Web应用安全项目解决实施方案.docx

专业资料 Web应用安全解决方案 、应用安全需求 1． 针对 Web的 攻击 现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立内部 的 业 务 应 用 系 统 ， 都 离 不 开 Web 应 用 。 Web 应 用 不 仅 给 用 户 提 供 一 个 方 便和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台 。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网络用户已近 20 亿，用户利用互联网进行购物、银行转账支付和各种软件下载 ， 企 业 用 户 更 是 依 赖 于 网 络 构 建 他 们 的 核 心 业 务 ， 对 此 ， Web 安 全 性 已 经提高一个空前的高度。 然 而 ， 随 着 黑 客 们 将 注 意 力 从 以 往 对 网 络 服 务 器 的 攻 击 逐 步 转 移 到 了 对 Web 应 用 的 攻 击 上 ， 他 们 针 对 Web 网 站 和 应 用 的 攻 击 愈 演 愈 烈 ， 频 频 得 手 。 根 据 Gartner 的 最 新 调 查 ，信 息 安 全 攻 击 有 75%都 是 发 生 在 Web 应 用 而 非 网 络 层 面上 。 同 时 ， 数 据 也 显 示 ， 三 分 之 二 的 Web 站 点 都 相 当 脆 弱 ， 易 受 攻 击 。 另外，据美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明，在接受调查的公司中，2004 年有 52%的公司的信息系统遭受过外部攻击（包括 系 统 入 侵 、滥 用 Web 应 用 系 统 、网 页 置 换 、盗 取 私 人 信 息 及 拒 绝 服 务 等 等 ），这些攻击给 269 家受访公司带来的经济损失超过 1.41 亿美元，但事实上他们之中有 98%的公司都装有防火墙。早在 2002 年，IDC 就曾在报告中认为，“网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火 墙 内 的 Web 端 口 都 必 须 处 于 开 放 状 态 。 ” 目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解，即 可 完 成 诸 如 更 换 Web 网 站 主 页 、 盗 取 管 理 员 密 码 、 破 坏 整 个 网 站 数 据 等 等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。 word 完美格式 专业资料 2． Web安 全防 范 在 Web 应 用 的 各 个 层 面 ，都 会 使 用 不 同 的 技 术 来 确 保 安 全 性 ，如 图 示 1 所 示 。为 了 保 证 用 户 数 据 传 输 到 企 业 Web 服 务 器 的 传 输 安 全 ， 通 信 层 通 常 会 使 用 SSL 技术加密数据；企业会使用防火墙和 IDS/IPS 来保证仅允许特定的访问，所有不必要暴露的端口和非法的访问，在这里都会被阻止。 防 火 墙 IDS/IPS Web 应 用 注入式攻击 已知 Web DoS 攻击 服务器漏洞 跨站脚本 端口扫描 网络层 恶意执行 模式攻击 应用服务器 网页篡改 数据库服务器 W eb 服 务 器 图 示 1 Web 应 用 的 安 全 防 护 但是，即便有防火墙和 IDS/IPS ，企业仍然不得不允许一部分的通讯经过防火 墙 ， 毕 竟 Web 应 用 的 目 的 是 为 用 户 提 供 服 务 ， 保 护 措 施 可 以 关 闭 不 必 要 暴露 的 端 口 ， 但 是 Web 应 用 必 须 的 80 和 443 端 口 ， 是 一 定 要 开 放 的 。 可 以 顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作，或者偷窃、或者操控、或 者 破 坏 Web 应 用 中 的 重 要 信 息 。 然而我们看到的现实确是，绝大多数企业将大量的投资花费在网络和服务器的 安 全 上 ，没 有 从 真 正 意 义 上 保 证 Web 应 用 本 身 的 安 全 ，给 黑 客 以 可 乘 之 机 。如图示 3所示，在目前安全投资中，只有 10％花在了如何防护应用安全漏洞，而 这 却 是 75 ％ 的 攻 击 来 源 。 正 是 这 种 投 资 的 错 位 也 是 造 成 当 前 Web 站 点 频 频 word 完美格式 专业资料 被攻陷的一个重要因素。 安全风险 安全投资 10% Web 应 用 75% 90% 25% 网络服务器 图示 2 安全风险和投资 3． Web漏 洞 Web 应 用 系 统 有 着 其 固 有 的 开 发 特 点 ： 经 常 更 改 、 设 计 和 代 码 编 写 不 彻 底 、没 有 经 过 严 格 的 测 试 等 ， 这 些