黃石平

摘要：近年來網(wǎng)絡(luò)安全問題日趨嚴(yán)重，尤其是web應(yīng)用受到頻繁攻擊。該文分析了常見的web應(yīng)用安全問題，并通過使用WEB應(yīng)用防火墻、網(wǎng)頁(yè)防篡改以及數(shù)據(jù)庫(kù)審計(jì)等技術(shù)對(duì)web應(yīng)用與數(shù)據(jù)庫(kù)安全綜合防護(hù)，可以有效地緩解常見威脅，從而保障網(wǎng)絡(luò)安全。

關(guān)鍵詞：web應(yīng)用；數(shù)據(jù)庫(kù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）07-0001-02

Abstract： In recent years， the problem of network security is becoming more and more serious， especially the web application is frequently attacked. This paper analyzes the common web application security problems， and through the WEB application firewall， web page tampering and database audit technology， it can effectively mitigate the common threats to web application and database security， so as to ensure network security.

Key words： Web application； database

近年來網(wǎng)站的安全問題備受關(guān)注，基于web的站點(diǎn)被黑客攻擊時(shí)有發(fā)生。尤其是對(duì)外公布的web站點(diǎn)，經(jīng)常受到漏洞掃描，ddos等各種攻擊，造成不良后果。目前基于WEB應(yīng)用安全問題主要包括以下幾類[1]：

1 頻繁多變的WEB應(yīng)用攻擊

Web應(yīng)用程序最常見、最危險(xiǎn)的十大安全問題，包括非法注入、失效的訪問控制、失效的賬戶和線程管理、跨站腳本攻擊、緩沖區(qū)溢出、注射攻擊、異常錯(cuò)誤處理、不安全的存儲(chǔ)、拒絕服務(wù)攻擊、不安全的配置管理等威脅。

2 網(wǎng)頁(yè)被篡改或被掛馬

據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱CNCERT/CC）監(jiān)測(cè)，中國(guó)大陸被篡改網(wǎng)站總數(shù)逐年增多，其中，政府網(wǎng)站被篡改數(shù)量也越來越多。另外一種攻擊方式是在網(wǎng)頁(yè)內(nèi)植入木馬，還不容易發(fā)覺，但對(duì)用戶已經(jīng)造成了損失。

3 數(shù)據(jù)泄露和被篡改

很多網(wǎng)站數(shù)據(jù)庫(kù)中存放著大量的個(gè)人敏感信息，是企業(yè)或政府的核心IT資產(chǎn)，但近年來網(wǎng)站數(shù)據(jù)泄露事件愈演愈烈。例如社保網(wǎng)站，個(gè)人社保信息一旦泄露將會(huì)嚴(yán)重干擾參保人的日常生活，損害參保人的利益，甚至制造詐騙等事件等。同樣，后臺(tái)核心數(shù)據(jù)庫(kù)信息如果被惡意篡改也常常會(huì)造成重要的經(jīng)濟(jì)損失。

現(xiàn)階段的安全解決方案通常把重點(diǎn)放在網(wǎng)絡(luò)層，當(dāng)應(yīng)用層被攻擊時(shí)，由于Web應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮、防不勝防，傳統(tǒng)的網(wǎng)絡(luò)層安全設(shè)備，如防火墻，很容易被WEB應(yīng)用攻擊繞過，難以阻擋此類攻擊，由此需要一系列專門的WEB應(yīng)用防護(hù)系統(tǒng)。

通過對(duì)Web應(yīng)用系統(tǒng)的安全威脅進(jìn)行針對(duì)性研究，各種專業(yè)的WEB應(yīng)用安全防護(hù)技術(shù)也應(yīng)運(yùn)而生，以滿足全方位的WEB網(wǎng)站安全防護(hù)要求，主要包括Web應(yīng)用防火墻、網(wǎng)頁(yè)防篡改、數(shù)據(jù)庫(kù)防護(hù)技術(shù)等。下面針對(duì)各項(xiàng)產(chǎn)品關(guān)鍵技術(shù)分別進(jìn)行介紹。

3.1WEB應(yīng)用防火墻

（1）基于規(guī)則的檢測(cè)保護(hù)[2]

WAF提供雙向報(bào)文檢測(cè)，輸入檢測(cè)模塊對(duì)WEB用戶提交的Http請(qǐng)求協(xié)議頭、請(qǐng)求內(nèi)容進(jìn)行細(xì)粒度解析，可分類解析URL、cookie、Method、Request body等字段，解析完成后對(duì)報(bào)文內(nèi)容進(jìn)行匹配特征庫(kù)，當(dāng)匹配SQL注入、跨站腳本攻擊、命令注入攻擊等特征后，對(duì)報(bào)文采用阻斷、放行、僅檢測(cè)、重定向等動(dòng)作。WAF輸出檢測(cè)模塊對(duì)服務(wù)器的響應(yīng)協(xié)議頭、頁(yè)面內(nèi)容進(jìn)行解析，解析完成后對(duì)報(bào)文內(nèi)容進(jìn)行匹配特征庫(kù)，當(dāng)匹配目錄遍錄、錯(cuò)誤信息、信息泄露等特征后，WAF對(duì)報(bào)文采用阻斷、放行、僅檢測(cè)、重定向等動(dòng)作。

（2）基于異常的保護(hù)

為了應(yīng)對(duì)更為專業(yè)復(fù)雜的攻擊，WAF會(huì)對(duì)網(wǎng)站的正常訪問行為規(guī)律進(jìn)行分析及總結(jié)，建立合法應(yīng)用數(shù)據(jù)模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的是否存在異常，當(dāng)發(fā)現(xiàn)不符合該合法模型的行為產(chǎn)生后，WAF會(huì)對(duì)該行文進(jìn)行阻斷或告警，以實(shí)現(xiàn)對(duì)WEB應(yīng)用的防護(hù)。這種方式不需要匹配多條規(guī)則特征庫(kù)，有助于提高檢測(cè)效率及準(zhǔn)確率。

（3）WEB業(yè)務(wù)自動(dòng)偵測(cè)技術(shù)

WEB業(yè)務(wù)自動(dòng)偵測(cè)技術(shù)可對(duì)經(jīng)過WAF的流量自動(dòng)學(xué)習(xí)，從混雜流量中學(xué)習(xí)WEB業(yè)務(wù)服務(wù)器信息，從中獲取WEB服務(wù)器IP、TCP端口、域名等信息，對(duì)需要防護(hù)的WEB應(yīng)用服務(wù)器按需添加至WAF的防護(hù)中，從而避免人工配置容易出錯(cuò)，并節(jié)省實(shí)施成本。

（4）高性能檢測(cè)技術(shù)

當(dāng)用戶訪問時(shí)，WAF會(huì)檢查其訪問的文件類型，發(fā)現(xiàn)訪問文件類型為圖片、CSS、txt等靜態(tài)文件時(shí)，WAF直接通過高性能檢測(cè)模塊進(jìn)行線速轉(zhuǎn)發(fā)，而文件類型為asp、jsp或php等動(dòng)態(tài)文件則需要規(guī)則檢測(cè)模塊進(jìn)行深度過濾后再轉(zhuǎn)發(fā)。因此既可保證攻擊防護(hù)有效性，同時(shí)又提升了用戶訪問效率；考慮到安全性，WAF可僅對(duì)常見的靜態(tài)文件格式進(jìn)行高性能轉(zhuǎn)發(fā)，而對(duì)未知的文件類型仍采取規(guī)則檢測(cè)。

3.2網(wǎng)頁(yè)防篡改技術(shù)

傳統(tǒng)的數(shù)字水印技術(shù)已經(jīng)向多因子檢測(cè)技術(shù)發(fā)展，多因子檢測(cè)技術(shù)包括文件驅(qū)動(dòng)、內(nèi)核事件觸發(fā)、核心內(nèi)嵌等技術(shù)，完全解決了網(wǎng)站被黑客篡改等危險(xiǎn)。

（1）基于文件驅(qū)動(dòng)的保護(hù)技術(shù)

與操作系統(tǒng)緊密結(jié)合，在操作系統(tǒng)內(nèi)核中加入文件操作過濾策略達(dá)到對(duì)文件操作的控制，限制文件修改權(quán)限。通過文件驅(qū)動(dòng)技術(shù)對(duì)保護(hù)的對(duì)象防止篡改。

（2）核心內(nèi)嵌動(dòng)態(tài)防護(hù)技術(shù)

在系統(tǒng)核心內(nèi)嵌web相應(yīng)模塊可以解決日常的網(wǎng)絡(luò)攻擊，進(jìn)行有效的保護(hù)。

（3）篡改恢復(fù)技術(shù)

網(wǎng)頁(yè)防篡改系統(tǒng)帶有同步端程序，在一般情況下WEB服務(wù)器保護(hù)路徑下的網(wǎng)頁(yè)文件不會(huì)被非法篡改，如果發(fā)生文件篡改現(xiàn)象，同步端程序會(huì)及時(shí)把未被篡改的文件同步到WEB服務(wù)器上，確保網(wǎng)站內(nèi)容正常展示。

3.3數(shù)據(jù)庫(kù)審計(jì)技術(shù)

（1）多層業(yè)務(wù)關(guān)聯(lián)審計(jì)

通過應(yīng)用層訪問和數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行多層業(yè)務(wù)關(guān)聯(lián)審計(jì)，實(shí)現(xiàn)訪問者信息的完全追溯，使管理人員對(duì)用戶的行為一目了然，真正做到數(shù)據(jù)庫(kù)操作行為可監(jiān)控，違規(guī)操作可追溯。

（2）細(xì)粒度審計(jì)技術(shù)

數(shù)據(jù)庫(kù)類型眾多，需要支持多種數(shù)據(jù)庫(kù)審計(jì)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)協(xié)議的完整解析，支持解析數(shù)據(jù)庫(kù)協(xié)議的所有字段，支持根據(jù)所有字段任意自定義審計(jì)規(guī)則。通過細(xì)粒度的審計(jì)，可以從中發(fā)現(xiàn)數(shù)據(jù)庫(kù)潛在問題。通過對(duì)不同數(shù)據(jù)庫(kù)的SQL語義分析，提取出SQL中相關(guān)的要素；系統(tǒng)不僅對(duì)數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行實(shí)時(shí)審計(jì)，而且還可對(duì)數(shù)據(jù)庫(kù)返回結(jié)果進(jìn)行完整的還原和審計(jì)，同時(shí)可以根據(jù)返回結(jié)果設(shè)置審計(jì)規(guī)則。

（3）數(shù)據(jù)建模及海量數(shù)據(jù)挖掘分析技術(shù)[3]

能夠提供針對(duì)數(shù)據(jù)行為基線建模及智能告警功能，自動(dòng)建立數(shù)據(jù)庫(kù)訪問行為基線，并依據(jù)行為基線自動(dòng)智能識(shí)別可疑行為進(jìn)行告警。提供海量審計(jì)數(shù)據(jù)綜合分析功能，從不同的空間、時(shí)間對(duì)各個(gè)維度進(jìn)行對(duì)比分析。提供多種不同維度的報(bào)表，從不同角度分析數(shù)據(jù)庫(kù)行為，便于審計(jì)員進(jìn)行合規(guī)審計(jì)。一旦發(fā)生安全事件，提供基于數(shù)據(jù)庫(kù)對(duì)象的完全自定義審計(jì)查詢及審計(jì)數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫(kù)的黑盒狀態(tài)。

（4）數(shù)據(jù)庫(kù)審計(jì)與防火墻聯(lián)動(dòng)技術(shù)

數(shù)據(jù)庫(kù)審計(jì)設(shè)備檢測(cè)到數(shù)據(jù)庫(kù)攻擊行為及其他危險(xiǎn)操作時(shí)，可以與傳統(tǒng)防火墻聯(lián)動(dòng)，向防火墻發(fā)送通知報(bào)文，報(bào)文中包括攻擊類型、攻擊源等信息，防火墻收到該通知，則根據(jù)預(yù)先設(shè)定策略，針對(duì)不同攻擊類型實(shí)施不同的安全策略，確保從源頭限制或阻斷非法訪問。

4 結(jié)束語

通過使用WEB應(yīng)用防火墻、網(wǎng)頁(yè)防篡改、數(shù)據(jù)庫(kù)審計(jì)，從防護(hù)、監(jiān)測(cè)、審計(jì)等多方面、多層次對(duì)web網(wǎng)站實(shí)施綜合防護(hù)，可以有效地緩解常見威脅，可以快速地應(yīng)對(duì)惡意攻擊者對(duì)WEB業(yè)務(wù)帶來的沖擊，可以智能鎖定攻擊者并通知管理員對(duì)網(wǎng)站代碼進(jìn)行合理的加固，能夠有效抵御黑客對(duì)WEB應(yīng)用攻擊，對(duì)WEB業(yè)務(wù)保駕護(hù)航。

參考文獻(xiàn)：

[1] 王浩，武楓，沈雪健.Web數(shù)據(jù)庫(kù)安全技術(shù)研究與應(yīng)用分析[J].通訊世界，2016（3）.

[2] 徐茂.淺析面向SQL數(shù)據(jù)庫(kù)注入攻擊的Java Web防御措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）.

[3] 張圃銘.基于Web的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全技術(shù)研究[J].信息通信，2015（3）.