安全设计在WEB应用程序的研究

◆代俊雅

（北京理工大学珠海学院计算机学院 广东 519088）

安全设计在WEB应用程序的研究

◆代俊雅

（北京理工大学珠海学院计算机学院 广东 519088）

计算机网络技术随着科学技术的发展也在快速地发展，电子商务也在不断地完善和发展，在开发软件系统应用程序的领域中，占有了很大的比重。从当前来看，发展网络安全方面相关的研究，在各种安全的技术上应用都比较广泛。但是，对于程序中的软件设计者，如何提升应用 WEB程度的安全性，对研究的工作者相对还比较少，在全球化网络环境的普及下，怎样使网络安全环境的稳定能够得以保证，必须要利用安全设计。

安全设计；网络；WEB应用程序

0 前言

最近几年，计算机通信的技术发展很快，网络购物和办公以及支付等已经得到了普遍应用，在互联网上，许多的事情已经在逐步地变为现实，但是，互联网在现代化中，还是一个比较危险的环境[1]。为了使现代企业应用程序得以有效的保护，必须要有控制的措施和安全性的策略。

1 WEB安全的相关技术

1.1 身份验证技术

身份验证技术是一个实体的过程，就是一个主体对于另外一个主体有无确实的确认。在这个过程中，客户身份的使用也是一个主体，在WEB应用程序中，验证身份会以各种的异同位置出现，对于WEB应用程序，用户进行连接时，WEB服务器能够验证用户身份；WEB应用程序中，如果将WEB页调为com+组件时，该组件也可以验证用户身份[2]。

1.2 授权技术

授权技术就是在验证身份后，主体所需要访问的一部分资源，能够通过检查验证的身份主体将它所请求资源进行有效的访问，从而将该主体访问的权限进行决定。主要由比较主体和访问控制信息两个方面决定访问的权限[3]。

1.3 安全审核技术

审核是有效地将尝试访问和访问特权以及其余安全性操作等各种不同信息进行收集。审核各种信息后，注入到日志中，对于日后分析各种信息都非常有帮助，日志对于调试WEB应用程序的协助也非常有帮助，如果没有日志，只能单一地凭借判断，会受到资源的拒绝访问[4]。

1.4 完整性技术

完整性技术就是删掉或者修改数据的能力不会随便地了出现，从而使发送和收到的信息与历史的数据达到完全一致[5]。在可编程签名的数据内，应用该技术传奇，数据哈希值（Hash value）利用编程格式进行创建，将其与历史数据一同发送，所收到数据如果与哈希值（Hash value）能够相互匹配，接收人就能够将数据掌握，并且没有一点改变出现。

1.5 安全保密技术

安全保密技术将没用经过授权所使用的用户信息进行隐藏，采用的大部分是加密的技术，用户之间能够将机密信息进行发送，但是，这些消息其余用户即便利用网络协议分析器也很难看到[6]。

1.6 认可技术

认可技术就是对于已经产生的操作进行证明，在进行操作的过程中，将无端的拒绝进行预防，将授权访问、身份验证、完整性数据以及安全审核提供给认可计划的完整性，对于电子商务发展具有至关重要的现实意义。

2 WEB应用程序安全设计的方法

2.1 确定的威胁

对于WEB应用程序信息和产品以及有关的业务需求进行有效的收集，必须要将设计说明和结构图编出来，在收集完成任务以后，就是对WEB应用程序安全性威胁设计的确定，应该根据商业风险的执行进行威胁的界定，当不断地增加商业风险时，威胁的影响就会变大[7]。

2.2 识别受到保护的资源

分析WEB应用程序威胁时，首先，应该对说明书和设计规格里遭遇的袭击资源进行有效的识别，有一部分在各个组织里受到了保护，遭受潜伏攻击资源就会避开。对于WEB站点的访问，网络上的任何人都可以进行，但是，使用网络站点里资源，不同程度的威胁感染都容易遭受。

2.3 风险计算与威胁先后顺序的区分

识别WEB应用程序威胁以后，对于每一种不同的威胁成本，应该清楚地进行避免，将该成本与受保护资源价值进行比较，对于威胁前后次序比较方便。将出现某单个威胁几率与该威胁的乘积所遭受的影响进行识别和掌握，也就是对影响的了解和掌握。

2.4 评估威胁利用安全性措施

安全性措施能够有效地满足电脑网络需求度的保护需求，能够保护信息的有效性和机密性以及完整性，同时监测安全性的响应和事故以及预防过程也包括在内，在对WEB应用程序的安全性设计和规划的过程中，为可靠框架结构得以实现进行了提供。

2.5 选择安全性技术

防御引起相对的特殊威胁时，只对一种技术进行应用时，安全性的疏漏容易出现，所以，在对安全性技术使用进行选择时，正解性非常重要。对应用不同类型的技术进行选择，对于应用于防御威胁所用的决策是否切实可行必须要清楚，再结合决策的制定对技术进行选择。

2.6 加强设计安全服务，减轻风险

如果想要减轻各种类型的风险，可以将安全性服务的 WEB应用程序创建起来，主要的目的是在安全性策略允许的界限内减轻风险[8]。在将安全性服务进行创建时，安全性技术可以作为一个独立的组件进行运行，这对于降低WEB应用程序耦合性能够起到促进的作用。

3 总结

综上所述，本文对WEB安全有关的技术进行了介绍，分析了WEB应用程序的安全设计过程，同时，对WEB应用程序的可行性和设计方法以及应用效益进行了验证，具有至关重要的现实意义。

[1]杨艳梅.Web应用程序安全设计及应用技术的研究[J].电子技术与软件工程，2014.

[2]钟文德，邱丹青.WEB应用程序安全设计及应用技术的研究[J].中国新技术新产品，2014.

[3]吴羽翔.基于模块化设计的Web应用程序漏洞利用框架研究与开发[J].计算机光盘软件与应用，2014.

[4]许岩波.Web应用防火墙站点安全与双机热备模块设计与实现[D].北京交通大学，2013.

[5]栗国斌.基于灰盒测试的 Web应用程序安全漏洞检测[D].北京化工大学，2013.

[6]闫波波.Web应用安全渗透测试工具的设计与实现[D].天津大学，2012.

[7]刘鹏.PHPWeb应用程序安全性研究及安全漏洞检测工具开发[D].西安电子科技大学，2012.

[8]赵博.基于静态代码分析的Web应用安全漏洞检测系统的设计与实现[D].北京邮电大学，2012.