Web应用开发时需要注意哪些方面的安全问题以及相应的对策.doc

摘要： Web页面是所有互联网应用的主要界面和入口，各行业信息化过程 中的应用几乎都架设在Web平台上，关键业务也通过Web应用程序来实现，Web应用程序的安全性变得越来越重要。Web应用本身具有一些的安全弱点，其 安全漏洞常被利用来攻击。Web应用程序的安全问题是一个复杂的综合问题，在Web应用程序开发阶段就应予以重视，分别从数据库设计、程序设计、Web服 务器等三个层面去考虑如何加强Web应用程序的安全性。随着网络技术的快速发展，越来越多的web应用件被用于Internet中。对于Web应用软件而言，是一种借助Internet技术加以连接的客户/服 务器软件，并且可以传输数据。在市场需求的不断推动下，Web应用软件的种类与数量也不断增加，软件的复杂程度也不断增加，软件的质量与安全问题已成为人 们越来越关注的问题。对于该软件的服务而言，包括邮件服务、电子公告牌、网上商店以及数据库管理工具。对于这些服务的提供，使得系统在运行过程中暴露出越 来越多的弱点，这也意味着web应用软件将面临着较为严重的安全隐患。为此，在今后的工作过程中，应对Web应用软件的安全现状进行分析，并提出有针对性 的应对措施，以提升Web应用软件的运作安全水平。 1 Web应用安全认识误区及安全现状 1.1 安全认识误区 为了确保Web应用安全，人们多在各个工作层面部署属于自己的安全策略，如安装杀毒软件来 确保计算机运行安全，采用SSL技术对所传输的数据加密处理，并搭建防火墙来过滤一些不安全访问信息。对于这些防护措施而言，虽然可以将不必要暴露的端口 进行关闭，对一些非法信息进行过滤处理，但仍然不能保障Web应用安全。对于Web服务所依赖的80和443端口而言，必须是开放的，然而防火墙却不能正 确辨认出端口所传输的信息是否安全，当访问通过防护措施时，Web应用就会完全暴露在用户面前。而针对应用面层的攻击而言，可以很轻易地突破受防火墙保护 的网站。如对较为常见的SQL注入攻击表现层面而言，几乎是普通的数据交互查询。而对于防护系统而言，它也是较为正常的访问链接，并且判断不出其所存在的 恶意攻击。因此对于搭建防火墙、安装杀毒软件以及SSL加密等处理措施都不能完全保障Web应用的安全。 1.2 Web应用安全现状 最新的网络安全统计数据表明，累计每天都有超过12亿人次的网民受到木马攻击，并且有大量的流行软件、大型网站被“挂马”，并且每年都呈现出明显的大幅 度增长趋势。由此可以看出，现阶段的互联网仍然非常脆弱，90%左右的木马病毒都以“挂马”的形式进行传播。而这些问题的额产生，在很大程度上源于web 安全领域的问题，如后台服务器的不安全设置、系统漏洞、Web应用程序实现代码缺陷等，给不法分子以可乘之机。而对于这些隐患而言，75%左右的攻击都出 现在Web应用程序本身，这也是用入侵检测系统、防火墙以SSL所无法应对与解决的。 2 确保Web应用安全的防护措施 2.1 确保操作系统安全的效安全防护措施 操作系统作为抵御非法攻击的第一道防线，对确保Web的安全发挥着非常重要的作用。对于操作系统的防护措施而言，主要包含以下几个方面：（1）对系统补丁进行实时更新升级，防止不法分子依靠系统漏洞进 行攻击。（2）对不必要的通讯端口进行关闭处理，以有效降低恶意攻击的入侵通口。（3）对密码管理制度进行规范处理。对服务器上的各个登录密码进行统一生 成与集中处理。（4）在进行软件与组件安装时，应认真谨慎，关闭不必要的服务器，以有效降低安全隐患。（5）遵循最小权限原则设置文件系统，以有效避免跨 站脚本攻击与提权操作。 2.2 网络与通信信道防护 网络作为系统防护的第一门户，直接面对着大量的外部访问请求。提升网络安全性，能有效防御基于TCP/IP的恶意攻击。对于本层的防护技术而言，主要立足于网络层的端口、协议等，在保障通信畅通的前提下，应尽可能对系统进行防护处理。边界路由器、网络防火墙、 核心交换机等都能实现对网络层端口、协议等层面的安全保护。对于防火墙而言，可作为网络通信的Port开关，只对必要的通信端口开放，能有效屏蔽大量病毒 的端口，并可将较为重要的Web纳进隔离区进行防护。对于边界路由器、核心交换机设备而言，都有基ACL的访问控制单元。为此，建立起相对比较完善的访问 控制表，并结合企业内部的IP管理，能对大量非正常访问的数据包进行过滤处理。在此过程中，还可将安全网关、防病毒墙、IDS/IPS以及网站保护墙等部 署在Web服务器前 面，能屏蔽大量的入侵攻击。对于通信信道的防护措施而言，可在较为安全的环境中，以HTI/PS协议来代替HTFP协议。并利用SSL来保证安全传输文 件，通过Web服务器与客户端浏览器之间构建起一条安全通信信道，能有效确保信息在Interact中传送的完整性与保密性。 2.3 Web应用主机防护措施 主机平台的安全性是确保应用程序安全的前提，因此必须采取相应的措施确保Web应用主机的安全。同时，对于主机平台的安全而言，包括主机系统安全与 Web组件系统安全。（1）对于Web主机系统的安全设置而言，主要包括以下几个方面：确立系统安全策略设置，设置目录及磁盘访问权限。将默认共享的 空链接关闭，将不必要的端口也进行关闭处理。限制匿名用户对本机的访问，并设置相应的用户执行权限。安装策略最小化处理，将不必要的服务进行关闭。 创建一个无用户组的Administrator账户，并设置安全系数高的密码。（2）对于Web组件的安全设置而言，主要包括以下几个方面：将默认创建 的Inetpub目录进行删除。为Web服务器设置站点、目录以及文件的访问权限。将不必要IIS扩展名映射删除。将IIS日志的路径更改。将未使用的账户删除，并设置安全系数高的密码。使用应用程序池，将应用程序隔离，提升Web股武器的安全性与可靠性。 2.4 关于应用程序的安全防护措施 对于应用程序安全而言，包括web服务软件安全以及业务系统代码安全。相对于操作系统的安全防护工作而言，应用程序安全有着更高的技术要求。对于应用程序等安全防护措施而言，主要包括以下几个方面的内容：（1）部署安全系数较高的Web应用程序。程序安全设 计的目的是将漏洞消除，因此对于设计人员而言，应对Web应用开发出一套周密、详细的思路，对Web页面进行加密与验证处理，而不是仅仅为实现单向功能。 同时，部署安全系数较高的Web应用才能从根本上解决Web应用层面的安全问题。（2）根据业务系统需求，配置安全系数相对较高的Web服务。（3）创建 Web防御检测系统。使用该系统对Web应用的运行情况进行实时监控，快速掌握Web应用安装运行状况，以及时采取有针对性的应对措施，将安全风险降到最 低。（4）安装杀毒软件。安装杀毒软件既能防止不法分子通过漏洞将带有病毒的文件上传至服务器，同时也能对病毒的操作进行监控，确保上传至服务器文件的安全性。（5）建立用户分级与审核制度，对普通用户与系统管理员区分管理，并设置高安全系数的密码。 3 结语 随着Web应用需求的不断增加，