李晓明

【摘 要】Web应用攻击能够给人们的财产、资源和声誉造成重大破坏。虽然Web应用增加了用户受攻击的危险，但有许多方法可以帮助减轻这一危险。本文 研究了Web应用程序的漏洞，探讨了Web安全的现状及问题由来以及几种主要Web安全技术，提出了实现Web安全的几条措施。

【关键词】Web应用程序；安全；漏洞

0.引言

随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。

1.Web安全的主要技术

1.1认证

1.1.1身份认证

当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。

1.1.2报文认证

主要是通信双方对通信的内容进行验证，以保证报文由确认的發送方产生、报文传到了要发给的接受方、传送中报文没被修改过。

1.1.3访问授权

主要是确认用户对某资源的访问权限。

1.1.4数字签名

数字签名是一种使用加密认证电子信息的方法，其安全性和有用性主要取决于用户私匙的保护和安全的哈希函数。数字签名技术是基于加密技术的，可用对称加密算法、非对称加密算法或混合加密算法来实现。

1.2数据加密

1.2.1私匙加密

私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件件中实现。

1.2.2公匙加密

公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。

1.3防火墙技术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、代理服务器、网关、保垒主机）组成的防火墙，管理上难免有所疏忽。

1.4入侵检测系统

入侵检测技术是Web安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测、智能化入侵检测和全面的安全防御方案。

入侵检测系统（Instusion Detection System简称IDS）是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。

2.Web安全问题的由来

网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术循环递升，原来网络固有优越性的开放性和互联性变成信息的安全性隐患之便利桥梁。Web安全已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受安全问题的困扰。

目前所运用的TCP/IP协议在设计时，对安全问题的忽视造成网络自身的一些特点，而所有的应用安全协议都架设在TCP/IP之上，TCP/IP协议本身的安全问题，极大地影响了上层应用的安全。网络的普及和应用还是近10年的事，而操作系统的产生和应用要远早于此，故而操作系统、软件系统的不完善性也造成安全漏洞；在安全体系结构的设计和实现方面，即使再完美的体系结构，也可能一个小小的编程缺陷，带来巨大的安全隐患；而且，安全体系中的各种构件间缺乏紧密的通信和合作，容易导致整个系统被各个击破。

3.Web安全问题对策的思考

Web安全建设是一个系统工程、是一个社会工程，Web安全问题的对策可从下面4个方面着手。

Web安全的保障从技术角度看。首先，要树立正确的思想准备。Web安全的特性决定了这是一个不断变化、快速更新的领域，况且我国在信息安全领域技术方面和国外发达国家还有较大的差距，这都意味着技术上的“持久战”，也意味着人们对于Web安全领域的投资是长期的行为。其次，建立高素质的人才队伍。目前在我国，网络信息安全存在的突出问题是人才稀缺、人才流失，尤其是拔尖人才，同时Web安全人才培养方面的投入还有较大缺欠。最后，在具体完成Web安全保障的需求时，要根据实际情况，结合各种要求（如性价比等），需要多种技术的合理综合运用。

Web安全的保障从管理角度看。考察一个内部网是否安全，不仅要看其技术手段，而更重要的是看对该网络所采取的综合措施，不光看重物理的防范因素，更要看重人员的素质等“软”因素，这主要是重在管理，“安全源于管理，向管理要安全”。再好的技术、设备，而没有高质量的管理，也只是一堆废铁。

Web安全的保障从组织体系角度看。要尽快建立完善的Web安全组织体系，明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系，和认证认可各级结构，保证信息安全技术、信息安全工程、信息安全产品，信息安全管理工作的组织体系。

4.结束语

我们在欢呼Web应用程序的迅速发展所带给我们得更加愉快地用户体验的同时必须看到，Web应用程序的安全性也正在变得越来越复杂。而Web应用程序的跨平台和公来访问特点，使

得互联网上所有可以访问该Web应用程序的用户都可能成为潜在的攻击者，所以Web应用程序的安全性控制可谓任重而到远。在尽快加强网络立法和执法力度的同时，不断提高全民的文明道德水准，倡导健康的“网络道德”，增强每个网络用户的安全意识，只有这样才能从根本上解决Web安全问题。 [科]

【参考文献】

[1]周博文，杜山泽.社会管理创新：从伦理观念、管理理念到思维方式的转变.载于.行政管理改革，2012（11）.

[2]马恒太.Web服务安全[M].电子工业出版社，2007（12）.

[3]袁德明，乔月圆.计算机网络安全[M].电子工业出版社，2007（6）.