以WEB為基礎探討系統防御框架的構建

0 引言

我國科學技術不斷發展的同時，信息化建設也呈現出迅猛發展的趨勢，計算機網絡技術的應用范圍也越來越廣泛，相應的基礎設施也越來越多，硬件設備和軟件技術都在不斷提高。在技術進步的基礎上，以動態WEB技術為基礎的網絡應用系統在社會各行各業中正普遍被應用，在給生產企業帶來便利的同時，也產生了一定的安全問題。為了保證企業的信息安全，建立牢固的安全防御框架具有重要意義。所以，本文就在WEB網絡技術的基礎上，對網絡應用系統安全防御框架從缺陷和實施的關鍵技術進行了如下討論。

1 WEB網絡應用系統中的安全問題現狀及主要表現

WEB網絡應用系統中的安全問題主要是由 WEB技術的特點所導致的，因為其本身具有極大的開放性、交互性和虛擬性等特點，所以存在很多安全隱患，具體表現在：系統開發環境不穩定、關聯性較強、用戶自身安全保護意識不足、系統屬性有待完善和不確定因素多等5個方面，下面一一對其進行分析。

1.1 WEB網絡應用系統的開發環境穩定性不足

這一安全問題就是指系統開發環境的機制和安全策略不足。例如，在使用各種WEB語言，比如JAVA、PHP和Android等開發語言來編寫程序代碼時，極易發生拒絕服務的攻擊問題。當服務被拒絕攻擊時，Http的請求就會大大增加服務器中CPU的使用率，使WEB服務器的使用率在幾小時內就達到99%，甚至在幾分鐘中內就達到。

1.2 WEB網絡應用系統具有很強的服務關聯性

WEB應用服務器在受到攻擊之后，攻擊者就會利用它進入企業的內部網絡，獲取關鍵信息或進行破壞。這是因為，WEB網絡應用系統提供的服務和其他毒物之間具有非常密切的聯系，所以一旦WEB服務器被攻擊，其本身的訪問權限就會受到控制，并對系統內部其他的數據庫服務器進行訪問控制或者攻擊。

1.3 WEB網絡應用系統用戶的自身安全保護意識不足

從筆者多年的工作經驗可知，WEB網絡應用系統的用戶大多缺乏專業的安全知識，所以對于WEB網絡應用系統的安全防范的概念沒有足夠的認識，對其重視度不高，不能及時根據相關的知識和技術來采取安全防護措施來保障數據安全，消除安全隱患，是WEB網絡應用系統中導致安全問題的重要因素之一。

1.4 WEB網絡應用系統的自身屬性有待進一步完善

在WEB網絡應用系統中，底層軟件具有復雜性，所以也容易產生安全問題。與此同時，該系統服務器的操作系統、網絡結構和數據庫等技術也存在很多安全漏洞，如果這些漏洞被惡意利用，就會導致信息泄露或者惡意攻擊等安全事故的發生，這些都是由其自身系統不完善所導致的。

1.5 WEB網絡應用系統存在很多不確定因素

WEB應用系統中的信息交流具有很強的交互性，屬于雙向流通，其所包含的文本、圖像、錄音、視頻等信息和傳統的單一信息有很大的區別，所以也更加容易受到攻擊。這種開放式交互環境中涉及的安全需求和封閉環境中的安全需求不同。

WEB網絡應用系統安全隱患的具體表現，主要包括以下幾個方面：①信息訪問存在漏洞。訪問控制的主要目的是為了使合法用戶能夠通過認證授權，預防非法用戶未經過授權就對應用系統信息資源進行訪問。因為應用系統認證方式較為單一，極易出現口令猜測等一系列不良狀況，同時個人身份證信息環節處于薄弱狀態，導致惡意攻擊能夠十分容易的獲取相關機密文件。②資源非法使用。惡意用戶可以通過對管理員賬戶密碼進行盜取，然后訪問一些無訪問權限的網頁信息，并對網頁中的信息數據進行修改、破壞以及非法傳播。同時，網絡上流傳的一系列惡意代碼對于網絡應用系統安全也產生了巨大威脅。③用戶權限過高。就目前來看，知識經濟時代背景下，網絡信息技術呈現迅猛的發展趨勢，在對網絡系統進行組建的時候主要考慮的是網絡結構及其功能，對于安全問題的考慮比較欠缺；隨著網絡應用系統功能越來越強大，用戶使用權限管理也有了較大幅度的提升，網絡管理人員擁有網絡系統高級權限，可以隨意進行操作，這就造成簡單授權訪問方式受到一定的制約。一旦用戶具備的權限過高時，就會對機密數據的安全性構成威脅，導致網絡環境失去安全導向。

2 WEB網絡應用系統構建安全防御框架的主要技術

2.1 加強對訪問權限的設置

采取這一措施的主要目的就是利用對用戶訪問權限來控制他們的訪問和可執行程度。由于用戶的訪問權利和職責范圍不同，系統的安全管理員就可以在此基礎上，為他們制定不同的用戶操作策略，明確他們的訪問目錄、文件、程度、服務、端口和設備等，根據他們完成任務的需要，只給予他們最小的訪問權限來完成任務即可。

2.2 建立身份認證和平臺認證系統

這一技術包括兩方面的措施，首先就是認證用戶的具體身份。具體來說就是為用戶建立專門的身份識別碼、證書和私人鑰匙，并在這些憑證的基礎上來建立保障安全操作的內核和可靠的訪問路徑，只需要完成身份認證，就可以進入到相應的終端中。另一方面就是對平臺進行認證。這一過程主要是利用服務器的防火墻來完成的。安全管理員只需要對終端的授權進行維護就可以對服務器進行訪問。如果將身份認證和平臺認證結合起來，就能夠將未經授權接入的內部網絡終端和不安全的內部網絡終端孤立起來，保證終端接入的安全。

2.3 充分運用可信度量技術

該技術可以對腳本或者程序進行檢驗和驗證，破壞或者阻斷惡意代碼的趁虛而入及傳播，具體表現在如下三個方面。第一，如果用戶申請運行某一個腳本或程序，安全操作系統內核就可以馬上獲取該請求，并對該請求進行專業的安全分析，檢測其是否在“用戶執行程序列表”中，否則拒絕該程序運行。第二，在第一次啟動可信度量模塊計算程序和代碼時，相關文件摘要值一定要上報給管理中心，將其作為安全管理的策略基礎，然后將最終實行的安全管理值進行統一管理和分發。第三，在第二次運行可信度量程序時，度量模塊將驗證計算值與存儲值是否一致。如果一致，則認為程序或代碼是可信的，從而允許啟動，否則拒絕其運行。

2.4 增強對網絡攻擊的保護力度

在WEB環境中，網絡應用系統有很多表現形式，包括拒絕服務、SQL 注入、跨站腳本和緩沖器溢出等。如果要對應用系統建立單個的安全防御框架，就需要將軟件和硬件充分結合起來，為應用系統的服務提供最大程度的安全保障。

2.5 對WEB網絡應用系統進行安全審計

我們可以充分利用網絡安全審計制度來為系統的安全運行提供保障，對授權人員的操作行為在安全管理中心進行備案，建立責任追究制度，這樣即便出現安全事故，也有證可查。與此同時，進行安全審計還有利于監控非授權人員的攻擊行為，并進行實時記錄，便于追蹤審查。

2.6 養成容災備份的習慣

根據容災備份系統對災難的抵抗程度，可分為數據容災備份和應用容災備份。數據容災備份是指實時復制原系統關鍵應用數據。應用容災備份是指在異地建立一套完整的、與本地數據系統相當的備份應用系統。在災難出現后，遠程應用系統迅速接管或承擔本地應用系統的業務運行。

3 結束語

綜上所述，WEB網絡應用系統由于自身的屬性和特點，導致其存在諸多安全隱患，為了提出針對性的措施來解決，本文從系統開發環境不穩定、關聯性較強、用戶自身安全保護意識不足、系統屬性有待完善和不確定因素多等五個方面對系統中存在的安全問題進行了闡述，然后從加強對訪問權限的設置、建立身份認證和平臺認證系統、充分運用可信度量技術、增強對網絡攻擊的保護力度、進行安全審計和養成容災備份的習慣等六個方面對其安全防御框架的建立進行了詳細 討論，希望能為大家提供參考意見。