杨阳

（湖北职业技术学院信息工程学院，湖北孝感 432100）

1 引言

随着信息技术、网络技术的快速发展，各类网络安全问题层出不穷，病毒、蠕虫、木马、后门程序等严重危害信息系统的安全。信息系统一般是由控制模块、计算模块、数据存储模块、数据展示模块组成，包括B/S（Browser/Server）模式和C/S（Client/Server）模式两种架构［1］。在B/S模式中，浏览器充当客户端的角色，所有计算都在服务器端进行，运算结果在浏览器中展示，服务器运载压力较大；C/S模式是一种客户端到服务器的模式，主要运行在局域网坏境下，一般情况下需要在客户端安装图形用户界面（Graphics User Interface，GUI）软件。在B/S模式下，每个用户都可以通过浏览器访问系统，系统常建立在因特网上，这给系统安全带来了风险和挑战；在C/S模式下，用户往往是专用网络下的固定用户群体，信息安全更加可控。随着互联网的快速发展，基于浏览器的Web信息系统（B/S模式）逐渐成为主流，与此同时，该类系统也面临着网络安全、数据安全等问题。本文从互联网上的常见漏洞攻击方式出发，讨论研究Web信息系统相关安全策略。

2 Web信息系统安全

根据信息安全的定义［2］，它是指计算机软硬设备、计算机程序、信息数据等不受内外各种形式的恶意或偶然因素更改、破坏、泄露，保证信息系统的载体安全、资源安全和运行时安全。信息安全的本质是保护信息系统和信息资源的安全，它含有五个基本特征［3］：即完整性、保密性、可用性、可控性和可审查性。

完整性是最基本的安全特征，它是指程序数据和记录数据在传输、计算、存储中保持正确性、一致性，不被随意破坏和删改，保持数据的合法度。

保密性是指避免信息数据被未经授权的访问和使用，是保证数据安全可靠的基本要求，它往往需要通过数据加密、身份认证、访问控制、安全协议等措施来具体实施。

可用性也称有效性，通常是指面向授权用户提供服务的质量和水平，是衡量信息系统稳定性的重要指标；在特殊情况下，它还包括快速恢复到正常状态的响应能力。

可控性是指信息数据处理的精确程度，主要反映在数据运算过程中对数据操作的控制程度；可控性强的系统安全性能更高。

可审查性又称不可否认性、抗抵赖性，既包括信息交互过程中双方身份核实有效，也包括交互记录有踪可循，所有参与者不能拒绝承认自身提供的数据和实际操作行为，系统具有完整的日志管理功能。

在实际应用中，通过有效保证完整性、保密性、可用性、可控性和可审查性这五个基本特征，实现信息、系统、数据的安全，从而维护信息价值。

Web信息系统安全［4］是指随着因特网的快速发展，各种Web技术潜在的问题不断出现，涉及的原因包括Web服务的开放性、HTTP等互联网协议的兼容性以及各类Web系统本身存在的缺陷性，这些问题严重影响Web信息系统对外提供安全服务，特别是针对完整性、保密性、可用性这三个方面对系统进行的Web攻击，给信息服务主体和用户带来了损失。一般而言，Web信息系统驻留在服务器上，用户通过浏览器访问和获取相关数据，这个过程含有HTTP请求、数据传输、HTTP响应三个步骤。不法分子在每一个步骤可以拦截、篡改、伪造、植入、欺骗机器和系统，诱导用户不合规操作，从而进行牟利。Web信息系统作为互联网上主要的信息载体，承载着各类用户的基础信息、隐私数据、敏感数据等，其安全问题刻不容缓。

2.1 漏洞

漏洞是指系统或软件存在的问题和缺陷，这可能是因为系统在开发周期的某些环节中，如设计、编码阶段缺乏周密的考虑所致，也可能是因为交互过程中的非法操作超越了正确的流程边界，更常见的是某种所依赖的库函数本身存在致命的问题。在RFC28281中，漏洞具有如下定义［5］：系统在设计、实现、操作和管理中可能触发、危害系统安全策略的弱点和缺陷，即这些问题可能导致系统的完整性、保密性、可用性等安全特性被破坏。漏洞的存在使系统存在被攻击的风险，在某些情况下同网络段的其他计算机和系统都可能被攻击者所控制和利用，常见的方式包括病毒、木马、后门程序等。

2.2 Web攻击

Web攻击［6］是指利用因特网上存在的协议漏洞或安全隐患对Web目标系统进行不同程度的网络攻击，其目的不限于修改、破坏、窃取计算机和网络中存储的数据和信息，一般来说，堵塞网络、降低Web服务质量、控制安全目标、监控扫描、盗取账户信息等一切损害互联网安全的行为都可称之为Web攻击。Web攻击者对目标主机的网络环境有清楚的认识，在获得系统控制权限后，便开始执行进一步的网络渗透和资源窃取，特别是针对Web服务器本身和后台存储数据库的非法操作，这使得Web攻击有很大的危害性。

Web攻击是一个迭代的过程［7］，根据对目标主机或系统信息的挖掘程度，攻击者不断改变攻击方式和控制力度，最终攫取特殊权限；这个过程一般包括信息收集、漏洞扫描、主机分析、登入控制、渗透攻击、擦除痕迹等步骤。

在信息收集阶段，主要是通过Hacking技术读取目标的网络IP、操作系统类型、对外提供服务、服务端口等，以及使用社会工程学等方式搜集用户的信息。

在漏洞扫描阶段，黑客会利用扫描工具或是探测软件发现系统潜在的攻击点，有时甚至能直接找到若干漏洞。

在主机分析阶段，为了获取更大权限，攻击者会进一步掌控程序架构、业务流程、权限边界、数据存储等相关信息。

在登入控制阶段，攻击者使用获取到的用户信息，采用暴力破解、漏洞利用等方式登入系统，并修改系统配置和参数，植入木马和后门以及远程操作程序。

在渗透攻击阶段，攻击者在获得当前机器的相应资源和权限后，以此为跳板机，进一步寻找同网络的其他目标机或是系统。

在擦除痕迹阶段，攻击者会删除系统中的登入、操作记录日志，恢复破坏现场，以免引起管理员警觉。

3 Web应用安全策略

3.1 常见Web应用安全威胁及策略

因为Web应用系统部署在互联网上，用户通过浏览器发送HTTP请求都可以获得响应，这个过程常常被网络攻击者利用。在“请求-响应”的整个阶段，攻击者利用请求参数、传输协议漏洞、洪峰式访问等方式给Web应用安全带来了巨大威胁。

3.1.1 SQL注入

SQL注入［8］是应用系统逻辑将用户输入作为参数拼接成SQL语句的时候，由于系统未对拼接内容做检测和校验，导致拼接后的动态SQL具有非法操作数据库的功能和权限。针对SQL注入攻击，目前常见的防护方法包括在程序中使用参数化语句，避免用户输入被解析成执行命令；过滤和校验用户的输入，禁止输入特定模式的字符串；提高数据库的安全等级。

3.1.2 跨站脚本攻击XSS

跨站脚本攻击（Cross-Site Scripting，XSS）［9］是指攻击者通过网站漏洞将恶意代码或脚本注入到网页中，当用户访问该部分网页时，用户浏览器自动执行了其中内置的恶意代码或脚本，从而造成会话丢失、信息泄露、非法跳转等问题。根据攻击方式不同，跨站脚本攻击又分为反射型XSS、存储型XSS和DOM型XSS。

3.1.3 跨站请求伪造攻击CSRF

跨站请求伪造攻击（Cross Site Request Forgery，CSRF）［10］是指伪造客户端请求，指定服务器端完成破坏性操作。它的基本原理是利用浏览器保存的用户Cookie等凭证会话信息，诱导用户点击恶意链接，借助用户的在线状态、身份和权限执行删除、修改等不合法操作。针对CSFR，目前常见的防护方法包括HTTP Referer验证、随机Token验证［11］等方式。

3.1.4 分布式拒绝服务攻击DDOS

分布式拒绝服务攻击（Distributed Denial of Service，DDOS）［12］攻击是指利用不同位置的傀儡机向目标机发送大量请求数据包，导致Web服务器网络、带宽、计算资源消耗殆尽，合法用户无法正常使用Web应用提供的服务。DDOS攻击已在全世界范围内造成巨大损失，严重威胁国家网络基础设施安全。针对DDOS，目前常见的防护方法包括IP控制限流、IP溯源、并发数配置等。

3.2 Web应用安全框架设计

3.2.1 Web应用安全框架整体层次

根据前面所述的Web信息系统安全的定义，由于Web信息系统通过互联网对外提供Web服务，不可避免地会受到各种网络攻击，且攻击对象不限于网络环境、硬件平台、操作系统、数据库以及Web应用系统本身。为了更全面地保证信息安全，通过设计一种Web应用安全框架来提升安全等级，应对来自互联网络上的绝大多数威胁。

基于层次划分，该Web应用安全框架有以下四个部分组成：网络设施的安全；系统平台的安全；Web应用安全；安全管理制度。其中，网络设施安全是第一道安全，包括使用防火墙、网关等物理设备；系统平台安全是第二道安全，主要是针对各类服务器、操作系统的安全；第三道安全是Web应用系统安全，包括漏洞扫描、入侵检测等；安全管理制度属于人的因素，要求规范操作，加强管理。

如图1所示，该Web应用安全框架为Web应用系统的部署和维护提供可行的参考方案。

图1 Web应用安全框架设计

3.2.2 Web应用安全框架应用案例

基于该Web应用安全框架，搭载学校网络和云平台环境，设计出服务学校双高建设的信息管理系统，如图2所示。该系统使用开源的J2EE框架技术，具备完整的认证授权、权限管理、日志审计、数据库加密等功能。

图2 双高建设的信息管理系统

在网络设施安全和系统平台安全方面，该系统驻存在学校私有云数据中心，具备企业级安全防护等级。在安全管理制度方面，制定了用户人员安全操作手册以及应急措施，保证系统安全无故障运行。目前，该信息系统已经正常运行2年时间。

3.2.3 Web应用安全框架有效性验证

该Web应用安全框架从以下几个方面得到了有效性验证：

网络设施安全主要是指系统硬件所处的网络环境是可信的，措施包括安装防火墙、安全网关对内部网络进行分段、隔离，监控网络流量、设置黑白名单等，保证网络服务正常可用。

系统平台安全是指服务器和操作系统的安全性，主要措施包括使用双机热备的方式保证数据存储、服务计算的可靠性，避免单点故障；在操作系统上安装杀毒软件，并定期扫描修复各类安全漏洞；配置提升操作系统的安全等级，严格管理用户角色和权限的相关设置。

Web应用安全主要是指系统数据不被篡改、泄露，程序运行逻辑不被破坏，系统业务流程可以追溯。主要措施包括使用用户的认证和授权（包括基于Session和基于Token）、角色和权限管理（包括自主访问控制DAC、强制访问控制MAC、基于角色的访问控制RBAC等）、用户操作审计、数据加密、日志记录等内容。

安全管理制度是从人的方面制定相关安全制度和管理人员的操作手册。明确岗位职责，提高系统管理人员的安全意识，规范操作步骤，加强岗位素养和能力的锻炼。

4 结束语

B/S模式下的Web信息系统通过因特网对外提供服务，用户通过浏览器即可同后台服务器进行交互。由于因特网数据传输存在缺陷和漏洞，且易被攻击分子操纵和利用，整个“请求-响应”过程可能造成数据泄露和数据破坏等问题。从Web信息系统本身的安全问题来看，完整性、保密性、可用性、可控性和可审查性这五个特性也是其关注的焦点。本文基于信息安全的特征给出了Web信息系统安全的定义，针对诸如SQL注入、XSS、CSRF、DDOS等安全威胁，讨论了相应安全策略，并设计出一种Web应用安全框架，该框架包括网络设施的安全、系统平台的安全、Web应用安全和安全管理制度四个部分。通过将该安全框架应用到本校的双高建设信息管理系统中证明，该框架以及所展示的内容能够有效地提升Web信息系统的安全等级，增强了安全保障能力。