发布系统(即Web服务器)，如IIS、Apache等，这些系统存在的安全漏洞，会给入侵者可乘之机。 1.3Web应用程序的漏洞 主要指Web应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得黑客能够利用这些漏洞发起对网站的攻击，比如SQL注入、跨站脚本攻击等。 1.4自身网络的安全状况 网站服务器所处的网络安全状况也影响着网站的安全，比如网络中存在的DoS攻击等，也会影响到网站的正常运营。 2.Web应用系统安全防护策略 2.1事前防范，提升安全意识 一是设置网站安全基线，制定防篡改、防挂马安全规范，提出监测、防护与处置机制和要求。二是辅助以自动检测工具、检查列表定期开展检查工作。三是不定期进行Web威胁扫描、源代码评估及渗透测试，查找系统应用漏洞、是否挂马，及时对系统进行更新升级。四是建立网站安全管理中心，在各安装网站部署探针，对收集的数据进行统计、分析，定期形成系统安全态势分析报告。五是安装防病毒、通讯监视等软件，防止流行病毒、木马的攻击。 2.2 事中防御，安装安全产品 围绕Web应用系统的安全，市场上的产品形形色色，但结合安全防护需要，一般可以安装以下几种产品： 2.2.1网页防篡改产品 网页防篡改技术的基本原理是对Web服务器上的页面文件进行监控，发现有更新及时恢复，属于典型的被动防护技术。网页防篡改系统可以用于Web服务器，也可以用于中间件服务器，其目的是保障网页文件的完整性。 2.2.2 Web防火墙产品 Web防火墙能主动阻断入侵行为，对Web特有入侵方式加强防护，如DDoS防护、SQL注入、XML注入、XSS等，重点是防止SQL注入。Web防火墙产品部署在Web服务器前面，串行接入，不仅在硬件性能上要求高，而且不会影响Web服务。 2.2.3 Web木马检查工具 Web安全不仅是维护服务器自身的安全，通过网站入侵用户电脑的危害也必须能够防护。Web木马检查工具，按照一定的规则重点查看网页是否被挂木马，或被XSS利用，一般作为安全服务检查使用，定期对网站进行检查，发现问题及时报警。 2.2.4 主机Web网关 主机Web网关采用软件形式，能够实现Web应用入侵防护，页面文件防篡改，Web网页自动学习功能，Web用户访问行为的自学功能，不需要关心Web服务的网络结构，避免了Web服务使用加密协议时网关安全设备对应用层攻击无能为力得弊端。 2.3 事后响应，安全监控与恢复 2.3.1 对检测阶段的结果进行响应 在检测完成后，对结果进行分析总结,修订安全计划、政策、程序，修补系统漏洞，完善网页编码，清除网页木马和恶意代码，并进行训练以防止入侵。 2.3.2 对防御阶段的结果进行响应 有效恢复是Web应用系统安全保障的一个重要内容。Web数据库审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统，其作用就是通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，可以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追