WEB应用系统安全分析与设计
摘 要 :Web应用系统的安全对整个网络的安全至关重要。积极运用各种安全技术、认真
研究防范措施,是Web应用系统建设中的关键问题之一。该文阐述了Web安全相对于网络
安全的特殊之处,总结了常用的Web安全技术,对通用体系结构的Web应用系统安全性进
行了分析,并给出了各环节应采用的安全技术。
关键词 :Web应用系统 ;Web安全 ;安全技术
1 引言
随着网络的迅猛发展,安全问题越来越引起人们的关注。从当初的计算机病毒的产生
和传播,到现在的网络犯罪、信用欺诈,这些安全问题的出现都充分说明 :网络安全不再
仅仅是 I T 行业内的问题,已演变为一个包括多学科的系统安全工程问题。当前,Web系
统的应用非常广泛,面临的安全威胁也日益严重,加强对Web应用系统安全技术的研究,
对提高网络的整体安全性、促进网络的快速健康发展有着重要意义。
2 Web 安全
所谓网络安全,就是网络上的信息安全,即保护网络系统的硬件、软件、数据不被偶
然或者故意的泄露、更改和破坏。广义来说,凡是涉及到网络上信息的保密性、完整性、
可用性、真实性、确认性和可控性的相关技术和理论都属于网络安全领域。Web,本质上
是一种运行于 Internet 和企业内部TCP /IP 互联网络之上的客户机 / 服务器应用程序。相
对于一般意义上的网络安全,Web安全有其特殊之处 :
(1)Web信息流通是双向的,与传统的信息发布不同,Web包含了文本、语音、图像、
视频等多种媒介,这使得Web服务在针对Web的攻击面前很脆弱。
(2)Web日益成为发布信息和进行电子商务等的平台,如果Web服务器被破坏,将使
发布者信誉和财产受到极大损失。
(3)Web的底层软件极为复杂,这种软件的高度复杂性掩盖了许多安全隐患。(4)Web
服务器可能被攻陷并成为攻击者进入内部网络的着陆点,一旦Web服务器被攻陷,攻击者
不仅能够获取Web服务器本身的访问权限,而且能够对内部网络的其他服务器进行访问。
(5)Web服务的客户通常在安全方面未经过训练或重视不够,这些用户通常并不具备安全
风险的概念,也没有采取相应措施以消除不安全因素的知识或工具。
3 Web 安全技术
(1) 密码技术密码技术是对需要进行伪装的机密信息进行变换,得到另外一种看起来
似乎与原有信息不相关的表示,合法用户可以从这些信息中还原出原来的机密信息,而非
法用户如果试图从这些伪装后的信息中分析出原有的机密信息,要么这种分析过程根本是
不可能的,要么代价过于巨大,以至于无法进行。密码技术不仅具有信息加密功能,而且
具有数字签名、身份验证、秘密分存等功能。使用密码技术,不仅可以保证信息的机密性,
而且可以保证信息的完整性和正确性,防止信息被篡改、伪造或假冒。
(2) 认证技术
认证技术是信息安全的一项重要内容,在网上商务活动日益活跃的今天,很多情况下,