返回
web应用安全防护和安全评估探究

web应用安全防护和安全评估探究

ID:6058315

大小:32.50 KB

页数:11页

时间:2018-01-01

web应用安全防护和安全评估探究_第1页
web应用安全防护和安全评估探究_第2页
web应用安全防护和安全评估探究_第3页
web应用安全防护和安全评估探究_第4页
web应用安全防护和安全评估探究_第5页
资源描述:

《web应用安全防护和安全评估探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、web应用安全防护和安全评估探究  摘要:文章介绍了web应用目前面临的主要安全风险和web安全防护目标,给出一种基于管理制度、安全平台和响应机制为一体的安全防护体系,并提出了针对这种安全防护体系的安全评估手段,进一步保障了安全防护体系的有效性和强壮性。关键词:web应用安全防护安全评估中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2013)03-0201-03随着信息技术的发展,网络已经成为获取信息、交流信息的主要工具,Web应用因其开发维护成本较低,使用简单方便,已经成为网络信息交互的主要

2、载体,与此同时,web应用面临的风险和挑战也越来越多,根据CVE等机构的统计,web应用类的安全攻击已经超过了其他安全攻击的总和。1web应用安全风险与防护目标1.1针对web应用的安全风险web应用所面临的安全风险与其所处的网络环境、系统运行环境和web应用自身有很大的关系,主要表现在以下几个方面。1.1.1网络环境11网络自身存在的配置问题、协议缺陷等,很容易被入侵者利用从而攻击web系统。常见的网络监听、木马攻击和DDOS攻击就属于此类安全风险。1.1.2操作系统操作系统配置不当、管理不善会导致服务器存在安全隐患

3、,如果被攻击者利用,就会对服务器的安全性造成极大的威胁,黑客、病毒可以利用这些缺陷对web服务器进行攻击。1.1.3web支持软件目前用得较多的web支持软件主要有IIS、Apache等,这些web服务器软件自身存在很多安全漏洞或缺口,如IIS的Null.htw、MDAC、ISM.dll、Webhits.dll、Unicode解析错误漏洞等多种漏洞给入侵者可乘之机。1.1.4web应用程序在web代码编写过程中,如果程序员未充分考虑各种安全因素,就会导致代码中存在安全漏洞,使得入侵者能够利用这些漏洞发起web攻击。常见

4、的代码导致的安全漏洞有SQL注入、跨站脚本攻击、越权操作、文件上传组件漏洞、下载漏洞等。1.2web应用安全防护目标Web应用安全防护的目标是通过安全产品和安全技术对web进行管理和控制,保障web站点免受网络攻击和恶意代码的影响,维护系统的可靠性、服务的可用性、信息的保密性、数据的完整性、用户的可控性。111.2.1可靠性可靠性是web应用系统能够在规定条件下和规定时间内实现规定功能的特性。可靠性是系统安全的最基本要求之一,是所有web应用系统的建设和运行目标。1.2.2可用性可用性是web服务可被授权实体访问并按需

5、求使用的特性。可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。1.2.3保密性保密性是web应用信息不被泄露给非授权的用户、实体或过程的特性。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现.它是在可靠性和可用性的基础之上,保障信息安全的重要手段。1.2.4完整性完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入的特性。完整性是一种面向信息的安全性.它要求保持信息的原样,即信息的正确生成、存储和

6、传输。1.2.5可控性11可控性是对网络信息的传播及内容具有控制能力的特性。保障系统依据授权提供服务.使系统在任何时候都不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。2web安全防护体系web安全防护体系可以有效降低web面临的风险,确保web防护目标的实现。狭义的安全防护体系仅仅指的是安全防护平台,而从实际工作和需求来看,安全防护体系应该由三个方面组成:完善的管理制度、有效的防护平台、健全的响应机制,三者相辅相成、缺一不可。2.1完善的管理制度制度是对行为的指导和约束,管理制度

7、是web安全防护体系中重要的组成部分,是web应用安全运行的保障。制度的制定要全面、细致,制度的实施要可行、有效。web安全防护管理制度应从人员管理、行为规范、技术设施三方面制定。具体来讲,涉及到值班员、管理员、信息发布员、培训与考核、硬件管理、软件管理、信息更新、数据备份、密码管理、日志管理等。而且,随着技术和需求的发展,制度还要不断的更新完善。2.2有效的防护平台11从网络协议分层的角度来讲,web的安全防护主要涉及网络层和应用层,鉴于应用层的安全防护相对比较复杂,本文将应用层分为为操作系统层、一般服务组件(web

8、服务器、数据库软件、常用软件、通用组件等)层和特定web应用层后与网络层并行进行分析(如图1)。与安全防护有关的技术和产品比较多,但是从应用范围来讲可将其分为通用和不通用两种。对于网络层采用通用的防护技术或产品即可达到较好的效果。在网络层一般需要安装防火墙、入侵检测系统、异常流量检测和过滤等通用设备。防火墙可以有效的保护web应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。