Web应用安全解决方案.pdf

现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部

的业务应用系统,都离不开Web应用.Web应用不仅给用户提供一个方便和易

用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台.

网络的发展历史也可以说是攻击与防护不断交织发展的过程.目前,全球网络

用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,

企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一

个空前的高度.

然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web

应用的攻击上,他们针对Web和应用的攻击愈演愈烈,频频得手.根据Gartner

的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上.同时,

数据也显示,三分之二的Web站点都相当脆弱,易受攻击.

另外,据美国计算机安全协会〔CSI〕/美国联邦调查局〔FBI〕的研究表明,在

接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击〔包括

系统入侵、滥用Web应用系统、网页置换、盗取私人信息与拒绝服务等等〕,

这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们

之中有98%的公司都装有防火墙.早在2002年,IDC就曾经在报告中认为网

络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火

墙

1/19

内的Web端口都必须处于开放状态

目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可

完成诸如更换Web主页、盗取管理员密码、破坏整个数据等等攻击.而这些

攻击过程中产生的网络层数据,和正常数据没有什么区别.

在Web应用的各个层面,都会使用不同的技术来确保安全性,如图示1所示.

为了保证用户数据传输到企业Web服务器的传输安全,通信层通常会使用

SSL技术加密数据；企业会使用防火墙和IDS/IPS来保证仅允许特定的访问,

所有不必要暴露的端口和非法的访问,在这里都会被阻止.

已知Web

DoS攻击服务器漏洞

端口扫描网络层

模式攻击应用服务器

数据库服务器

Web服务器

图示1Web应用的安全防护

但是,即便有防火墙和IDS/IPS,企业仍然不得