以应用为中心解析网络安全和日志管理.doc

以应用为中心解析网络安全和日志管理 Andrew Mwaura Kahonge, William Okello-Odongo, Evans K. Miriti, Elisha Abade 肯尼亚 内罗毕大学 计算机与信息学院 jis2013年发布 摘要： 万维网已经成为一个拥有许多安全威胁以及已知的安全漏洞的公共环境，为了解决这个问题，各种工具和技术被开发出来，然而新的攻击依然困扰着互联网，我们讨论那些影响着应用的风险，并且解释在企业至关重要的，以网络为中心和以主机位中心的技术是多么地缺乏必要的全面安全隐患监测级别。如果无视物理和逻辑上的模块和分层，网络网络应用跨越多个服务器的实质是带来一种全面的信息安全保护标准。因此，不论是以基础架构为中心还是以应用为中心，我们对于安全机制进行分类的主要依据是被保护的资产是什么。之后，我们描述了以应用为中心的安全机制。 关键词：网络安全，因特网，以应用为中心，以架构为中心，以网络为中心，以主机为中心，日志管理和监控 1 引言 随着因特网及网络应用的发展，全世界有大量提供给用户的服务，许多应用引入市场，包括信息网站，社交网络，电子商务，还有类似SAAS的服务软件。正如上面说的，这种发展可能对于网络应用符合互联网规模的分布式超媒体系统的需求有很大帮助。如此，在网络上整合和建立更多的应用和组件比传统桌面软件要容易得多。 与这一大波成功的网络应用一起到来的，是大量被发现的漏洞，使得服务提供者用来监控漏洞所投入了大量精力和资源。攻击的例子包括黑客们利用一个运行在服务器上的网络应用不当的编码标准或者服务器本身的固有缺陷引起的攻击。对于保护这样的系统而言，先一步的准备室非常重要的。有几种用来提高检测和防治风险的方案被发明了出来，包括安全审计方法和安全架构。一些方法比如安装智能防火墙，安全的端到端通过虚拟专用网络和安全套接字层通讯已被用于提高安全性并且已经被几种类型的网络应用程序采纳。此外值得一提的事实：像是电脑和网络日志被在数字取证中被当做最重要的数据，监测工具和技术以及智能的日志监控和分析软件已经被广泛的使用在事件的记录中，比如系统日志，数据库日志，网站服务器日志。然而，所有的这些方法和努力都不能保证系统一直安全或注意到所有针对系统的攻击。 同样的，对于信息安全的三个原则：保密性，完整性和可用性，11条关于信息资产保护的标准被提了出来。这些用于系统安全的标准的主要思想是一个整体信息资产保护方法是必要的。特别地，这些标准之中的两条便是监控和评估对于系统的观察和适当行为表现的部分。监测的第一标准也是被当做信息安全的关键特别是对于那种通过分析日志监测网络 服务器，数据库服务器，认证服务器的网络应用。 我们揭示了网络应用的风险并且尽可能地从监测角度来描述日志记录和日志分析的意义。然后，我们给出了一个根据实现安全之前的提前工作来分类的安全机制总结，最后我们呈现了一个新的，旨在提供一个实现安全特别对于基于网络的应用而言关注点不同的类别。为了支持我们所推荐的这个想法， 我们将讨论一个漏洞的情况。 2. 网络应用程序身份验证级别 如图一中的步骤a所示，当用户接触网站时，一种认证要求要求输入用户名和密码，两种常用的方式是脚本控制的认证和网站服务器控制认证。前者包括了客户端网页用来输入用户名，密码和其他认证数据的数据实体元件，后者是网站服务器管理的用户验证保证只对有效用户服务被请求的网络资源。基本认证和集成认证就是这种的常见例子。 当级别a完成，网络资源的要求是在数据库服务器中，如对内容管理系统的情况下，服务器端脚本将启动与数据库服务器的连接。然后，根据不同的受众或系统的类型，这个网络应用可能会被设计在级别b进行认证如图一所示，通过N:1或1:1映射出外部或实际用户和数据库用户的分别。 多对一的数据库连接对于像是面向因特网的不管哪个用户登入一大部分系统操作行为都是只读操作的场景是适合的。当数据服务有上千种需求而数据连接只有一些的时候，使用连接池也是适合的。对于这样的情况下，一个单一的数据库用户名和密码用于连接数据库。最流行的网络程序框架就是使用这种方法。 这种复用减少了数据库管理开销，也可能有性能和可扩展型优势。它引入了一个数据库行为转录的盲点：当分析数据库事件日志时可能永远不会透露是谁做了什么。 3.影响网络应用的风险 不同于传统桌面系统，网络应用受到的原生危害是由于他们的架构以及他们暴露给很大范围的受众这样的事实。最近的研究表面，在所有的攻击当中，SQL注入和跨站脚本攻击时最常见也是最严重的攻击。 3.1 网站服务器的内在漏洞