基于DOA下Web安全管理體系的研究與設計

摘要：隨著“互聯網+”、大數據時代的到來，人類已經從信息技術（IT，Information Technology） 時代逐步走向數據技術（ DT， Data Technology）時代。Web技術的廣泛應用發展，客戶端以瀏覽和數據下載的方式占據了大量的市場、數據成倍的速度增長，以信息技術（小數據時代）發展而來的技術和信息安全技術，已不能有效解決目前的數據問題，而基于面向數據（ DOA， Data-Oriented Architecture），以碎片化應用的數據生態系統的構建機制，有效解決了大數據時代Web應用開發過程中的結構、管理、安全等體系問題。從數據保護到數據授權應用的全過程管理機制，解決了在云計算、大數據、“互聯網+”信息時代Web所面臨的安全問題。不但提供了知識理論和技術方案，也為數據安全、信息安全、數據應用、信息應用等帶來了新的機制，新的思路。

關鍵詞：DOA；XSS漏洞 ；SQL注入；Web安全

0引言

隨著企業信息化程度的不斷提高、科技技術應用的快速發展，信息時代已經成為我們的生活不可缺的一部分，Web應用技術的快速及應用，已經越來越成熟，并不斷壯大，安全問題引起了社會各界的高度重視。而目前Web應用程序和服務的增長已逐漸超越了開發人員所能承受的安全意識范圍。

1目前Web安全管理體系的威脅

Web面臨安全多種多樣，應用開發過程中也持續受到跨站腳本漏洞、SQL注入等各手段方式的攻擊。而目前傳統安全體系下大多數數據都是處于“裸露”的狀態，一旦有不速之客通過各種漏洞或非法獲得權限都可以獲取數據信息，其中SQL注入作為主流攻擊之首，“裸露”數據直接可以導致敏感數據的泄露甚至數據丟失。跨站攻擊、網頁篡改攻擊也是傳統web安全架構體系無法避免的網絡攻擊手段，在大數據復雜的“互聯網+”環境下，依賴于云計算、移動互聯網、大數據、物聯網的Web應用也逐步增長。Web中數據存放、釣魚網站、數據越權訪問等現象時有發生，以傳統的Web的安全體系架構已無法完成、快速更新適應于現在復雜的網絡軟件環境。

根據目前Web安全體系結構與常見解決方案缺陷的分析，Web安全體系加固中設計了防護客戶端、加固系統服務端等策略。Web服務器安全架構中常見方案對離散服務器應用場景、服務器群組場景也大多都基于目前傳統的Web安全體系架構而設計如2-1圖：

2基于DOA下Web安全管理體系的研究設計

（1）避免性能瓶頸

建立面向數據（ DOA， Data-Oriented Architecture）具有安全屬性（主人、朋友、陌生人與敵人）的數據授權機制，加密呈現深度級別和基于特定的訪問者，特定的場合（環境），特定的時間（時段）的AAA（Authorization，Authentication，Accounting， 授權、認證、計帳）策略的Web安全機制，打破傳統我們只對Web服務器本身進行直接加固，通過下放客戶端，使每個防護客戶端只處理流經本服務器的網絡數據，只關心單臺服務器的數據安全問題。建立數據與應用相分離，不依賴于特定的硬件環境和軟件環境，數據生長不同的應用。站在數據的角度審視技術、架構、安全體系，建立以數據為核心，天生加密、授權訪問、過程記錄、加密存儲、傳輸授權、解密使用的大數據平臺碎片化應用安全體系。這樣，在服務器的數據組的應用場景下，便不會存在單一的安全加固系統，而是需要處理群組中所有服務器的數據屬性，從而有效降低了性能影響，避免了由于安全加固系統成為性能瓶頸，從而降低了對整個服務器群組中所有Web應用的服務質量產生的影響。

（2）統一服務管理平臺

新型Web安全管理體系以數據為核心，重新認識數據價值和數據管理，滿足各種應用需求，通過數據注冊中心（DRC）、數據權限中心（DAC）、數據異常控制中心（DEC）來統一定義數據、管理數據和提供數據服務，通過數據應用單元（DAUs）對各種應用進行管理和服務建立一種數據大平臺與碎片化應用的數據生態系統，解決數據與應用之間自生長、自適應、自管理和可持續發展的機制，構建從數據保護到授權應用的整套機制，即數據的安全機制，應用中數據的授權使用機制。

基于DOA下Web安全管理體系提供給管理員的唯一接口是基于數據安全體系的管理機制。以數據為核心的Web安全管理體系可以在不影響服務質量的前提下，處理大量處于網絡位置離散狀態下的網站服務器或服務器群組的數據，并且進行統一的安全管理，管理員可以數據為核心，提取調用數據，利用數據權限中心（DAC）進行統一安全配置與管理。同時，通過數據注冊中心（DRC）建立的遠程日志保存機制，可以防止攻擊者對攻擊痕跡的清除，并可以在不影響Web服務器性能的情況下，對來自異地攻擊的數據進行進一步的分析和挖掘，幫助Web管理員更迅速，更準確的查找網站漏洞，進行及時修補。如3-1圖：

3研究并基于DOA下Web安全管理體系的意義

在大數據時代，以數據建設和提供信息（數據）服務的企業和部門越來越多，而“互聯網+”下的安全問題也已成為全社會關注的焦點，并且涉及國家政治、軍事、經濟和文教等諸多領域，而對這類數據提供者的利益保護也愈發重要。加之信息本身具有易復制、易傳輸、難保護的特點，應用則是由政府、企業和個人在互聯網和移動互聯網中隨時隨地、隨心隨意的各種需求產生出的碎片化和個性化的應用。傳統的Web安全體系中則又缺乏對數據保護和授權使用的機制，所以建立新型Web安全管理體系，以數據為核心，最大限度地保證數據安全統一管理的數據資源池是時代發展的趨勢，也是必然。

4總結

建立基于DOA下構建以數據為核心的數據生態Web安全體系，不僅讓數據有可持續發展的能力，而且數據天生加密，授權使用。并且以DRC、DAC為核心的重點Web安全應用機制數據資源池，讓所有的應用都“生長”在其上，客戶端瀏覽和下載的Web數據都在一個“池子”里按權調用提取，數據不需要與其他應用系統去共享數據和信息，也不存在信息“孤島”和信息“煙囪”的碎片化互動應用問題。數據在開放環境下進行存儲和傳輸，既可以適應傳統封閉的安全環境下的應用，也增強了信息的安全保障，又可以在開放環境下保證數據的安全和不被越權訪問。與發展中的云計算、大數據、網絡空間安全、系統安全、應用環境安全相融合，從而有效保障了信息的安全，也從根本上也解決了Web安全機制的管理問題。

作者簡介：賈如春，畢業于四川大學碩士，新視覺MOOC微課程聯盟創始人，成都大學外聘導師，主要研究方向為云平臺架構、大數據挖掘與分析、信息安全等方向，主要負責面向數據的安全存儲與恢復，電子商務平臺安全等項目工作。