◆代俊雅

（北京理工大學(xué)珠海學(xué)院計(jì)算機(jī)學(xué)院 廣東 519088）

安全設(shè)計(jì)在WEB應(yīng)用程序的研究

◆代俊雅

（北京理工大學(xué)珠海學(xué)院計(jì)算機(jī)學(xué)院 廣東 519088）

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)隨著科學(xué)技術(shù)的發(fā)展也在快速地發(fā)展，電子商務(wù)也在不斷地完善和發(fā)展，在開(kāi)發(fā)軟件系統(tǒng)應(yīng)用程序的領(lǐng)域中，占有了很大的比重。從當(dāng)前來(lái)看，發(fā)展網(wǎng)絡(luò)安全方面相關(guān)的研究，在各種安全的技術(shù)上應(yīng)用都比較廣泛。但是，對(duì)于程序中的軟件設(shè)計(jì)者，如何提升應(yīng)用 WEB程度的安全性，對(duì)研究的工作者相對(duì)還比較少，在全球化網(wǎng)絡(luò)環(huán)境的普及下，怎樣使網(wǎng)絡(luò)安全環(huán)境的穩(wěn)定能夠得以保證，必須要利用安全設(shè)計(jì)。

安全設(shè)計(jì)；網(wǎng)絡(luò)；WEB應(yīng)用程序

0 前言

最近幾年，計(jì)算機(jī)通信的技術(shù)發(fā)展很快，網(wǎng)絡(luò)購(gòu)物和辦公以及支付等已經(jīng)得到了普遍應(yīng)用，在互聯(lián)網(wǎng)上，許多的事情已經(jīng)在逐步地變?yōu)楝F(xiàn)實(shí)，但是，互聯(lián)網(wǎng)在現(xiàn)代化中，還是一個(gè)比較危險(xiǎn)的環(huán)境[1]。為了使現(xiàn)代企業(yè)應(yīng)用程序得以有效的保護(hù)，必須要有控制的措施和安全性的策略。

1 WEB安全的相關(guān)技術(shù)

1.1 身份驗(yàn)證技術(shù)

身份驗(yàn)證技術(shù)是一個(gè)實(shí)體的過(guò)程，就是一個(gè)主體對(duì)于另外一個(gè)主體有無(wú)確實(shí)的確認(rèn)。在這個(gè)過(guò)程中，客戶(hù)身份的使用也是一個(gè)主體，在WEB應(yīng)用程序中，驗(yàn)證身份會(huì)以各種的異同位置出現(xiàn)，對(duì)于WEB應(yīng)用程序，用戶(hù)進(jìn)行連接時(shí)，WEB服務(wù)器能夠驗(yàn)證用戶(hù)身份；WEB應(yīng)用程序中，如果將WEB頁(yè)調(diào)為com+組件時(shí)，該組件也可以驗(yàn)證用戶(hù)身份[2]。

1.2 授權(quán)技術(shù)

授權(quán)技術(shù)就是在驗(yàn)證身份后，主體所需要訪(fǎng)問(wèn)的一部分資源，能夠通過(guò)檢查驗(yàn)證的身份主體將它所請(qǐng)求資源進(jìn)行有效的訪(fǎng)問(wèn)，從而將該主體訪(fǎng)問(wèn)的權(quán)限進(jìn)行決定。主要由比較主體和訪(fǎng)問(wèn)控制信息兩個(gè)方面決定訪(fǎng)問(wèn)的權(quán)限[3]。

1.3 安全審核技術(shù)

審核是有效地將嘗試訪(fǎng)問(wèn)和訪(fǎng)問(wèn)特權(quán)以及其余安全性操作等各種不同信息進(jìn)行收集。審核各種信息后，注入到日志中，對(duì)于日后分析各種信息都非常有幫助，日志對(duì)于調(diào)試WEB應(yīng)用程序的協(xié)助也非常有幫助，如果沒(méi)有日志，只能單一地憑借判斷，會(huì)受到資源的拒絕訪(fǎng)問(wèn)[4]。

1.4 完整性技術(shù)

完整性技術(shù)就是刪掉或者修改數(shù)據(jù)的能力不會(huì)隨便地了出現(xiàn)，從而使發(fā)送和收到的信息與歷史的數(shù)據(jù)達(dá)到完全一致[5]。在可編程簽名的數(shù)據(jù)內(nèi)，應(yīng)用該技術(shù)傳奇，數(shù)據(jù)哈希值（Hash value）利用編程格式進(jìn)行創(chuàng)建，將其與歷史數(shù)據(jù)一同發(fā)送，所收到數(shù)據(jù)如果與哈希值（Hash value）能夠相互匹配，接收人就能夠?qū)?shù)據(jù)掌握，并且沒(méi)有一點(diǎn)改變出現(xiàn)。

1.5 安全保密技術(shù)

安全保密技術(shù)將沒(méi)用經(jīng)過(guò)授權(quán)所使用的用戶(hù)信息進(jìn)行隱藏，采用的大部分是加密的技術(shù)，用戶(hù)之間能夠?qū)C(jī)密信息進(jìn)行發(fā)送，但是，這些消息其余用戶(hù)即便利用網(wǎng)絡(luò)協(xié)議分析器也很難看到[6]。

1.6 認(rèn)可技術(shù)

認(rèn)可技術(shù)就是對(duì)于已經(jīng)產(chǎn)生的操作進(jìn)行證明，在進(jìn)行操作的過(guò)程中，將無(wú)端的拒絕進(jìn)行預(yù)防，將授權(quán)訪(fǎng)問(wèn)、身份驗(yàn)證、完整性數(shù)據(jù)以及安全審核提供給認(rèn)可計(jì)劃的完整性，對(duì)于電子商務(wù)發(fā)展具有至關(guān)重要的現(xiàn)實(shí)意義。

2 WEB應(yīng)用程序安全設(shè)計(jì)的方法

2.1 確定的威脅

對(duì)于WEB應(yīng)用程序信息和產(chǎn)品以及有關(guān)的業(yè)務(wù)需求進(jìn)行有效的收集，必須要將設(shè)計(jì)說(shuō)明和結(jié)構(gòu)圖編出來(lái)，在收集完成任務(wù)以后，就是對(duì)WEB應(yīng)用程序安全性威脅設(shè)計(jì)的確定，應(yīng)該根據(jù)商業(yè)風(fēng)險(xiǎn)的執(zhí)行進(jìn)行威脅的界定，當(dāng)不斷地增加商業(yè)風(fēng)險(xiǎn)時(shí)，威脅的影響就會(huì)變大[7]。

2.2 識(shí)別受到保護(hù)的資源

分析WEB應(yīng)用程序威脅時(shí)，首先，應(yīng)該對(duì)說(shuō)明書(shū)和設(shè)計(jì)規(guī)格里遭遇的襲擊資源進(jìn)行有效的識(shí)別，有一部分在各個(gè)組織里受到了保護(hù)，遭受潛伏攻擊資源就會(huì)避開(kāi)。對(duì)于WEB站點(diǎn)的訪(fǎng)問(wèn)，網(wǎng)絡(luò)上的任何人都可以進(jìn)行，但是，使用網(wǎng)絡(luò)站點(diǎn)里資源，不同程度的威脅感染都容易遭受。

2.3 風(fēng)險(xiǎn)計(jì)算與威脅先后順序的區(qū)分

識(shí)別WEB應(yīng)用程序威脅以后，對(duì)于每一種不同的威脅成本，應(yīng)該清楚地進(jìn)行避免，將該成本與受保護(hù)資源價(jià)值進(jìn)行比較，對(duì)于威脅前后次序比較方便。將出現(xiàn)某單個(gè)威脅幾率與該威脅的乘積所遭受的影響進(jìn)行識(shí)別和掌握，也就是對(duì)影響的了解和掌握。

2.4 評(píng)估威脅利用安全性措施

安全性措施能夠有效地滿(mǎn)足電腦網(wǎng)絡(luò)需求度的保護(hù)需求，能夠保護(hù)信息的有效性和機(jī)密性以及完整性，同時(shí)監(jiān)測(cè)安全性的響應(yīng)和事故以及預(yù)防過(guò)程也包括在內(nèi)，在對(duì)WEB應(yīng)用程序的安全性設(shè)計(jì)和規(guī)劃的過(guò)程中，為可靠框架結(jié)構(gòu)得以實(shí)現(xiàn)進(jìn)行了提供。

2.5 選擇安全性技術(shù)

防御引起相對(duì)的特殊威脅時(shí)，只對(duì)一種技術(shù)進(jìn)行應(yīng)用時(shí)，安全性的疏漏容易出現(xiàn)，所以，在對(duì)安全性技術(shù)使用進(jìn)行選擇時(shí)，正解性非常重要。對(duì)應(yīng)用不同類(lèi)型的技術(shù)進(jìn)行選擇，對(duì)于應(yīng)用于防御威脅所用的決策是否切實(shí)可行必須要清楚，再結(jié)合決策的制定對(duì)技術(shù)進(jìn)行選擇。

2.6 加強(qiáng)設(shè)計(jì)安全服務(wù)，減輕風(fēng)險(xiǎn)

如果想要減輕各種類(lèi)型的風(fēng)險(xiǎn)，可以將安全性服務(wù)的 WEB應(yīng)用程序創(chuàng)建起來(lái)，主要的目的是在安全性策略允許的界限內(nèi)減輕風(fēng)險(xiǎn)[8]。在將安全性服務(wù)進(jìn)行創(chuàng)建時(shí)，安全性技術(shù)可以作為一個(gè)獨(dú)立的組件進(jìn)行運(yùn)行，這對(duì)于降低WEB應(yīng)用程序耦合性能夠起到促進(jìn)的作用。

3 總結(jié)

綜上所述，本文對(duì)WEB安全有關(guān)的技術(shù)進(jìn)行了介紹，分析了WEB應(yīng)用程序的安全設(shè)計(jì)過(guò)程，同時(shí)，對(duì)WEB應(yīng)用程序的可行性和設(shè)計(jì)方法以及應(yīng)用效益進(jìn)行了驗(yàn)證，具有至關(guān)重要的現(xiàn)實(shí)意義。

[1]楊艷梅.Web應(yīng)用程序安全設(shè)計(jì)及應(yīng)用技術(shù)的研究[J].電子技術(shù)與軟件工程，2014.

[2]鐘文德，邱丹青.WEB應(yīng)用程序安全設(shè)計(jì)及應(yīng)用技術(shù)的研究[J].中國(guó)新技術(shù)新產(chǎn)品，2014.

[3]吳羽翔.基于模塊化設(shè)計(jì)的Web應(yīng)用程序漏洞利用框架研究與開(kāi)發(fā)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2014.

[4]許巖波.Web應(yīng)用防火墻站點(diǎn)安全與雙機(jī)熱備模塊設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué)，2013.

[5]栗國(guó)斌.基于灰盒測(cè)試的 Web應(yīng)用程序安全漏洞檢測(cè)[D].北京化工大學(xué)，2013.

[6]閆波波.Web應(yīng)用安全滲透測(cè)試工具的設(shè)計(jì)與實(shí)現(xiàn)[D].天津大學(xué)，2012.

[7]劉鵬.PHPWeb應(yīng)用程序安全性研究及安全漏洞檢測(cè)工具開(kāi)發(fā)[D].西安電子科技大學(xué)，2012.

[8]趙博.基于靜態(tài)代碼分析的Web應(yīng)用安全漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué)，2012.