web安全设计2.docVIP

计算机网络安全教程论文 ——WEB网络安全分析 学院：电气工程学院 专业：电子信息工程 学号：P081613473 姓名：蔡 松 指导老师：刘文博 时间：2011-12-27 WEB网络安全分析 （电气工程学院08电信1班 蔡松） 摘要：随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。2010年网络安全事件统计最多是：SQL注入与“网页挂马(木马)”。因为这是“僵尸”网络发展新“会员”的基本工具，而僵尸网络的经济与政治 “价值”，这里就不用说了。SQL注入与“网页挂马”主要就是针对Web服务的，传统的安全产品(UTM/IPS)都有些力不从心。互联网是个人思想展现的乐园，也是世界级的、虚拟的“另一个”社会，既然大家都是虚拟的、带着面具的，要变成现实社会中的真实利益，还需要一些转换 才可以兑现，但SOA把Web架构带入企业内部网络，这里的网络世界是“真实的”，利益是可以直接兑现的，Web安全问题变得刻不容缓！ 关键字：互联网；网络信息安全；Web安全 1 引言 Web服务是指采用B/S架构、通过Http协议提供服务的统称，这种结构也称为Web架构，随着Web2.0的发展，出现了数据与服务处理分离、服务与数据分布式等变化，其交互性能也大大增强，也有人叫B/S/D三层结构。互联网能够快速流行得益于Web部署上的简单，开发上简便，Web网页的开发大军迅速超过了以往任何计算机语言的爱好者，普及带来了应用上繁荣。J2EE与NET的殊途同归，为Web流行扫清了厂家与标准的差异；众望所归，SOA选中Web2.0作为其实现的基本工具之一(使用最广的)，Web架构从互联网走进了企业内部网络，新业务系统的开发，越来越多的系统架构师选择了Web架构，与熟悉它的人如此广泛是分不开的。事实再一次证明了那个经典的理论：简洁的最容易流行。 简单与安全好象总有些“矛盾”，浏览器可以直接看到页面的Html代码，早期的Web服务设计没有过多的安全考虑，人性本善，人员总是相信人都是善良的！但随着Web2.0的广泛使用，Web服务不再只是信息发布，游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理。信息价值的诱惑，人的贪婪开始显现，不是所有的人都有Web设计者的“大同”思想，安全问题日显突出了。 2 WEB网络安全 2.1 Web架构原理 要保护Web服务，先要了解Web系统架构，用户使用通用的Web浏览器，通过接入网络(网站的接入则是互联网)连接到Web服务器上。用户发出请求，服务器根据请求的URL的地址连接，找到对应的网页文件，发送给用户，两者对话的“官方语言”是Http。网页文件是用文本描述的，HTML/Xml格式，在用户浏览器中有个解释器，把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。 通常情况下，用户要访问的页面都存在Web服务器的某个固定目录下，是一些.html或.xml文件，用户通过页面上的“超连接”(其实就是URL 地址)可以在网站页面之间“跳跃”，这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息，信息发布还可以，但让用户做一些比如身份认证、投票选举之类的事情就比较麻烦，由此产生了动态网页的概念；所谓动态就是利用flash、Php、asp、Java等在网页中嵌入一些可运行的“小程序”，用户浏览器在解释页面时，看到这些小程序就启动运行它。小程序的用法很灵活，可以展示一段动画(如Flash)，也可以在你的PC上生成一个文件，或者接收你输入的一段信息，这样就可以根据你的“想法”，对页面进行定制处理，让你每次来到时，看到的是你上次设计好的特有风格，“贵宾的感觉”是每个人 都喜欢的，更何况虚拟的网络世界中，你不认识的人还对你如此“敬仰”，服务得如此体贴。 “小程序”的使用让Web服务模式有了“双向交流”的能力，Web服务模式也可以象传统软件一样进行各种事务处理，如编辑文件、利息计算、提交表格等，Web架构的适用面大大扩展，Web2.0可以成为SOA架构的实现之一，这个“小程序”是功不可没的。 2.2 影响Web安全的因素 （1）由于Web服务器存在的安全漏洞和复杂性，使得依赖这些服务器的系统经常面临一些无法预测的风险。Web站点的安全问题可能涉及与它相连的内部局域网，如果局域网和广域网相连，还可能影响到广域网上其他的组织。另外，Web站点还经常成为黑客攻击其他站点的跳板。随着Internet的发展，缺乏有效安全机制的Web服务器正面临着成千上万种计算机病毒的威胁。We