安全設計在WEB應用程序的研究

◆代俊雅

（北京理工大學珠海學院計算機學院 廣東 519088）

安全設計在WEB應用程序的研究

◆代俊雅

（北京理工大學珠海學院計算機學院 廣東 519088）

計算機網絡技術隨著科學技術的發(fā)展也在快速地發(fā)展，電子商務也在不斷地完善和發(fā)展，在開發(fā)軟件系統應用程序的領域中，占有了很大的比重。從當前來看，發(fā)展網絡安全方面相關的研究，在各種安全的技術上應用都比較廣泛。但是，對于程序中的軟件設計者，如何提升應用 WEB程度的安全性，對研究的工作者相對還比較少，在全球化網絡環(huán)境的普及下，怎樣使網絡安全環(huán)境的穩(wěn)定能夠得以保證，必須要利用安全設計。

安全設計；網絡；WEB應用程序

0 前言

最近幾年，計算機通信的技術發(fā)展很快，網絡購物和辦公以及支付等已經得到了普遍應用，在互聯網上，許多的事情已經在逐步地變?yōu)楝F實，但是，互聯網在現代化中，還是一個比較危險的環(huán)境[1]。為了使現代企業(yè)應用程序得以有效的保護，必須要有控制的措施和安全性的策略。

1 WEB安全的相關技術

1.1 身份驗證技術

身份驗證技術是一個實體的過程，就是一個主體對于另外一個主體有無確實的確認。在這個過程中，客戶身份的使用也是一個主體，在WEB應用程序中，驗證身份會以各種的異同位置出現，對于WEB應用程序，用戶進行連接時，WEB服務器能夠驗證用戶身份；WEB應用程序中，如果將WEB頁調為com+組件時，該組件也可以驗證用戶身份[2]。

1.2 授權技術

授權技術就是在驗證身份后，主體所需要訪問的一部分資源，能夠通過檢查驗證的身份主體將它所請求資源進行有效的訪問，從而將該主體訪問的權限進行決定。主要由比較主體和訪問控制信息兩個方面決定訪問的權限[3]。

1.3 安全審核技術

審核是有效地將嘗試訪問和訪問特權以及其余安全性操作等各種不同信息進行收集。審核各種信息后，注入到日志中，對于日后分析各種信息都非常有幫助，日志對于調試WEB應用程序的協助也非常有幫助，如果沒有日志，只能單一地憑借判斷，會受到資源的拒絕訪問[4]。

1.4 完整性技術

完整性技術就是刪掉或者修改數據的能力不會隨便地了出現，從而使發(fā)送和收到的信息與歷史的數據達到完全一致[5]。在可編程簽名的數據內，應用該技術傳奇，數據哈希值（Hash value）利用編程格式進行創(chuàng)建，將其與歷史數據一同發(fā)送，所收到數據如果與哈希值（Hash value）能夠相互匹配，接收人就能夠將數據掌握，并且沒有一點改變出現。

1.5 安全保密技術

安全保密技術將沒用經過授權所使用的用戶信息進行隱藏，采用的大部分是加密的技術，用戶之間能夠將機密信息進行發(fā)送，但是，這些消息其余用戶即便利用網絡協議分析器也很難看到[6]。

1.6 認可技術

認可技術就是對于已經產生的操作進行證明，在進行操作的過程中，將無端的拒絕進行預防，將授權訪問、身份驗證、完整性數據以及安全審核提供給認可計劃的完整性，對于電子商務發(fā)展具有至關重要的現實意義。

2 WEB應用程序安全設計的方法

2.1 確定的威脅

對于WEB應用程序信息和產品以及有關的業(yè)務需求進行有效的收集，必須要將設計說明和結構圖編出來，在收集完成任務以后，就是對WEB應用程序安全性威脅設計的確定，應該根據商業(yè)風險的執(zhí)行進行威脅的界定，當不斷地增加商業(yè)風險時，威脅的影響就會變大[7]。

2.2 識別受到保護的資源

分析WEB應用程序威脅時，首先，應該對說明書和設計規(guī)格里遭遇的襲擊資源進行有效的識別，有一部分在各個組織里受到了保護，遭受潛伏攻擊資源就會避開。對于WEB站點的訪問，網絡上的任何人都可以進行，但是，使用網絡站點里資源，不同程度的威脅感染都容易遭受。

2.3 風險計算與威脅先后順序的區(qū)分

識別WEB應用程序威脅以后，對于每一種不同的威脅成本，應該清楚地進行避免，將該成本與受保護資源價值進行比較，對于威脅前后次序比較方便。將出現某單個威脅幾率與該威脅的乘積所遭受的影響進行識別和掌握，也就是對影響的了解和掌握。

2.4 評估威脅利用安全性措施

安全性措施能夠有效地滿足電腦網絡需求度的保護需求，能夠保護信息的有效性和機密性以及完整性，同時監(jiān)測安全性的響應和事故以及預防過程也包括在內，在對WEB應用程序的安全性設計和規(guī)劃的過程中，為可靠框架結構得以實現進行了提供。

2.5 選擇安全性技術

防御引起相對的特殊威脅時，只對一種技術進行應用時，安全性的疏漏容易出現，所以，在對安全性技術使用進行選擇時，正解性非常重要。對應用不同類型的技術進行選擇，對于應用于防御威脅所用的決策是否切實可行必須要清楚，再結合決策的制定對技術進行選擇。

2.6 加強設計安全服務，減輕風險

如果想要減輕各種類型的風險，可以將安全性服務的 WEB應用程序創(chuàng)建起來，主要的目的是在安全性策略允許的界限內減輕風險[8]。在將安全性服務進行創(chuàng)建時，安全性技術可以作為一個獨立的組件進行運行，這對于降低WEB應用程序耦合性能夠起到促進的作用。

3 總結

綜上所述，本文對WEB安全有關的技術進行了介紹，分析了WEB應用程序的安全設計過程，同時，對WEB應用程序的可行性和設計方法以及應用效益進行了驗證，具有至關重要的現實意義。

[1]楊艷梅.Web應用程序安全設計及應用技術的研究[J].電子技術與軟件工程，2014.

[2]鐘文德，邱丹青.WEB應用程序安全設計及應用技術的研究[J].中國新技術新產品，2014.

[3]吳羽翔.基于模塊化設計的Web應用程序漏洞利用框架研究與開發(fā)[J].計算機光盤軟件與應用，2014.

[4]許巖波.Web應用防火墻站點安全與雙機熱備模塊設計與實現[D].北京交通大學，2013.

[5]栗國斌.基于灰盒測試的 Web應用程序安全漏洞檢測[D].北京化工大學，2013.

[6]閆波波.Web應用安全滲透測試工具的設計與實現[D].天津大學，2012.

[7]劉鵬.PHPWeb應用程序安全性研究及安全漏洞檢測工具開發(fā)[D].西安電子科技大學，2012.

[8]趙博.基于靜態(tài)代碼分析的Web應用安全漏洞檢測系統的設計與實現[D].北京郵電大學，2012.