摘要：随着“互联网+”、大数据时代的到来，人类已经从信息技术（IT，Information Technology） 时代逐步走向数据技术（ DT， Data Technology）时代。Web技术的广泛应用发展，客戶端以浏览和数据下载的方式占据了大量的市场、数据成倍的速度增长，以信息技术（小数据时代）发展而来的技术和信息安全技术，已不能有效解决目前的数据问题，而基于面向数据（ DOA， Data-Oriented Architecture），以碎片化应用的数据生态系统的构建机制，有效解决了大数据时代Web应用开发过程中的结构、管理、安全等体系问题。从数据保护到数据授权应用的全过程管理机制，解决了在云计算、大数据、“互联网+”信息时代Web所面临的安全问题。不但提供了知识理论和技术方案，也为数据安全、信息安全、数据应用、信息应用等带来了新的机制，新的思路。

关键词：DOA；XSS漏洞 ；SQL注入；Web安全

0引言

随着企业信息化程度的不断提高、科技技术应用的快速发展，信息时代已经成为我们的生活不可缺的一部分，Web应用技术的快速及应用，已经越来越成熟，并不断壮大，安全问题引起了社会各界的高度重视。而目前Web应用程序和服务的增长已逐渐超越了开发人员所能承受的安全意识范围。

1目前Web安全管理体系的威胁

Web面临安全多种多样，应用开发过程中也持续受到跨站脚本漏洞、SQL注入等各手段方式的攻击。而目前传统安全体系下大多数数据都是处于“裸露”的状态，一旦有不速之客通过各种漏洞或非法获得权限都可以获取数据信息，其中SQL注入作为主流攻击之首，“裸露”数据直接可以导致敏感数据的泄露甚至数据丢失。跨站攻击、网页篡改攻击也是传统web安全架构体系无法避免的网络攻击手段，在大数据复杂的“互联网+”环境下，依赖于云计算、移动互联网、大数据、物联网的Web应用也逐步增长。Web中数据存放、钓鱼网站、数据越权访问等现象时有发生，以传统的Web的安全体系架构已无法完成、快速更新适应于现在复杂的网络软件环境。

根据目前Web安全体系结构与常见解决方案缺陷的分析，Web安全体系加固中设计了防护客户端、加固系统服务端等策略。Web服务器安全架构中常见方案对离散服务器应用场景、服务器群组场景也大多都基于目前传统的Web安全体系架构而设计如2-1图：

2基于DOA下Web安全管理体系的研究设计

（1）避免性能瓶颈

建立面向数据（ DOA， Data-Oriented Architecture）具有安全属性（主人、朋友、陌生人与敌人）的数据授权机制，加密呈现深度级别和基于特定的访问者，特定的场合（环境），特定的时间（时段）的AAA（Authorization，Authentication，Accounting， 授权、认证、计帐）策略的Web安全机制，打破传统我们只对Web服务器本身进行直接加固，通过下放客户端，使每个防护客户端只处理流经本服务器的网络数据，只关心单台服务器的数据安全问题。建立数据与应用相分离，不依赖于特定的硬件环境和软件环境，数据生长不同的应用。站在数据的角度审视技术、架构、安全体系，建立以数据为核心，天生加密、授权访问、过程记录、加密存储、传输授权、解密使用的大数据平台碎片化应用安全体系。这样，在服务器的数据组的应用场景下，便不会存在单一的安全加固系统，而是需要处理群组中所有服务器的数据属性，从而有效降低了性能影响，避免了由于安全加固系统成为性能瓶颈，从而降低了对整个服务器群组中所有Web应用的服务质量产生的影响。

（2）统一服务管理平台

新型Web安全管理体系以数据为核心，重新认识数据价值和数据管理，满足各种应用需求，通过数据注册中心（DRC）、数据权限中心（DAC）、数据异常控制中心（DEC）来统一定义数据、管理数据和提供数据服务，通过数据应用单元（DAUs）对各种应用进行管理和服务建立一种数据大平台与碎片化应用的数据生态系统，解决数据与应用之间自生长、自适应、自管理和可持续发展的机制，构建从数据保护到授权应用的整套机制，即数据的安全机制，应用中数据的授权使用机制。

基于DOA下Web安全管理体系提供给管理员的唯一接口是基于数据安全体系的管理机制。以数据为核心的Web安全管理体系可以在不影响服务质量的前提下，处理大量处于网络位置离散状态下的网站服务器或服务器群组的数据，并且进行统一的安全管理，管理员可以数据为核心，提取调用数据，利用数据权限中心（DAC）进行统一安全配置与管理。同时，通过数据注册中心（DRC）建立的远程日志保存机制，可以防止攻击者对攻击痕迹的清除，并可以在不影响Web服务器性能的情况下，对来自异地攻击的数据进行进一步的分析和挖掘，帮助Web管理员更迅速，更准确的查找网站漏洞，进行及时修补。如3-1图：

3研究并基于DOA下Web安全管理体系的意义

在大数据时代，以数据建设和提供信息（数据）服务的企业和部门越来越多，而“互联网+”下的安全问题也已成为全社会关注的焦点，并且涉及国家政治、军事、经济和文教等诸多领域，而对这类数据提供者的利益保护也愈发重要。加之信息本身具有易复制、易传输、难保护的特点，应用则是由政府、企业和个人在互联网和移动互联网中随时随地、随心随意的各种需求产生出的碎片化和个性化的应用。传统的Web安全体系中则又缺乏对数据保护和授权使用的机制，所以建立新型Web安全管理体系，以数据为核心，最大限度地保证数据安全统一管理的数据资源池是时代发展的趋势，也是必然。

4总结

建立基于DOA下构建以数据为核心的数据生态Web安全体系，不仅让数据有可持续发展的能力，而且数据天生加密，授权使用。并且以DRC、DAC为核心的重点Web安全应用机制数据资源池，让所有的应用都“生长”在其上，客户端浏览和下载的Web数据都在一个“池子”里按权调用提取，数据不需要与其他应用系统去共享数据和信息，也不存在信息“孤岛”和信息“烟囱”的碎片化互动应用问题。数据在开放环境下进行存储和传输，既可以适应传统封闭的安全环境下的应用，也增强了信息的安全保障，又可以在开放环境下保证数据的安全和不被越权访问。与发展中的云计算、大数据、网络空间安全、系统安全、应用环境安全相融合，从而有效保障了信息的安全，也从根本上也解决了Web安全机制的管理问题。

作者简介：贾如春，毕业于四川大学硕士，新视觉MOOC微课程联盟创始人，成都大学外聘导师，主要研究方向为云平台架构、大数据挖掘与分析、信息安全等方向，主要负责面向数据的安全存储与恢复，电子商务平台安全等项目工作。