以WEB为基础探讨系统防御框架的构建

0 引言

我国科学技术不断发展的同时，信息化建设也呈现出迅猛发展的趋势，计算机网络技术的应用范围也越来越广泛，相应的基础设施也越来越多，硬件设备和软件技术都在不断提高。在技术进步的基础上，以动态WEB技术为基础的网络应用系统在社会各行各业中正普遍被应用，在给生产企业带来便利的同时，也产生了一定的安全问题。为了保证企业的信息安全，建立牢固的安全防御框架具有重要意义。所以，本文就在WEB网络技术的基础上，对网络应用系统安全防御框架从缺陷和实施的关键技术进行了如下讨论。

1 WEB网络应用系统中的安全问题现状及主要表现

WEB网络应用系统中的安全问题主要是由 WEB技术的特点所导致的，因为其本身具有极大的开放性、交互性和虚拟性等特点，所以存在很多安全隐患，具体表现在：系统开发环境不稳定、关联性较强、用户自身安全保护意识不足、系统属性有待完善和不确定因素多等5个方面，下面一一对其进行分析。

1.1 WEB网络应用系统的开发环境稳定性不足

这一安全问题就是指系统开发环境的机制和安全策略不足。例如，在使用各种WEB语言，比如JAVA、PHP和Android等开发语言来编写程序代码时，极易发生拒绝服务的攻击问题。当服务被拒绝攻击时，Http的请求就会大大增加服务器中CPU的使用率，使WEB服务器的使用率在几小时内就达到99%，甚至在几分钟中内就达到。

1.2 WEB网络应用系统具有很强的服务关联性

WEB应用服务器在受到攻击之后，攻击者就会利用它进入企业的内部网络，获取关键信息或进行破坏。这是因为，WEB网络应用系统提供的服务和其他毒物之间具有非常密切的联系，所以一旦WEB服务器被攻击，其本身的访问权限就会受到控制，并对系统内部其他的数据库服务器进行访问控制或者攻击。

1.3 WEB网络应用系统用户的自身安全保护意识不足

从笔者多年的工作经验可知，WEB网络应用系统的用户大多缺乏专业的安全知识，所以对于WEB网络应用系统的安全防范的概念没有足够的认识，对其重视度不高，不能及时根据相关的知识和技术来采取安全防护措施来保障数据安全，消除安全隐患，是WEB网络应用系统中导致安全问题的重要因素之一。

1.4 WEB网络应用系统的自身属性有待进一步完善

在WEB网络应用系统中，底层软件具有复杂性，所以也容易产生安全问题。与此同时，该系统服务器的操作系统、网络结构和数据库等技术也存在很多安全漏洞，如果这些漏洞被恶意利用，就会导致信息泄露或者恶意攻击等安全事故的发生，这些都是由其自身系统不完善所导致的。

1.5 WEB网络应用系统存在很多不确定因素

WEB应用系统中的信息交流具有很强的交互性，属于双向流通，其所包含的文本、图像、录音、视频等信息和传统的单一信息有很大的区别，所以也更加容易受到攻击。这种开放式交互环境中涉及的安全需求和封闭环境中的安全需求不同。

WEB网络应用系统安全隐患的具体表现，主要包括以下几个方面：①信息访问存在漏洞。访问控制的主要目的是为了使合法用户能够通过认证授权，预防非法用户未经过授权就对应用系统信息资源进行访问。因为应用系统认证方式较为单一，极易出现口令猜测等一系列不良状况，同时个人身份证信息环节处于薄弱状态，导致恶意攻击能够十分容易的获取相关机密文件。②资源非法使用。恶意用户可以通过对管理员账户密码进行盗取，然后访问一些无访问权限的网页信息，并对网页中的信息数据进行修改、破坏以及非法传播。同时，网络上流传的一系列恶意代码对于网络应用系统安全也产生了巨大威胁。③用户权限过高。就目前来看，知识经济时代背景下，网络信息技术呈现迅猛的发展趋势，在对网络系统进行组建的时候主要考虑的是网络结构及其功能，对于安全问题的考虑比较欠缺；随着网络应用系统功能越来越强大，用户使用权限管理也有了较大幅度的提升，网络管理人员拥有网络系统高级权限，可以随意进行操作，这就造成简单授权访问方式受到一定的制约。一旦用户具备的权限过高时，就会对机密数据的安全性构成威胁，导致网络环境失去安全导向。

2 WEB网络应用系统构建安全防御框架的主要技术

2.1 加强对访问权限的设置

采取这一措施的主要目的就是利用对用户访问权限来控制他们的访问和可执行程度。由于用户的访问权利和职责范围不同，系统的安全管理员就可以在此基础上，为他们制定不同的用户操作策略，明确他们的访问目录、文件、程度、服务、端口和设备等，根据他们完成任务的需要，只给予他们最小的访问权限来完成任务即可。

2.2 建立身份认证和平台认证系统

这一技术包括两方面的措施，首先就是认证用户的具体身份。具体来说就是为用户建立专门的身份识别码、证书和私人钥匙，并在这些凭证的基础上来建立保障安全操作的内核和可靠的访问路径，只需要完成身份认证，就可以进入到相应的终端中。另一方面就是对平台进行认证。这一过程主要是利用服务器的防火墙来完成的。安全管理员只需要对终端的授权进行维护就可以对服务器进行访问。如果将身份认证和平台认证结合起来，就能够将未经授权接入的内部网络终端和不安全的内部网络终端孤立起来，保证终端接入的安全。

2.3 充分运用可信度量技术

该技术可以对脚本或者程序进行检验和验证，破坏或者阻断恶意代码的趁虚而入及传播，具体表现在如下三个方面。第一，如果用户申请运行某一个脚本或程序，安全操作系统内核就可以马上获取该请求，并对该请求进行专业的安全分析，检测其是否在“用户执行程序列表”中，否则拒绝该程序运行。第二，在第一次启动可信度量模块计算程序和代码时，相关文件摘要值一定要上报给管理中心，将其作为安全管理的策略基础，然后将最终实行的安全管理值进行统一管理和分发。第三，在第二次运行可信度量程序时，度量模块将验证计算值与存储值是否一致。如果一致，则认为程序或代码是可信的，从而允许启动，否则拒绝其运行。

2.4 增强对网络攻击的保护力度

在WEB环境中，网络应用系统有很多表现形式，包括拒绝服务、SQL 注入、跨站脚本和缓冲器溢出等。如果要对应用系统建立单个的安全防御框架，就需要将软件和硬件充分结合起来，为应用系统的服务提供最大程度的安全保障。

2.5 对WEB网络应用系统进行安全审计

我们可以充分利用网络安全审计制度来为系统的安全运行提供保障，对授权人员的操作行为在安全管理中心进行备案，建立责任追究制度，这样即便出现安全事故，也有证可查。与此同时，进行安全审计还有利于监控非授权人员的攻击行为，并进行实时记录，便于追踪审查。

2.6 养成容灾备份的习惯

根据容灾备份系统对灾难的抵抗程度，可分为数据容灾备份和应用容灾备份。数据容灾备份是指实时复制原系统关键应用数据。应用容灾备份是指在异地建立一套完整的、与本地数据系统相当的备份应用系统。在灾难出现后，远程应用系统迅速接管或承担本地应用系统的业务运行。

3 结束语

综上所述，WEB网络应用系统由于自身的属性和特点，导致其存在诸多安全隐患，为了提出针对性的措施来解决，本文从系统开发环境不稳定、关联性较强、用户自身安全保护意识不足、系统属性有待完善和不确定因素多等五个方面对系统中存在的安全问题进行了阐述，然后从加强对访问权限的设置、建立身份认证和平台认证系统、充分运用可信度量技术、增强对网络攻击的保护力度、进行安全审计和养成容灾备份的习惯等六个方面对其安全防御框架的建立进行了详细 讨论，希望能为大家提供参考意见。