（计算机应用技术专业论文）asp公共服务平台安全解决方案研究.pdf

a s p 公共服务平台安全解决方案研究 摘要 a s p ( a p p l i c a t i o ns e r v i c ep r o v i d e r ，应用服务提供商) 是一种业务租赁模 式，企业用户可以直接租用a s p 的计算机及软件系统进行自己的业务管理，从 而节省一大笔用于i t 产品技术购买和运行的资金，因此a s p 成为中小企业信息 化的首选模式。 作为一种典型的w e b 应用，安全问题成为当前限制a s p 发展的最重要方面， 良好的安全策略能促进a s p 的迅速发展及应用。尽管大多数a s p 提供商采取了 相关的安全措施，但是对a s p 安全问题的研究局限在物理安全、网络安全、数 据加密等表层，使a s p 安全问题难以有突破性进展。本课题突破了现有的强调 通过外界因素来解决a s p 安全问题研究方法的局限，从基于b s 架构应用的客 户层、应用服务层、数据库层三个层次分析了a s p 应用安全问题，强调了a s p 安全策略的重要性，着重研究了应用级安全，并将基于角色访问控制方法用于 a s p 应用设计。 本文首先介绍了a s p 模式、a s p 安全的重要性以及本文的研究背景。接着 从整体上介绍了a s p 公共服务平台安全体系，分析了a s p 服务平台安全风险及 相应的安全组件。第三章从a s p 服务平台作为一种典型的w e b 应用程序出发， 分析了a s p 应用级分层安全设计，将a s p 应用安全分为客户端、服务器端及数 据库三个层次，并对各层作了详细介绍。论文第四章将基于角色的访问控制一 一r b a c ( r o l eb a s e da c c e s sc o n t r 0 1 ) 技术应用于a s p 应用程序设计，提出了 基于三级角色授权的a s p 应用程序安全设计方法，对这种方式进行了详细介绍， 并给出了一个实例。最后，对本文的研究内容进行了总结，并对未来a s p 安全 研究方向进行了展望。 关键词：应用服务提供商；安全；w e b 应用；单点登录；基于角色访问控制 t h er e s e a r c ho ns e c u ri t ys o i u t i o r l so f a s pp u b li cs e r v i c ep i a t f o r m a b s t r a c t a s p ( a p p l i c a t i o ns e r v i c ep r o v i d e r ) i sam o d e lo fo p e r a t i o n a ll e a s i n g e n t e r p r i s e sc a nh i r ec o m p u t e r sa n ds o f t w a r es y s t e m so fa s pt om a n a g et h e i r o p e r a t i o n s b yd o i n gt h i s ，t h ee n t e r p r i s e sg a i nas u b s t a n t i a ls a v i n g sf r o mt h e p u r c h a s ea n do p e r a t i o no fi tp r o d u c t st e c h n o l o g yf u n d s s oa s ph a sb e c o m e t h ep r e f e r r e dm o d e lo fs m e si n f o r m a t i o n i z a t i o n a sat y p i c a lw e ba p p l i c a t i o n ，s e c u r i t yh a sb e c o m et h em o s ti m p o r t a n t a s p e c tw h i c hh a dr e s t r i c t e dt h ed e v e l o p m e n to fa s p af a v o r a b l es e c u r i t y p o l i c yc a np r o m o t et h ed e v e l o p m e n ta n da p p l i c a t i o no fa s ra l t h o u g hm o s to f t h ea s p p r o v i d e r sh a v et a k e nc o r r e l a t i v es e c u r i t ym e a s u r e st op r o t e c ta s p , t h e r e s e a r c ho fa s ps e c u r i t yi sl i m i t e do nt h es u r f a c el a y e ro fp h y s i c a ls e c u r i t y , n e t w o r ks e c u r i t y , d a t ae n c r y p t i o ne t c t h i sh a sl i m i t e dt h er e s e a r c ho fa s p s e c u r i t ya n dl e f ti t r i oa b r u p td e v e l o p m e n t t h et h e s i sb r e a k st h r o u g ht h e l i m i t a t i o na n da n a l y z e st h ea s p s e c u r i t yf r o mt h r e et i e r so fb ss t r u c t u r e w h i c hi n c l u d e sc l i e n tt i e r , a p p l i c a t i o ns e r v i c et i e ra n dd a t a - b a s et i e r t h et h e s i s e m p h a s i z e s o i lt h ei m p o r t a n c eo ft h ea s ps e c u r i t yp o l i c y t h e nw ep u t e m p h a s i so nt h es e c u r i t yo fa p p l i c a t i o ns e r v i c et i e ra n da p p l yr o l e b a s e d a c c e s sc o n t r o li na s p a p p l i c a t i o n a tf i r s t ，a s pm o d e la n dt h e i m p o r t a n c eo fa s ps e c u r i t ya n dt h e b a c k g r o u n do ft h i st h e s i sa r eg i v e n t nc h a p t e r 2 ，t h et h e s i si n t r o d u c e st h ea s p s e c u r i t ya r c h i t e c h t u r e ，a s ps e c u r i t yr i s k a n dt h ec o r r e s p o n d i n gs e c u r i t y c o m p o n e n t s t h ec h a p t e r 3a n a l y z e s a p p l i c a t i o n a s pa p p l i c a t i o ns e c u r i t y l a y e r e ds e c u r i t yd e s i g n i n g o fa s p i sd i v i d e di n t ot h r e et i e r sw h i c ha r e c l i e n tt i e r , a p p l i c a t i o ns e r v i c et i e ra n dd a t a b a s ea c c e s st i e r t h i sc h a p t e rg i v e s ap a r t i c u l a ri n t r o d u c t i o nt oe v e r yt i e r t h ec h a p t e r 4a n a l y z e st h es e c u r i t yo f a s pa p p l i c a t i o ns e r v i c et i e r , t h e np u t s a p p l i c a t i o na n dp u t sf o r w a r dam o d e l r o l eb a s e da c c e s sc o n t r o li n t oa s p o fa s pa p p l i c a t i o nd e s i g nb a s e do n t h r e ec l a s sr o l e - b a s e da c c e s sc o n t r o l ，t h e ng i v e sap a r t i c u l a ri n t r o d u c t i o nt ot h e m o d e l f i n a l l y , t h em a i nc o n t e n t so ft h i st h e s i sa r ec o n c l u d e d ，a n d f o r e c a s t s t h ef u t u r er e s e a r c hd i r e c t i o no f t h ea s ps e c u r i t y k e yw o r d s ：a p p l i c a t i o ns e r v i c ep r o v i d e r ，s e c u r i t y ，w e ba p p l i c a t i o n ， s i n g l es i g no n ，r o l e - b a s e d a c c e s sc o n t r o l 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写 过的研究成果，也不包含未获得 ( 洼! 翅超直基地盂要挂别壹盟 笪：奎拦豆窒2 或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研 究所做的任何贡献均己在论文中作了明确的说明并表示谢意。 学位论文作者签名霹羲、翠 签字日期：耐年f 月) 旷日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并向国家有 关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权学校可以将学 位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手 段保存、汇编学位论文。( 保密的学位论文在解密后适用本授权书) 学位论文作者繇毒熬翠 签字日期：砌f 年t 月) 3 日 学位论文作者毕业后去向 工作单位： 通讯地址： 导师签字 丁钐 签字日期：“年s 月砰日 电话 邮编 a s p 公共服务平台安全解决方案研究 1 1 引言 第一章概论 a s p 是英文a p p l i c a t i o ns e r v i c ep r o v i d e r 的缩写，中文译为应用服务提 供商，它是指配置、租赁和管理应用解决方案，为商业、个人提供服务的专业 化服务公司“1 。a s p 是i n t e r n e t 与传统外包服务提供商及增值销售商的有机结 合体，通过i n t e r n e t 向企业提供所需要的各种应用软件服务，规模可大可小， 复杂程度可高可低。它采用租赁的方式为用户提供全面实用、价格低廉的各类 应用服务，用户只需拥有上网条件即可，降低了中小企业部署信息系统的负担， 使得企业能够更加专注于自己的核心业务流程，极大地满足了中小企业信息化 进程的需要，是推动企业信息化的重要手段。a s p 组织方式如图卜l 所示。3 ： 图1 - 1 a s p 运营模式 由于a s p 的优势及促进a s p 发展的技术日益成熟，a s p 的应用受到越来 越多用户及i t 业的重视，成为信息领域的热门技术、计算机发展的第三次高潮。 a s p 模式快速发展归功于该模式的巨大优势： 1 、节省企业在招募i t 人才和建设i t 系统时的大笔投资。 2 、降低企业的培训成本。 3 、提高了企业运作效率。通过a s p 服务，企业可以真f 将精力放在企业 自身的核心业务上面，有助于提高企业业务运作效率。 4 、减轻了应用系统的后续维修与升级问题。 a s p 公共服务5 f 台安全解决方案研究 5 、a s p 服务能为企业提供更好的环境。a s p 服务商可以提供公共的灾难 各份系统，甚至为企业提供大型存储网络和数据中心技术，使企业享受最优秀 的专业化信息服务。 6 、企业可以享受更高水平的服务。a s p 服务商与咨询服务商合作，为中小 企业提供管理咨询服务，为企业的未来成长规划发展空间，a s p 能够让中小企 业跟上市场和技术潮流，抓住商机。 7 、a s p 服务的收费模式非常灵活，减轻了中小企业的资金负担1 5 1 。 a s p 是社会经济、技术、文化等各种因素共同作用的产物。i n t e m e t 的普及、 带宽不断增大和价格不断下降、客户机n 务器环境下的可共享应用、浏览器成 为广泛接受的图形界面应用程序等i t 技术的成熟促进了a s p 的发展，使得a s p 的广泛使用成为可能。 尽管a s p 已经引起了全球的关注，但是由于有保障的服务水平、数据、网 络安全以及内部控制的丧失等因素，企业还不能完全信任a s p 服务，而且大多 数a s p 服务也没有达到预期效果，这些成为影响a s p 发展的主要原因。 1 2a s p 安全的重要性 一般来说，a s p 所有应用服务产品被放置在a s p 的数据中心，以供客户随 时调用。大部分企业对放在a s p 数据中心的资料和数据的安全性能否得到有效 保证表示担心。因此，对涉及客户自己独有的有关数据，平台必须提供相应安 全保护措施叽 1 2 1 影响a s p 发展的因素 尽管a s p 已经成为信息领域的研究热点，a s p 的发展与应用却难以取得实 质性的跨越，业界人士分析影响a s p 发展的因素有以下几点： 1 、通讯频宽的限制： a s p 商业模式需要有充足的带宽资源支持。 2 、网络安全性： 网络的安全性包括了两层含义：一是技术上能够抵御黑客的非法侵入；另 一层更重要的含义是a s p 商本身的职业操守达到一定的层次，顾客的商业秘密 a s p 公共服务平台安全解决方案研究 不会因a s p 自身的原因而泄露。 3 、社会信用体系： 信用体系是a s p 发展的关键动力。 4 、品牌因素： 由于a s p 这一商业模式本身需要很高的技术要求、安全要求和信用要求， a s p 商的品牌因素也特别重要。 由于a s p 通过互联网提供服务，因此安全成为限制a s p 发展的最重要因 素。安全问题是许多a s p 用户首要关心的问题，他们对缺乏安全性的担忧已经 成了a s p 发展的最大阻碍。事实上，市场承认a s p 最重要的催化剂是：a s p 能够证明提供的应用程序或服务都是以顾客的安全性为主旨。为“推动a s p 采 用的不仅仅是成本效益，还有安全”，软件安全公司b l a c kd r a g o ns o f t w a r e 的 c t oc h a dc o o k 说，c o o k 也是最高安全机密一书第三版和第四版的特约作 者 6 1 0 1 3 1 。 1 2 2a s p 安全的重要性 安全性和可靠性是a s p 最重要的特点。安全管理的目标是在a s p 的解决 方案上管理一定级别的安全性，包括管理对安全事件的反应。通过这样做，安 全管理可确保连续性并保护a s p 及其客户的信息，还可帮助将破坏a s p 安全 的损害减至最小。提供安全的客户解决方案是a s p 最重要的目标，没有它， a s p 就无事可做。对a s p 来说，安全地与客户共享信息以及创建安全的解决 方案是至关重要的。 安全地传递和接收信息是a s p 存在的关键。任何威胁信息或信息处理的 事情都将直接危及a s p ，无论是涉及信息的机密性、正确性、适时性，还是涉 及解决方案的可用性，那些会形成风险的威胁都必须通过安全措施来预防。 安全管理应是任何a s p 永远关注的问题，因此a s p 需要制定出一个全面 的安全策略，用于说明如何管理和保持基础结构的内部安全状态。像密码管理、 安全审核和i n t e m e t 访问等，都应当在安全策略中涉及到。策略将使a s p 清楚 采取哪些步骤以确保最小范围的安全。当安全管理计划开始实施时，环境内的 一些特定的因素可能会发生改变。当有所变动时，应当检查和修改策略以确保 a s p 公共服务平台安全解决方案研究 这些策略与当前计划就保护a s p 环境这个问题而有所交流。应当经常就对安全 策略进行检查，检验该策略的有效性。不论因为何种原因安全策略有了变动， 都应当更新这些策略。因此，安全策略在发展过程中应该是持续执行的 1 4 - 1 6 】。 1 3 本文的研究背景 1 3 1a s p 安全国内外研究现状 我国中小企业信息化起点低，a s p 理念十分适合我国广大中小企业的信息 化建设和应用，有着很大的推广和应用价值。由于国内信息化水平较低，目前 对a s p 的研究还在初始阶段，主要是对a s p 模式以及系统集成方面的研究， 对于a s p 安全只是提供基本安全，贯彻力度也远远没有达到a s p 模式要求。 在国外，尽管有了较成功的a s p 厂商，但是对于a s p 安全还没有形成国家 性、行业性的标准。条件较好的运营商根据经验制定了一些a s p 安全条例及安 全机制。 现有a s p 厂商采用的相关安全措施包括物理安全、服务器安全、数据库安 全、网络安全等。 1 、物理安全 主要包括：a s p 基础设施放置在一个安全可靠的地方，保证2 4 * 7 小时不间 断电源及网络连接，拥有良好防火、防盗、空气调节环境，现在多由第三方专 业服务器托管机构提供。 2 、服务器安全 a s p 运营商大都为自己服务器配置防火墙、进行入侵检测、配置防病毒软 件，配置冗余服务器进行负载平衡，从而增强系统鲁棒性。 3 、数据库安全 a s p 用户的数据安全是用户最为关，t l , 的问题，也是a s p 安全的关键点。 a s p 运营商一般采用数据库加密、数据库备份、数据灾难恢复等技术来保证数 据库安全。 4 、网络安全 用户数据通过i n t e r n e t 进行传输，其不安全因素大大增加。因此，应该采用 垒塑竺茎坐堑兰笪室全塑盗查塞型壅 网络加密技术对传输数据进行加密，客户端要求用户密码登陆并进行相应的签 名认i i e t l3 1 ”。 以上解决方案只是a s p 安全问题的最低要求，是企业选择a s p 要满足的 最基本安全标准。 1 3 2 常见的a s p 安全机制 通过以上分析可以看出a s p 安全机制应该包含以下几个方面： 1 、标识和认证 任何a s p 都必须能够正确标识和认证用户。依赖于所要求的安全等级，支 持这一需求的机制可以有用户d 口令、个人标识号码( p i n ) 和数字证书等。 2 、访问控制 访问控制往往被认为是和标识与认证相关的，标准的角色定义可以增强限 制或访问控制特权。 3 、机密性保护 机密性通常与诸如s s l 或d e s 等数据加密机制相关，其目的是保护在网络 上传输的数据。 4 、安全审计和入侵监测 安全审计和入侵监测的重要性在于提供前瞻性的安全监视能力。 5 、事故反应能力 当a s p 发现安全问题时会采取什么措施。 6 、备份能力 备份客户数据是a s p 必须负责的一个安全问题【1 7 】。 1 4 论文主要研究内容及意义 1 4 1 论文的研究意义 目前，a s p 模式还不成熟，更没有形成相应的安全标准及安全评估标准。 随着a s p 的发展、用户增多，必须要建立一个安全策略标准来规范a s p 服务。 安全策略应该从a s p 应用安全构架、安全评估、各种安全技术如何实施等方面 a s p 公共服务平台安全解决方案研究 进行详细研究并制定相应规范。如数据库安全方面，应该怎样采取数据备份， 何时备份等，都应该制定相关的依据和具体标准。针对不同服务对象的a s p ， 其安全性要求也各不相同。采用何种加密技术，什么样的用户认证技术更为合 适，a s p 应用软件采用怎样技术设计更为安全，这些都是在制定a s p 安全策略 需要考虑的问题。 本文突破了现有的强调从外界因素来解决a s p 安全问题研究方法的局限， a s p 公共服务平台作为一种典型的b s 架构w e b 应用程序出发，从客户层、应 用服务层、数据库层三层分析a s p 应用系统安全问题，强调a s p 应用程序安 全设计的重要性。本课题希望通过研究分析影响a s p 模式安全问题的各个方面， 找出关键因素，并提出一个整体的a s p 公共服务平台安全问题解决方案。 1 4 2 论文的内容安排 第一章概论介绍了a s p 模式的优势、安全的重要性及研究背景。 第二部分从整体上讨论了a s p 公共服务平台安全体系。 第三部分讨论了w e b 应用程序设计安全，重点讨论了基于b s 架构的三层 a s p 安全应用程序设计，分析了a s p 客户端、服务器端及数据服务层安全，提 出了基于单一登录技术的a s p 客户端安全实现机制。 第四章分析了a s p 用户及a s p 应用系统的特点，介绍了基于角色访问方 式的优点，将基于角色访问控制技术应用到a s p 应用设计中，提出了基于三级 角色授权的a s p 安全应用程序设计并给与了实现。 论文第五部分对论文进行了总结，并对a s p 安全研究进行了展望。 a s p 公共服务平台安全解决方案研究 第二章a s p 公共服务平台安全体系分析 根据分析，我们将a s p 公共服务平台安全分为物理安全、网络安全、系统 级安全及应用级安全四个层次，a s p 公共服务平台安全体系结构如图2 1 所示。 本章首先分析了a s p 服务平台的特点及a s p 安全风险，然后介绍了a s p 安全 体系结构各组成部分及a s p 安全组件。第三、四章重点研究了a s p 应用级安 全。 物理安全：物理设备安全及安全管理制度 啊络安全：网络传输安全。| 一+ ，j r。 系统级安全：操作系统安全与应用系统安全 u 应用级安全：用户安全管理 。 -一。 t b s 架构安全设计 ? + ，j 。1 。 m 障户端安全月昀目嚣# 按全l 陋据库安全l 。 q一 誉翰鞘一! 。lv ， # ? ，? ? ：纠应用程序安全设计l ； j * 图2 - 1a s p 服务平台安全体系结构 2 1a s p 公共服务平台的特点 重点 内容 r b a c ，进行 设计 a s p 模式出现以前，用户数据存放在本地数据库，采用相关技术进行保密 与保护，数据在局域网内传输，网络通过设置防火墙等技术防止其他用户访问。 而在a s p 模式中，用户与a s p 通过外网( i n t e m e t ) 进行数据传输，数据被暴 露在外面，任何用户、个人都可以通过i n t e m e t 随意地访问a s p 平台，非法客 户可以通过网络侦听截获用户数据。数据包含企业机密，企业的核心业务数据， 不希望被企业以外的人看到，更不希望被竞争对手看到。另外使用同一个a s p 的企业竞争对手的数据可能放在同一个数据库中，多个用户在使用同一个应用 a s p 公共服务平台安全解决方案研究 程序，通过同一个应用程序访问同一个数据库，所有这些，使得a s p 安全问题 比以往其他模式的安全问题更为敏感，更为重要。 a s p 公共服务平台通常包含了多个应用系统，每个应用系统具有大量的功 能。例如企业资源计划( f r p ) 系统，它涉及到企业内部的各个分公司、各个部门、 人员，涉及到企业内部的生产采购、生产计划、订单管理、财务管理、人力资 源管理、工资管理等各个方面，因此它的功能数量是非常巨大的。而不同的功 能要被不同的部门使用，有时甚至是相同部门的不同人员，能够操作的功能也 各不相同，即使可以操作相同的功能，其权限也不相同。也就是说，每个系统 用户都拥有自己的一棵功能菜树，而菜单中每个结点的访问权限也不相同。在 这样的情况下，所谓的角色可能很多，几乎达到每个不同用户拥有不同的角色。 另一方面，应用层可能出现的情况非常复杂。正常情况下，企业内部的集团经 理有权力分管多个公司：公司经理有权管理多个部门：部门负责人又可以管理 该部门但有时候会出现集团经理兼某个分公司的经理，或者分公司经理兼 某个部门的主管的情况这种情况下他们希望分清楚自己的当前“身份”。a s p 应用系统设计具有以下特点。 2 1 1 复杂性 a s p 应用程序有用户、程序及对象三部分组成。与系统安全相比，描述三 重关系的应用领域安全更为复杂。 在系统安全领域，经常是有大量的用户和对象，但是只有几个操作，如读、 写、执行文件操作等。这意味着只有一个应用操作的系统安全的复杂度较低。 因此，安全系统得授权通常用二维关系来定义。而在应用安全领域，有众多的 用户、大批量的对象以及大量的操作，因此应用领域是具有高度复杂的三维安 全关系。由前面的描述可以看出，这一点应用安全复杂性，对a s p 系统来 说特点更为突出。 以下是一个一个拥有1 0 0 0 0 个用户a s p 公共服务平台的三位模式图。假设 有6 种访问方式、1 0 0 0 个系统对象需要对其进行授权，这样可能产生的授权将 有6 千万种。即使考虑每个用户有对1 0 0 个对象的访问授权，系统仍需要近1 0 0 万种授权。这样，在应用领域，公司必须授权通过1 0 0 0 个约定为他们的用户授 a s p 公共服务平台安全解决方案研究 权1 0 0 个不同的操作，结果可能产生近1 百万种授权。由于每个用户通过2 0 个 特殊的操作约有1 0 0 个授权约定，因此实际上将产生2 千万种授权，如图2 2 所示。实际授权的数量是系统需求的一个重要评价依据，而潜在的授权是衡量 系统管理复杂性的一个依据。 程序 用户 数据 图2 - 2a s p 应用三重关系图 可以看出，现代的企业包含许多不同的需要保护的对象，如订单、账单等， 这些对象可以有不同的使用者，而且对这些对象可以产生不同的操作。如业务 人员、财务人员、仓库管理人员都可以对订单进行相关的操作，但是其操作方 法有所不同。这些需要系统提供基本的应用安全以保护对这些对象、用户及属 性的访问权限。 2 1 2 灵活性 由于各种原因，企业的组织机构经常会发生变化，包括机构合并、商业流 程重组等。应用安全系统的结构需要相应地进行调整，而不像系统安全那样可 以长时间不发生变化。因此，我们需要为a s p 应用系统管理提供灵活、语义自 由的信息表示方式，以在需要的时候对用户、对象或操作的属性进行保护。 2 2a s p 安全风险分析 由于a s p 公共服务平台对众多用户提供服务，平台上数据量巨大。这些数 a s p 公共服务平台安全解决方案研究 据的重要性不同，要求的安全级别也不相同。如果对所有数据实行同一级别的 安全方案，不但花费高，降低平台访问效率，如果对数据采取了不必要的保护 措施甚至可能影响系统性能。因此应该首先进行安全风险分析，然后根据需要 设置不同的安全解决方案，以确保a s p 平台的安全性和实用性。 2 2 1 创建信息分级 a s p 模式确实会对企业的业务和数据带来风险，但它所带来的好处远远大 于带来损失的潜在风险，因此应该从客观的角度分析问题，对a s p 所带来的风 险进行控制。现在多以信息分级( i n f o r m a t i o nc l a s s i f i c a t i o n ，i c ) 的方法评定这 些风险并进行应付，一个强健的i c 对企业显得尤为重要，a s p 供应商可以开发 出更为高效的控制措施将这种风险降低到可接受的程度。各企业规定的不同分 级级别受到许多因素的约束，最重要的约束是在风险与企业对风险容忍度之间 的权衡，企业对风险的容忍度越小，每一个分级级别就必须越严格。 下面是一个典型的i c 方案： 1 、公共信息 可以向公众清楚透露的信息 零售定价信息、出版物等。 2 、内部信息 没有向公众公开透露的信息 机构示意图等。 通过授权的渠道向公众发布。如企业产品的 如公司的培训材料、公司电话地址簿、组织 3 、机密信息 如果信息受到威胁会对公司及其顾客、供应商或员工产生不利影响，这样 的信息是机密信息。这种信息包括在正常的业务活动中对员工公开的信息，但 这些信息必须由公司控制，并且不得在未经授权的情况下泄漏给公众。如非公 开公司财务报表、短期业务计划等。 4 、限制信息 如果信息受到威胁会对公司及其顾客、供应商或员工造成严重的财务、法 律、规章条例上的损失，那么这样的信息就是限制级的。这类信息极为敏感， 要求个人在访问之前必须进行必要性确认。如财务库和顾客问单库、交易秘密 a s p 公共服务平台安全解决方案研究 和所有权信息等。 2 2 2 规划a s p 安全需要管理的内容 建立了信息分级之后，应该确定所需的各种控制措施来管理以下内容： 1 、认证与识别 识别是通过质询响应机制( 比如登录窗1 3 ) 提供私人或者指定证书的方法。 认证是对这些证书的证实过程，以证明您就是您声称的那个人。认证可以用来 核实交易过程中的任何数据元素，并验证传输的起始位置。如果无法正确验证 和识别用户，就会出现机密性和完整性上的问题，从而降低系统的完整性和可 信赖性。 认证机制一般分为三类：用户所指的内容( 如密码) ，用户独有的特征( 如 指纹等生理特征) ，以及用户拥有的某种标记物( 令牌、智能卡或证书等) 。 2 、授权 用户通过认证进入系统之后，应用程序必须确保他们拥有足够的权限，或 者说是得到授权以执行所请求的操作，并拒绝不允许执行的请求。授权机制的 实现应该保证授权机制不会被“绕过”，还应该在系统每次接收到访问请求时调 用这种授权机制。授权是根据某人的身份授予权限以保护系统内的资源，一般 基于访问控制列表( a c l ) 。a c l 是一个动作列表，在明确该动作的发起者和 目标的情况下，确定这些工作能否在某个资源上进行。 实现访问控制策略时，重要的一点是要遵循最小特权原则。最小特权原则 规定进程及用户只应该享有完成工作所必须的最小权限和特权。最流行的访问 控制系统之一是基于角色的访问控制系统。在应用程序中建立了多种不同的配 置文件或者称为“角色”，在系统中为每一种角色指派了特定的权限，为角色指 派的权限尽量接近该类角色中典型用户的需要。用户根据分配给他们的不同角 色在系统中享有不同的权限。这种访问控制解决方案可以显著地减轻管理负担 并且允许对角色进行定期审核以确保角色中不包含不合适的用户，同时还提供 了适当的功能。 3 、机密性 机密性要求保护私有信息和个人信息，比如公司数据、社会安全号。机密 a s p 公共服务平台安全解决方案研究 性的实现方式是对所存储的信息采取适当的访问控制措施，并在数据通过不可 信任或不安全网络进行传输时使用加密手段。数据敏感度越高，用来保护数据 的机密手段就必须越强。 4 、真实性和完整性 数据的完整性也应该得到保护，以确保数据在存储或传输过程中不会受到 非法修改。数据的正确性面临着许多种威胁，包括数据输入错误、恶意用户、 传输错误以及应用程序处理错误。维持系统的高度完整性不只是对用户进行认 证和授权这么简单，只有输入的信息有意义，应用程序才能产生有用的信息。 好的应用系统会对输入进行彻底地有效性检查，这意味着确保输入的数据格式 正确而且有意义。 真实性是验证和授权控制措施的直接前提，所有用户都应该对在系统内的 行为负责。可信赖性要求所有与用户个人有关的系统行为( 包括事物系统、访 问侵害以及未遂访问) 都应该由做出这种行为的人负责。 5 、可用性 系统可用性确保系统有充分的“弹性”，能够及时投入使用。可用的反面是 拒绝服务，即用户在需要的时候无法及时访问资源。拒绝服务可以是故意的( 比 如恶意用户造成的结果) ，也可以是意外的( 硬件和软件故障) ，系统不可用是 对a s p 的致命打击。可用性的最佳解决方案是避免体系结构内的单一故障点， 这包括硬件、网络以及应用程序层上的冗余措施和故障转移配置。 6 、不可否认性 不可否认控制是为防止个人拒绝承认收到或发送过某则消息而设计的。不 可否认措施也可以用来检查发生的事件，“不可否认”的关键是准确唯一识别一 个实体的能力。 7 、审核与监控 系统不可能在真空中运转，人们会以各种无法预料的方式( 有意或无意地) 来使用应用程序。因此，监控系统活动极其重要。应用程序应该记录所有成功 或不成功的系统事件，详细的日志记录和对这些日志的不断评估可以在严重安 全破坏发生之前让管理员对可疑活动有所提防。 追踪审核是按时间顺序排列的记录，可提供系统活动的证据。这些记录应 a s p 公共服务、f 台安全解决方案研究 该足够详细，以便重建、评估和检查系统事物从开始到最终结构的全部情况 也可以通过评估这些记录来追踪系统的使用情况，并检测和识别入侵者m 】。 2 3a s p 服务平台安全体系结构 a s p 公共服务平台是一种典型的w e b 应用，因此，分析a s p 应用设计安 全性首先应该分析w e b 应用安全，w e b 应用的安全分为网络安全、主机安全和 应用程序安全三个层次。根据a s p 服务平台的特点，我们将a s p 平台安全体 系结构从以下四层来分析：物理安全、网络级安全、系统级安全和应用级安全。 2 3 1 物理安全 a s p 物理安全主要包括物理设备安全及相应的管理规章制度。 物理设备安全包括物理设备的放置安全及其物理访问控制安全。a s p 的服 务器应该存放在安全的地方，有严格的防盗、防火、防雷等防护措施，现在多 存放在电信、网通等第三方专业服务器托管机构。为确保a s p 安全，a s p 供应 商应选择服务好、信誉好的托管机构。物理访问控制与其他组件协同工作来降 低人为引起的滥用和自然灾害的影响。a s p 服务平台的物理访问控制主要是对 系统硬件及其他物理设备的管理，包括标准的钥匙、智能卡、身份证件、听觉 和视觉警报器、柜子、标志、安全警卫、系统和设备标签等。除了降低安全违 规行为的风险或影响，物理保护策略还必须注意到服务的终端 1 9 】。 a s p 必须制订一系列的安全规章制度，如机房管理制度、服务器安全管理 制度、服务器硬件管理制度、服务器软件维护制度、服务器维护人员管理制度 等，从各个方面加强a s p 物理安全。 2 3 2 网络级的安全防范 网络安全，主要指用户数据的及时可得性，数据在外网传输中的安全加密， 多用户数据独立传输不受干扰等问题。安全的a s p 应该走h t t p 协议，通过定 义网络安全规范，明确各级部门对网络使用的范围与权限，从而保证经授权许 可的信息才能在客户机和服务器问通信。网络级安全常用以下三种解决方案： 1 、物理隔离与访问控制，实现不信任域之间的隔离。 1 3 a s p 公共服务平台安全解决方案研究 采用划分虚拟子网方法实现较精细的访问控制，或者采用防火墙技术以及 其他技术，通过制定严格的安全策略，实现不信任域之间的隔离与访问控制， 控制用户可访问的网络资源，阻截已知的各种网络攻击。通常采用防火墙对网 络访问者实施隔离与控制，包括：访问控制、授权认证、安全检查、加密、监 督和报警等。 2 、地址转换，屏蔽网络内部细节。 使用地址转换技术，让p 数据包的源地址和目的地址以及t c p 或u d p 的 端口号在进出内部网时发生改变，从而屏蔽网络内部细节，防止外部黑客利用 口探测技术发现内部网络结构和服务器真实地址。 3 、入侵检测，检测各种攻击，阻止攻击到达目标主机。 利用入侵检测工具，监视内部关键网段，扫描网络上的所有数据，检测 d o s d d o s 袭击、可疑活动、恶意的小型应用程序和病毒等攻击，阻止这些攻 击到达目标主机。 2 3 3 系统级安全防护 系统级安全是指操作系统安全和应用系统安全。 l 、使用漏洞扫描技术及时发现系统弱点或漏洞 定期扫描操作系统和数据库系统的安全漏洞与错误配置，及时发现系统中 的弱点或漏洞，提示管理员进行正确配置，及时分析和评估，尽早采取补救措 施，尽量避免或减少各种损失。 2 、加强操作系统用户授权认证管理 采用安全性较高的网络操作系统，并进行必要的安全配置，关闭一些不常 用却存在安全隐患的应用，严格限制对关键文件的使用权限。特别要限制用户 口令的规则和长度，禁止用户使用简单口令，并强制用户定期修改口令，按照 登录时间、地点和登录方式限制用户的登录请求。同时加强口令的使用，及时 给系统打补丁。另外，配备安全扫描系统，对操作系统进行安全性扫描，并有 针对性地对网络设备重新配置或升级。 3 、增强访问控制管理 关闭系统中不必要的端口和服务，严格限制登录者的操作权限，加强登录 a s p 公共服务平台安全解决方案研究 身份认证，确保用户的合法性；充分利用操作系统和应用系统本身的日志功能， 对用户所访问的信息做记录，为事后审查提供依据。 4 、病毒防范 在网络环境下，计算机病毒有着不可估量的破坏力，病毒防范是a s p 网络 安全建设中需要考虑的重要环节。 5 、w e b 服务器的专门保护 针对重要的、最常受到攻击的应用系统，用户需要开展特别的保护措施。 w e b 服务器是一个直接面向外界的大门，也是最先面临网络攻击威胁的部分。 应对w e b 访问、监控阻塞肘艮警、入侵探测、攻击探测、恶意的小型应用程序 和电子邮件等在内的安全策略进行明确规划。 2 3 4 应用级安全防护 应用级的安全防护，主要是加强用户的安全管理，即制定健全的安全管理 体制、构建安全管理平台和增强用户的安全防范意识，最大限度地保证用户和 口令等信息的安全，包括： l 、数据加密和信息传输加密，保护用户信息资源的安全； 2 、防止和预防用户的越权访问： 3 、对所有级别的用户实时监测并监督用户； 4 、全天候动态检测和报警； 5 、详尽的访问审计 2 0 。 应用系统安全是论文重点研究的内容，我们将a s p 应用程序设计分为多层 考虑，分别进行安全设计，将r b a c 应用到a s p 应用程序设计中，提出了适合 a s p 模式的三级角色授权方式。 2 4a s p 服务平台安全组件 由以上分析可以看出实施有效的a s p 安全策略，需要以下四个安全组件 身份验证、机密性保护、突发事件响应、安全审核和风险评估。 a s p 公共服务平台安全解决方案研究 2 4 1 身份验证 提供精确的安全保护最重要的方式之一是验证用户和系统的能力。实际上， 所有的安全机制都以某种身份验证方式为基础。依赖于所要求的安全等级，支 持这一需求的机制可以有用户i d 令、个人标识号码( p i n ) 和数字证书等， 也可以使用完全不同的方式，或是几种方式的结合 2 ”。 1 、用户名和密码 用户名和密码是身份验证最为古老的一种方式，用户必须输入用户名和密 码才能使用某处的资源或登录到自己的计算机上。 如果用户名和密码的使用仅仅是为了身份验证服务，那么a s p 很容易暴露 为攻击的对象。如果攻击者破解了用户名和密码而进入系统，那么他就能够访 问所有他有访问权的资源。攻击者可能进入一个主机，或者进入网络中大量的 主机中。也有可能访问或更改数据，或是对系统及其功能实施报复性的大规模 破坏，因此必须制定严格的密码准则，作一些具体规定，如：不要将密码写在 纸上或输入到显示器上；不要使用容易被人猜到的密码( 比如名字) ；密码的最 小长度至少是8 位，并且要求密码不是按字母顺序排列的；实现机制时应对未 授权的访问加以限制，在输入无效的用户名和密码的次数达到一定数量时，应 当在一定时期内对该账户锁定；如果一个账户被锁定多次，那么就将该账户锁 住，直到管理员与该账户的所有者取得联系等。 2 、个人识别码 个人识别码( p n ) 为a s p 系统提供了另一种增强标准用户和密码系统安 全性能的机制，在实现身份验证的时候，用户使用用户名和密码登录一个a s p 平台。一旦被证实有效，a s p 会要求用户输入p i n ，p i n 一般是预先设定的一 串数值，只有用户和身份验证机制知道，p i n 提供了一个额外级别的访问控制， 最常见的是4 字符( 数字) 的p i n 号码系统。 3 、数字证书 对于更高级别的访问控制机制，a s p 提供商正在逐步采用数字证书技术。 数字证书技术是更为强壮的一种访问控制机制，不仅可以进行用户认证，当用 户被认证后还通过建立加密的会话来支持事务的机密性。 信息交换双方的身份是互联网商务的关键之一，数字证书为鉴别个人或机 a s p 公共服务卜台安全解决方案研究 构的身份提供了一种手段。数字证书又称验证证书，它可以使我们确认一封电 子邮件或个网页确实来自于它们声称的那个地方。数字证书实际上就是一些 数字文件，这些数字文件被用来在互联网上唯一地确认用户或资源的身份，同 时它还保证网上交流的双方能进行安全的和相互信任的通信。数字证书可以被 视为身份证的电子副本，取得数字证书和取得身份证的过程是很相似的。你向 一个受信任的第三方机构提供你的个人信息，然后遵循一定的手续取得证书， 这一第三方机构被称为认证中，t ：, ( c e r t i f i c a t ea u t h o r i t y , c a ) 。认证中心作为受信 任的机构负责接受来自用户的证书申请、验证用户的申请、颁发证书并负责管 理证书。认证中心确认你的个人信息无