軟件工程Web技術(shù)開發(fā)平臺

劉力滔

摘要：如今，越來越多的人開始接觸互聯(lián)網(wǎng)，事實上，使用Web技術(shù)的實現(xiàn)基于網(wǎng)絡(luò)的不斷完善和發(fā)展的交流網(wǎng)站，人們可以利用其得到想要的任何信息。計算機網(wǎng)絡(luò)的發(fā)展，也促進了相關(guān)產(chǎn)業(yè)的發(fā)展，基于此本文研究軟件工程Web技術(shù)開發(fā)平臺。

關(guān)鍵詞：軟件工程;Web;技術(shù)開發(fā)平臺

中圖分類號：TP393.09 文獻標識碼：A 文章編號：1007-9416（2019）11-0058-01

0 引言

網(wǎng)頁系統(tǒng)可以分為硬件子系統(tǒng)和軟件子系統(tǒng)。硬件系統(tǒng)主要是提供網(wǎng)頁訪問過程中需要的網(wǎng)絡(luò)、服務(wù)器和安全防護。軟件系統(tǒng)由存儲在硬件系統(tǒng)設(shè)備中的軟件資源構(gòu)成。軟件工程Web技術(shù)開發(fā)平臺對于今后計算機的發(fā)展有重要的作用，所以研究軟件工程Web技術(shù)開發(fā)平臺很有現(xiàn)實意義。

1 軟件工程Web技術(shù)概述

由于一個網(wǎng)頁的訪問需要有硬件設(shè)備的支持，也需要有相應(yīng)的軟件系統(tǒng)的支撐，因此，硬件設(shè)備的安全出現(xiàn)問題和相應(yīng)軟件的安出現(xiàn)問題，都會對網(wǎng)頁安全構(gòu)成威脅。針對于硬件設(shè)備的安全威脅包含物理方式的攻擊，如盜搶、損毀設(shè)備、設(shè)備丟失、因設(shè)備老化等自身原因?qū)е略O(shè)備無法正常運轉(zhuǎn)，所以制定相應(yīng)的設(shè)備管理和定期排查制度、做好本地異地數(shù)據(jù)備份工作都是十分有必要的。

2 軟件工程Web技術(shù)策略原理

2.1 網(wǎng)頁訪問的控制策略

2.1.1 防止暴力破解

用戶登錄系統(tǒng)應(yīng)該設(shè)立防止暴力破解的手段，設(shè)立復(fù)雜的圖片或Flash驗證碼并記錄用戶嘗試登錄的次數(shù)，一旦嘗試次數(shù)過多應(yīng)禁止其登錄。

2.1.2 用戶輸入數(shù)據(jù)加密

用戶輸入的賬號密碼的安全十分重要，因此應(yīng)該對用戶的密碼進行加密處理，登錄頁面的值傳遞必須使用安全的POST方式，不要采用Get方式，密碼應(yīng)進行不可逆的加密操作（如MD5加密），傳輸過程中盡量使用加密的HTTPS協(xié)議，防止攻擊著通過抓包竊取用戶數(shù)據(jù)。在數(shù)據(jù)庫中存儲的用戶數(shù)據(jù)也應(yīng)通過嚴格的加密，禁止明文方式存取用戶密碼。

2.1.3 用戶驗證和身份標識應(yīng)存儲在服務(wù)端

許多網(wǎng)站通過創(chuàng)建Cookies將用戶身份記錄在客戶端，這個數(shù)據(jù)是不安全的，能夠被復(fù)制和偽造，應(yīng)采用更安全的在服務(wù)端創(chuàng)建Session的方式記錄用戶身份數(shù)據(jù)，并以服務(wù)端身份標識數(shù)據(jù)為判斷用戶身份的依據(jù)。用戶身份驗證過程一定要在服務(wù)端中完成，特別是在采用AJAX技術(shù)時更應(yīng)該注意。

2.2 網(wǎng)頁服務(wù)器的安全策略

2.2.1 服務(wù)器物理安全策略

要保證服務(wù)器的安全需要保證服務(wù)器在安全的環(huán)境中運行，嚴格控制環(huán)境的溫度、濕度，配置嚴格的安保設(shè)施，制定嚴格的安保、檢查、保養(yǎng)、使用條例，做好資產(chǎn)管理和登記工作。為了避免設(shè)備故障等原因造成不可恢復(fù)的損失，需要對服務(wù)器數(shù)據(jù)進行備份。備份需要在本地服務(wù)器上進行備份，也需要在其他存儲介質(zhì)或遠程服務(wù)器上及時進行備份。應(yīng)建立一套服務(wù)器監(jiān)控體系，一旦服務(wù)器出現(xiàn)無法工作或無法訪問時能夠自動發(fā)出警報并切換到備用的服務(wù)器或鏡像站中。

2.2.2 服務(wù)器密碼安全策略

服務(wù)器使用的所有密碼必須使用足夠復(fù)雜的密碼，防止攻擊者竊取密碼，密碼需要不定期更換，避免長時間使用一個密碼。服務(wù)器的密碼應(yīng)該是獨立的，不與其他密碼相同，避免受到撞庫攻擊。

2.2.3 嚴格配置服務(wù)器文件的訪問安全策略

服務(wù)器上存儲了很多文件，需要對每個文件的訪問安全策略加以限制，避免攻擊者越權(quán)訪問或借助相關(guān)工具提權(quán)。

2.2.4 修改遠程訪問端口和用戶

網(wǎng)頁服務(wù)器一般都允許進行遠程操作。默認的端口已經(jīng)眾所周知，極易被利用。因此，可以修改服務(wù)器遠程訪問端口，如Windows遠程桌面端口、Telnet訪問端口、數(shù)據(jù)庫端口、FTP文件管理端口、網(wǎng)頁的后臺管理系統(tǒng)端口等，并主動防御端口掃描。還應(yīng)創(chuàng)建一個偽造的低權(quán)限管理用戶，如Windows操作系統(tǒng)下創(chuàng)建一個隸屬于guests組的administrator用戶，即使該用戶密碼被破解，也無法真正對系統(tǒng)進行操作。

2.2.5 及時修復(fù)系統(tǒng)漏洞

由于操作系統(tǒng)和相關(guān)軟件代碼量大，很難做到邏輯無誤，這些不嚴謹?shù)倪壿嫿?jīng)常被攻擊者利用。因此，服務(wù)器上要及時安裝相應(yīng)的補丁，防止用戶利用已知漏洞攻擊服務(wù)器。

2.2.6 開啟并合理配置系統(tǒng)防火墻

以Windows操作系統(tǒng)為例，防火墻能夠有效方式一大部分攻擊，因此，開啟并合理配置防火墻，設(shè)置訪問策略，以便攔截攻擊。

3 Web技術(shù)開發(fā)平臺實現(xiàn)

3.1 網(wǎng)頁服務(wù)器實現(xiàn)

首先，應(yīng)選擇一個較為安全的服務(wù)器系統(tǒng)，使用最新的正版系統(tǒng)尤為關(guān)鍵。許多網(wǎng)頁服務(wù)器采用盜版的系統(tǒng)和軟件，這些系統(tǒng)可能已被破解者修改，可能存在無法穩(wěn)定運行或預(yù)留了后門等情況。在安裝操作系統(tǒng)之后，應(yīng)為該系統(tǒng)設(shè)置一個足夠復(fù)雜的、獨立的密碼，開啟并配置服務(wù)器的防火墻，對服務(wù)器上系統(tǒng)文件的權(quán)限予以限定，之后從可信的網(wǎng)站上下載需要安裝的軟件進行安裝和配置，有條件的還要接入硬件防火墻、入侵檢測系統(tǒng)、安全審計系統(tǒng)、服務(wù)器監(jiān)控系統(tǒng)。在安裝完Web應(yīng)用服務(wù)后，應(yīng)安裝Web應(yīng)用防護軟件并進行合理的設(shè)置。

3.2 傳輸實現(xiàn)

網(wǎng)頁采用B/S模式傳輸，因此傳輸安全十分重要。傳輸安全要防止服務(wù)器和客戶端瀏覽器之間數(shù)據(jù)傳輸時數(shù)據(jù)包被竊取和篡改和攔截。購買或自己發(fā)行一張可靠的證書，所有數(shù)據(jù)包特別是敏感字段需要先進行加密再傳輸才能夠保證其安全。因此，應(yīng)該采用更加安全的HTTPS方式進行網(wǎng)頁訪問，避免數(shù)據(jù)被竊取和篡改。對于數(shù)據(jù)的攔截方面的防御，可以借助日常行為分析等方式，及時發(fā)現(xiàn)。

3.3 訪問安全實現(xiàn)

對網(wǎng)頁訪問安全構(gòu)成威脅的方式有很多，一般情況下，瀏覽著都是通過域名對服務(wù)器進行訪問。域名挾持攻擊和ARP攻擊是主要的攻擊手段。要避免不安全的訪問，客戶機需要安裝殺毒軟件和防火墻，并將其更新到最新版，注意檢查Host文件是否被篡改。用戶不要通過不安全的有線網(wǎng)絡(luò)或WIFI訪問網(wǎng)站，并注意分辨信息的真假，記住網(wǎng)站的訪問地址并注意校驗，注意防御釣魚網(wǎng)站。

4 結(jié)語

綜上所述，如今，越來越多的人使用電腦來接觸互聯(lián)網(wǎng)，事實上，使用Web技術(shù)的實現(xiàn)基于網(wǎng)絡(luò)的不斷完善和發(fā)展的交流網(wǎng)站，人們可以利用計算機網(wǎng)絡(luò)技術(shù)，方便得到想要的任何信息。軟件工程Web技術(shù)開發(fā)平臺對于今后計算機的發(fā)展有重要的作用，所以研究軟件工程Web技術(shù)開發(fā)平臺很有現(xiàn)實意義。

參考文獻

[1] 陳志龍.軟件工程中Web開發(fā)技術(shù)的應(yīng)用與研究[J].計算機產(chǎn)品與流通，2019（05）：24.

[2] 陳子健.軟件工程Web技術(shù)開發(fā)平臺[J].電子技術(shù)與軟件工程，2019（08）：61.

[3] 曹陽.軟件工程Web技術(shù)開發(fā)平臺[J].電子技術(shù)與軟件工程，2019（05）：34.