web应用漏洞研究和信息安全防护体系设计信息安全专业论文.docxVIP

中国科学技术大学硕士学位论文 中国科学技术大学 硕士学位论文 Web应用漏洞研究和信息安全防! 护体系设计 作者姓名： 王扬品 学科专业： 信息安全 l 导师姓名： 蒋凡教授 完成时间： 二O一五年四月十八日 万方数据 University University of S‘ andand Technologyechnology ofot Inina A d issertation for master’S deg ree l Web Application V l Research and Secu Des i g n Author’S Name： Yangpin Wang Speciality： Information Security Supervisor：Prof．Fan Jiang { Finished time： April 1 8，201 5 万方数据 中国科学技术大学学位论文原创性声明本人声明所呈交的学位论文，是本人在导师指导下进行研究工作所取得的成果。除已特 中国科学技术大学学位论文原创性声明 本人声明所呈交的学位论文，是本人在导师指导下进行研究工作所取得的成果。除已特 别加以标注和致谢的地方外，论文中不包含任何他人已经发表或撰写过的研究成果。与我一 同工作的同志对本研究所做的贡献均己在论文中作了明确的说明。 作者签名： 签字日期：叁丛生：笠：三l 中国科学技术大学学位论文授权使用声明 作为申请学位的条件之一，学位论文著作权拥有者授权中国科学技术大学拥有学位论文 的部分使用权，即：学校有权按有关规定向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅，可以将学位论文编入《中国学位论文全文数据库》等有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。本人提交的电子文档 的内容和纸质论文的内容相一致。 保密的学位论文在解密后也遵守此规定。 kr从开作撇：舡口保密(——年) 翮魏猛 签字日期：地l霉：S：§) 签字日期：递!』!．篁．；! 万方数据 摘要摘要 摘要 摘要 信息技术是一把双刃剑，给我们带来便利和进步的同时，也带来了安全隐患 和威胁。在目前的网络环境下，搭建安全和稳定的系统是很有必要的，考虑到防 范怀有不纯目的的对手、商业竞争及黑客入侵等因素，没有一个安全的防御体系， 在当前的网络环境下很难生存。 本文研究了常见Web应用漏洞的检测技术，提出了对SQL注入、XSS、上 传文件漏洞、CSRF等漏洞的检测方法，针对一些常见漏洞给出了预防措施，并 初步构造了一个Web应用漏洞扫描系统。本文介绍了运维实时监测系统，对实 时监测系统做了需求分析，确定了系统的基本功能和运行流程，描述了实时监测 系统后台的框架和研究了相关技术，并实现了一个运维实时监测系统。本文对等 级保护相关内容进行了介绍，描述了渗透测试、实时监测系统、入侵检测系统和 信息安全管理等技术的需求，研究了入侵检测技术和信息安全管理，阐述了入侵 检测系统的基本原理、工作流程及部署方案和信息安全管理的相关标准及依据标 准提出的一个信息安全管理体系。基于以上研究成果，本文提出了一个信息安全 防护体系。 本文对web应用漏洞检测和运维实时监测系统进行了详细的设计和实现， 并分别通过搭建实验环境和实际企业坏境下部署，对它们进行了测试和性能验 证，测试结果表明、Ⅳeb应用漏洞检测方法和运维实时监测系统能够满足设计要 求。本文还研究了入侵检测技术和信息安全管理，并结合等级保护建立了一个漏 洞检测、运维实时监控系统、入侵检测系统和信息安全管理等技术为核心的安全 防护体系。 关键词：信息安全防护web应用漏洞运维实时监测等级保护入侵检测 安全管理 万方数据 目录Abstract 目录 Abstract Information technology is double—edged sword．It brought convenience and progress，but also brought the security risks and threats．In the current network environment，it is necessary to build and stable system to prevent opponents harbor,commercial competition and hacking． In this papeL research the detection techniques of common web application vulnerability．It presents method for detecting SQL injection，XSS，uploa