Web应用安全解决方案资料.pdf

精 品 文 档 ××Web 应用安全解决方案 一 、 应 用 安 全 需 求 1 ． 针 对 Web 的 攻 击 现 代 的 信 息 系 统 ， 无 论 是 建 立 对 外 的 信 息 发 布 和 数 据 交 换 平 台 ， 还 是 建 立 内 部 的 业 务 应 用 系 统 ，都 离 不 开 W eb 应 用 。W eb 应 用 不 仅 给 用 户 提 供 一 个 方 便 和 易 用 的 交 互 手 段 ， 也 给 信 息 和 服 务 提 供 者 构 建 一 个 标 准 技 术 开 发 和 应 用 平 台 。 网 络 的 发 展 历 史 也 可 以 说 是 攻 击 与 防 护 不 断 交 织 发 展 的 过 程 。 目 前 ， 全 球 网 络 用 户 已 近 20 亿 ， 用 户 利 用 互 联 网 进 行 购 物 、 银 行 转 账 支 付 和 各 种 软 件 下 载 ， 企 业 用 户 更 是 依 赖 于 网 络 构 建 他 们 的 核 心 业 务 ，对 此 ， W eb 安 全 性 已 经 提 高 一 个 空 前 的 高 度 。 然 而 ，随 着 黑 客 们 将 注 意 力 从 以 往 对 网 络 服 务 器 的 攻 击 逐 步 转 移 到 了 对 W eb 应 用 的 攻 击 上 ，他 们 针 对 W eb 网 站 和 应 用 的 攻 击 愈 演 愈 烈 ，频 频 得 手 。根 据 Gartner 的 最 新 调 查 ， 信 息 安 全 攻 击 有 75% 都 是 发 生 在 W eb 应 用 而 非 网 络 层 面 上 。 同 时 ， 数 据 也 显 示 ， 三 分 之 二 的 W eb 站 点 都 相 当 脆 弱 ， 易 受 攻 击 。 另 外 ， 据 美 国 计 算 机 安 全 协 会 （CSI ） / 美 国 联 邦 调 查 局 （FBI ） 的 研 究 表 明 ， 在 接 受 调 查 的 公 司 中 ，2004 年 有 52% 的 公 司 的 信 息 系 统 遭 受 过 外 部 攻 击（ 包 括 系 统 入 侵 、滥 用 W eb 应 用 系 统 、网 页 置 换 、盗 取 私 人 信 息 及 拒 绝 服 务 等 等 ）， 这 些 攻 击 给 269 家 受 访 公 司 带 来 的 经 济 损 失 超 过 1.41 亿 美 元 ，但 事 实 上 他 们 精 品 文 档 精 品 文 档 之 中 有 98% 的 公 司 都 装 有 防 火 墙 。 早 在 2002 年 ， IDC 就 曾 在 报 告 中 认 为 ， “网 络 防 火 墙 对 应 用 层 的 安 全 已 起 不 到 什 么 作 用 了 ， 因 为 为 了 确 保 通 信 ， 网 络 防 火 墙 内 的 W eb 端 口 都 必 须 处 于 开 放 状 态 。 ” 目 前 ， 利 用 网 上 随 处 可 见 的 攻 击 软 件 ， 攻 击 者 不 需 要 对 网 络 协 议 深 厚 理 解 ， 即 可 完 成 诸 如 更 换 W eb 网 站 主 页 、盗 取 管 理 员 密 码 、破 坏 整 个 网 站 数 据 等 等 攻 击 。 而 这 些 攻 击 过 程 中 产 生 的 网 络 层 数 据 ， 和 正 常 数 据 没 有 什 么 区 别 。 2 ． Web 安 全 防 范 在 W eb 应 用 的 各 个 层 面 ，都 会 使 用 不 同 的 技 术 来 确 保 安 全 性 ，如 图 示 1 所 示 。 为 了 保 证 用 户 数 据 传 输 到 企 业 W eb 服 务 器 的 传 输 安 全 ， 通 信 层 通 常 会 使 用 SSL 技 术 加 密 数 据 ；企 业 会 使 用 防 火 墙 和 IDS/IPS 来 保 证 仅 允 许 特 定 的 访 问 ， 所 有 不 必 要 暴 露 的 端 口 和 非 法 的 访 问 ， 在 这 里 都 会 被 阻 止 。 IDS/IPS 防 火 墙 Web 应 用 注入式攻击