基于安全環的一站式Web應用安全防范研究

陳英杰 李世武

摘要：由于網絡技術日趨成熟，黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊。提出基于安全環的技術，不僅從軟件研發的生命周期保障了Web應用的安全，同時基于等級保護，從應用安全、安全建設管理及安全運維管理幾個方面引入了對Web應用系統的一站式安全防護，Web應用系統從需求設計開始，到系統上線達到信息系統相應等級的保護能力，通過滲透測試、安全加固、定時巡檢、實時監測、安全通告及攻擊溯源形成安全環路提高Web應用系統的整體防護能力。

關鍵詞：信息安全等級保護；Web應用；安全環；一站式；安全防范

中圖分類號：TP393.08文獻標志碼：A文章編號：1008-1739（2019）06-69-4

0引言

據最新調查，信息安全有75%都發生在Web應用而非網絡層面。根據CNCERT發布的《2017年我國互聯網網絡安全態勢綜述》，應用程序漏洞占比59.2%。為了防御Web應用安全風險，本文提出構建安全環，覆蓋應用安全的整個生命周期，建立和使用可重復的流程和安全控制；同時基于等級保護，從網絡安全、主機安全、應用安全、安全建設管理以及安全運維管理幾個方面引入了對Web應用系統的一站式安全防護，從Web應用系統需求設計開始，到系統上線，使信息系統達到相應等級的保護能力，提高Web應用系統的整體防護能力。

1基于安全環保障Web應用安全

1.1軟件安全需求和設計

軟件安全需求和設計是開發Web應用系統的基礎。不僅從用戶的角度出發考慮系統的功能，同時從攻擊者的角度出發考慮系統的漏洞。在風險分析的基礎上，定性分析系統的脆弱點和可能遭受的安全威脅，同時對脆弱點和安全威脅進行定量分析。根據安全需求確定安全目標，對初步風險評估確定的控制措施具體技術實現進行安全設計。安全概要設計要考慮安全體系結構設計、各功能塊間的處理流程、與其他功能的關系、安全協議設計以及安全接口設計等。詳細設計階段為安全功能的程序設計階段。從軟件的功能、API、接口、資源及數據存儲等受攻擊面的角度進行安全的設計。安全設計遵循最小特權、權限分離、最小共享、完全中立、心理可接受、默認故障處理、經濟機制、不信任、縱深防御、保護最薄弱的環節、公開設計、隱私保護與攻擊面最小化等原則，消除假冒、篡改、抵賴、信息泄露、拒絕服務和特權提升等威脅。

1.2軟件安全實現保障Web應用安全

1.2.1嚴格遵循安全編碼準則

嚴格遵循驗證輸入、避免緩沖區溢出、程序內部安全、安全調用組件和禁用有風險的函數等通用安全準則，具體包括：驗證輸入包括命令行、環境變量、文件、網絡和其他來源；在避免緩沖區溢出上，使用替代的安全函數或數據庫，使用安全的變異環境，打開具有安全防御機制的安全編譯選項，不在堆棧上執行代碼；程序內部安全通過進行內部接口數據的檢查，異常安全處理、最小化反饋、避免拒絕服務攻擊、避免競爭條件以及安全使用臨時文件等進行保障；安全調用組件主要從組件安全和返回值安全進行考慮，禁用有風險的函數，例如禁止使用s， _getws， _getts等函數。

1.2.2軟件安全編譯安全因素

在編譯環境安全方面：使用最新版本編譯器與支持工具、采用可靠的編譯工具以及使用編譯器內置防御特性；在運行環境的安全方面：將軟件運行環境基于較新版本的系統。

1.2.3源代碼安全測試在編碼階段找出可能存在的安全風險

在Web應用開發過程的編碼階段、測試階段和交付驗收階段，對各階段系統源代碼進行安全審計，利用數據流分析引擎、語義分析引擎以及控制流分析引擎等技術，采用專業的源代碼安全審計工具以及人工參與的方式對源代碼安全問題進行分析、檢測并驗證，從而對源代碼安全漏洞（注入缺陷及驗證、跨站腳本漏洞、文件包含漏洞、命令執行漏洞、文件上傳漏洞、應用程序編程接口錯誤、訪問控制及密碼失效、資源共享與競爭、異常處理、代碼風格與質量、邊界處理以及配置錯誤）進行定級，給出安全漏洞分析報告等，幫助軟件開發的管理人員統計和分析當前階段軟件安全的風險、趨勢，跟蹤和定位軟件安全漏洞，提供軟件安全質量方面的真實狀態信息。

1.3 Web應用運行時存在的安全漏洞

1.3.1漏洞掃描

對Web應用業務系統進行漏洞安全掃描，通過設備掃描以及人工驗證的方式判斷被掃描系統是否存在安全風險。掃描結果匯總成安全掃描報告和漏洞管理臺賬，在完成漏洞整改后對整改結果進行設備掃描與人工驗證確認并形成漏洞修復情況復掃報告。漏洞掃描從風險發現，到漏洞確認、漏洞修復，最后至漏洞管理形成一個閉環，降低各種事件帶來的損失和風險。

1.3.2滲透測試

由專業安全人員模擬入侵者的常見手段對Web應用程序發起模擬入侵過程，高強度的檢測Web應用程序安全漏洞，并提供安全漏洞修補建議。滲透測試包括身份認證測試、授權管理測試、數據驗證測試、可用性測試、配置管理測試和后門測試。身份認證測試，檢查是否滿足安全設計要求中的身份認證要求，檢查是否存在密碼被破解、登錄被回放、登錄被繞過的缺陷，確保登錄驗證安全有效。授權管理測試，檢查該頁面是否滿足安全設計要求中的訪問控制要求，檢查用戶在未授權的情況下是否成功辦理需要授權的業務。數據驗證測試，檢查是否滿足安全設計要求中輸入驗證的要求，確保應用系統正常顯示業務辦理信息?？捎眯詼y試，檢查系統是否存在帳號鎖定設計缺陷及應用拒絕服務缺陷。配置管理測試，檢查存在中間件配置缺陷導致的應用系統漏洞。后門測試，檢查應用系統各頁面是否存在后門程序。

1.4軟件開發的整個過程進行安全培訓

在軟件開發整個過程中，都要對開發人員進行安全培訓。培訓內容包括：對環境、網絡、代碼、文檔等方面的管理、配置管理、安全設計、安全編程以及安全測試等。

2 Web應用一站式安全防范

針對Web應用的安全防護，基于安全實踐，圍繞Web應用生命周期，從建設開始，基于等級保護進行安全建設，經過安全測試上線后進行等級測評工作，輔以日常運維（配置核查、安全加固與安全巡檢）、監測審計（信息通報、態勢感知與實施監測）等安全服務形式，以安全環的角度提供一站式安全服務，實現Web應用業務安全目標。

2.1等級測評

Web應用安全建設管理，涵蓋了軟件安全需求和設計、軟件安全實現、軟件安全保障以及軟件開發過程的培訓，覆蓋Web應用的整個生命周期，必須按照信息安全等級保護的要求，從物理安全、網絡安全、主機安全、應用安全、數據安全和安全管理方面進行合規性檢查。

2.2配置核查

對于Web應用系統從身份認證、授權管理和責任認定3個方面對應用系統進行檢查并加固。在身份認證方面一般都應用數字證書，利用秘鑰和口令2種鑒別因子。在授權管理方面，采用三權分立方式，依據安全策略控制，用戶對文件、數據庫表等客體訪問的同時，限制默認帳戶的訪問權限，使授權用戶具有最小權限并設置敏感標志。責任認定方面，建立審計系統，同時引入數字簽名技術，保證用戶操作行為的不可抵賴性。引入數據加密技術對數據表中的敏感數據進行加密，防止數據庫系統管理員非法修改數據，保證數據的完整性和保密性。同時建議搭建Web應用防火墻對應用系統進行保護，更好地防止跨站腳本攻擊、SQL注入、緩沖區溢出以及拒絕服務攻擊等Web應用的攻擊，具體配置核查指標項參照等級保護應用安全測評項。

2.3安全加固

安全加固分為主機系統安全加固、安全通信機制、業務系統安全、安全監控和管理以及安全訪問控制。其中，業務系統安全加固不僅針對安全建設中軟件安全測試發現的安全漏洞進行加固，同時需要按照等級保護要求中應用安全的合規性進行加固，在滿足安全基線要求基礎上通過采用優化配置、調整安全策略、安裝補丁及安裝安全軟件等方式，在盡量不影響修補加固對象原有功能和性能的基礎上，解決在滲透測試中發現的安全問題，修補其中存在的漏洞，保證Web應用不存在高風險和中風險漏洞，同時針對控制點中的測評項不符合和部分符合項進行修改，實現Web應用加固。

2.4態勢感知

以系統日志、網絡流量等為抓手，建立態勢感知平臺，實時捕獲異常，進行安全事件的跟蹤與分析，動態感知和網絡攻擊可視化，真正做到安全防護的深度發現，給出準確有效的防護建議。通過分析網絡攻擊日志、網絡流量和事件響應實現攻擊主機溯源、攻擊者溯源以及攻擊組織機構溯源并進行有效的防護，具體技術參數如表1所示。

2.5安全巡檢

通過對Web應用系統的安全運行情況進行定期巡檢，包括Web應用系統所在操作系統巡檢和Web應用系統巡檢。了解當前Web應用系統和服務器的安全狀況，并對安全問題進行處理，具體巡檢內容如表2所示。

2.6安全通告

信息安全通告預警服務通過及時通告最新的信息安全發展動態，提供第一時間的安全預警，對Web應用進行補丁升級和配置加固，防患于未然。通告內容包括主機安全（涵蓋系統漏洞安全通告：操作系統和數據庫、病毒預警安全通告）、應用安全（應用漏洞安全通告、Web應用安全預警）。其中Web應用程序的漏洞除安全編碼存在問題外，目前主要集中在應用開發框架、開發語言、CMS程序、Web組件、Web容器及版本控制系統等方面，一旦發現問題，及時升級修補和更改配置，保證Web應用安全。

2.7實時監測

24 h Web應用實時安全監測包括安全漏洞監測（SQL注入、XSS漏洞、CSRF漏洞、CGI漏洞、Web漏洞）和安全事件監測（網頁木馬、暗鏈）與可用性監測，用戶無需干預即可實現對Web應用的周期化、自動化安全監測、網絡安全專家定期對被監測Web應用中的風險狀態進行匯總分析并提交報告，對B/S架構的Web系統提供安全事件的主動監控服務，通過預警系統和事件監控運維人員7*24 h的配合，及時監測到Web應用出現的最新安全事件，使得客戶及時處理發生的安全事件，降低各種事件帶來的損失和風險。具體內容包括Web應用訪問不可達事件監測、Web應用篡改事件監測、Web應用掛馬病毒事件監測、Web應用暗鏈事件監測、被黑統計信息事件監測、24 h Web應用攻擊事件監測和溯源。

3結束語

根據當前信息安全事件，網絡攻擊逐漸從對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上。本文基于安全環，覆蓋Web應用的整個生命周期，同時基于等保思想，從應用安全、安全建設管理、安全運維管理幾個方面引入了對Web應用系統的一站式安全防護，在信息系統達到相應等級的保護能力基礎上，通過滲透測試、安全加固、定時巡檢、實時監測、安全通告、攻擊溯源形成安全環路，提高Web應用系統的整體防護能力。

參考文獻

[1]許曉馮.Web應用系統的安全威脅及其防護[J].江蘇：信息化研究，2009，35（12）：1-3.

[2]李冬冬.基于等級保護思想的信息平臺安全研究與實現[J].網絡安全技術與應用，2015（5）：75，79.

[3]周超.基于等級保護制度的網絡信息安全保障研究與實踐[J].上海信息化，2014（12）：58-60.

[4]吳蘭.Web應用系統的滲透測試研究[J].電腦編程技巧與維護，2013（12）：111-112.