李曉明

【摘 要】Web應(yīng)用攻擊能夠給人們的財產(chǎn)、資源和聲譽造成重大破壞。雖然Web應(yīng)用增加了用戶受攻擊的危險，但有許多方法可以幫助減輕這一危險。本文 研究了Web應(yīng)用程序的漏洞，探討了Web安全的現(xiàn)狀及問題由來以及幾種主要Web安全技術(shù)，提出了實現(xiàn)Web安全的幾條措施。

【關(guān)鍵詞】Web應(yīng)用程序；安全；漏洞

0.引言

隨著Internet的普及，人們對其依賴也越來越強，但是由于Internet的開放性，及在設(shè)計時對于信息的保密和系統(tǒng)的安全考慮不完備，造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟活動造成了很大麻煩。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù)，Web站點被黑客入侵的事件屢有發(fā)生，Web安全問題已引起人們的極大重視。

1.Web安全的主要技術(shù)

1.1認(rèn)證

1.1.1身份認(rèn)證

當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認(rèn)是否是合法的用戶，這就是身份認(rèn)證。常采用用戶名和口令等最簡易方法進行用戶身份的認(rèn)證識別。

1.1.2報文認(rèn)證

主要是通信雙方對通信的內(nèi)容進行驗證，以保證報文由確認(rèn)的發(fā)送方產(chǎn)生、報文傳到了要發(fā)給的接受方、傳送中報文沒被修改過。

1.1.3訪問授權(quán)

主要是確認(rèn)用戶對某資源的訪問權(quán)限。

1.1.4數(shù)字簽名

數(shù)字簽名是一種使用加密認(rèn)證電子信息的方法，其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的，可用對稱加密算法、非對稱加密算法或混合加密算法來實現(xiàn)。

1.2數(shù)據(jù)加密

1.2.1私匙加密

私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認(rèn)證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件件中實現(xiàn)。

1.2.2公匙加密

公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復(fù)雜的系統(tǒng)。

1.3防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、保壘主機）組成的防火墻，管理上難免有所疏忽。

1.4入侵檢測系統(tǒng)

入侵檢測技術(shù)是Web安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

入侵檢測系統(tǒng)（Instusion Detection System簡稱IDS）是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據(jù)；網(wǎng)絡(luò)遭受威脅程度的評估和入侵事件的恢復(fù)等功能。

2.Web安全問題的由來

網(wǎng)絡(luò)設(shè)計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規(guī)劃則非常有限，這樣，伴隨計算機與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)循環(huán)遞升，原來網(wǎng)絡(luò)固有優(yōu)越性的開放性和互聯(lián)性變成信息的安全性隱患之便利橋梁。Web安全已變成越來越棘手的問題，只要是接入到因特網(wǎng)中的主機都有可能被攻擊或入侵了，而遭受安全問題的困擾。

目前所運用的TCP/IP協(xié)議在設(shè)計時，對安全問題的忽視造成網(wǎng)絡(luò)自身的一些特點，而所有的應(yīng)用安全協(xié)議都架設(shè)在TCP/IP之上，TCP/IP協(xié)議本身的安全問題，極大地影響了上層應(yīng)用的安全。網(wǎng)絡(luò)的普及和應(yīng)用還是近10年的事，而操作系統(tǒng)的產(chǎn)生和應(yīng)用要遠(yuǎn)早于此，故而操作系統(tǒng)、軟件系統(tǒng)的不完善性也造成安全漏洞；在安全體系結(jié)構(gòu)的設(shè)計和實現(xiàn)方面，即使再完美的體系結(jié)構(gòu)，也可能一個小小的編程缺陷，帶來巨大的安全隱患；而且，安全體系中的各種構(gòu)件間缺乏緊密的通信和合作，容易導(dǎo)致整個系統(tǒng)被各個擊破。

3.Web安全問題對策的思考

Web安全建設(shè)是一個系統(tǒng)工程、是一個社會工程，Web安全問題的對策可從下面4個方面著手。

Web安全的保障從技術(shù)角度看。首先，要樹立正確的思想準(zhǔn)備。Web安全的特性決定了這是一個不斷變化、快速更新的領(lǐng)域，況且我國在信息安全領(lǐng)域技術(shù)方面和國外發(fā)達國家還有較大的差距，這都意味著技術(shù)上的“持久戰(zhàn)”，也意味著人們對于Web安全領(lǐng)域的投資是長期的行為。其次，建立高素質(zhì)的人才隊伍。目前在我國，網(wǎng)絡(luò)信息安全存在的突出問題是人才稀缺、人才流失，尤其是拔尖人才，同時Web安全人才培養(yǎng)方面的投入還有較大缺欠。最后，在具體完成Web安全保障的需求時，要根據(jù)實際情況，結(jié)合各種要求（如性價比等），需要多種技術(shù)的合理綜合運用。

Web安全的保障從管理角度看?？疾煲粋€內(nèi)部網(wǎng)是否安全，不僅要看其技術(shù)手段，而更重要的是看對該網(wǎng)絡(luò)所采取的綜合措施，不光看重物理的防范因素，更要看重人員的素質(zhì)等“軟”因素，這主要是重在管理，“安全源于管理，向管理要安全”。再好的技術(shù)、設(shè)備，而沒有高質(zhì)量的管理，也只是一堆廢鐵。

Web安全的保障從組織體系角度看。要盡快建立完善的Web安全組織體系，明確各級的責(zé)任。建立科學(xué)的認(rèn)證認(rèn)可組織管理體系、技術(shù)體系的組織體系，和認(rèn)證認(rèn)可各級結(jié)構(gòu)，保證信息安全技術(shù)、信息安全工程、信息安全產(chǎn)品，信息安全管理工作的組織體系。

4.結(jié)束語

我們在歡呼Web應(yīng)用程序的迅速發(fā)展所帶給我們得更加愉快地用戶體驗的同時必須看到，Web應(yīng)用程序的安全性也正在變得越來越復(fù)雜。而Web應(yīng)用程序的跨平臺和公來訪問特點，使

得互聯(lián)網(wǎng)上所有可以訪問該Web應(yīng)用程序的用戶都可能成為潛在的攻擊者，所以Web應(yīng)用程序的安全性控制可謂任重而到遠(yuǎn)。在盡快加強網(wǎng)絡(luò)立法和執(zhí)法力度的同時，不斷提高全民的文明道德水準(zhǔn)，倡導(dǎo)健康的“網(wǎng)絡(luò)道德”，增強每個網(wǎng)絡(luò)用戶的安全意識，只有這樣才能從根本上解決Web安全問題。 [科]

【參考文獻】

[1]周博文，杜山澤.社會管理創(chuàng)新：從倫理觀念、管理理念到思維方式的轉(zhuǎn)變.載于.行政管理改革，2012（11）.

[2]馬恒太.Web服務(wù)安全[M].電子工業(yè)出版社，2007（12）.

[3]袁德明，喬月圓.計算機網(wǎng)絡(luò)安全[M].電子工業(yè)出版社，2007（6）.