Web应用的安全现状与防护技术研究

随着互联网技术的发展,Web技术得到了日益广泛的应用,越来越多基于Web应用的系统被部署在互联网上以提供各式各样的服务,由于互联网本身的开放性使其时刻面临着潜在恶意攻击,其安全性问题日益突出。在这样的背景下,进行Web应用安全现状与防护技术的研究具有很强的现实意义,为了提高Web安全性,建立健全Web防护体系,这里从客户端、服务器端和传输三方面对当今Web应用所面临的安全成胁进行了系统地分析,并针对各自面临的常见安全威胁提出了相应的安全防护方案和防护建议。     

一种在高校校园网中网页防篡改系统的设计

高校校园网中的Web应用已经成为校园数字应用整合的平台,Web服务器因具有门户网站的价值成为了网络攻击的重要目标。本设计搭建的针对高校校园网中网页防篡改系统包括Web安全、应用交付、DDo S防护、网页防篡改等功能模块,专门针对Web应用攻击设计的,用于保护Web应用系统不受这些攻击的影响,很好地保护了Web应用的安全。     

Web应用系统的安全威胁及其防护

对Web应用系统的安全威胁进行了分析,提出了相应的Web安全防护措施。现阶段的安全解决方案均把重点放在网络层,当应用层被攻击（如SQL（结构查询语言）注入攻击、跨站脚本攻击、恶意代码等）时,传统的网络层安全设备,如防火墙、IDS（入侵检测系统）／IPS（入侵防御系统）等形同虚设,无能力阻挡攻击。文中注重分析在众多因素综合影响下,使Web应用潜在的隐患轻易暴露在互联网之下,承受较大的风险,并且叙述了服务器端和客户端的安全防护技术。     

Web应用漏洞分析及防御解决方案研究

Web技术在网络上的广泛应用,使得Web网站系统时刻都在遭受着各种攻击与入侵,网络上越来越泛滥的各种垃圾邮件、网络欺诈或诱骗钓鱼软件及盗号木马程序更加剧了网络用户在进行安全防护方面的困难,Web应用安全面临的问题与挑战日益严峻。针对当前常见的SQL注入与溢出、ASP攻击与破坏,列举Web应用程序不同的入侵漏洞及造成的危害程度,详细分析了应用程序代码存在的不足及防范措施,从代码设计上提出解决漏洞修补的安全技术与方法,总结出一套完整的Web应用防攻击解决方案,得出在Web应用漏洞方面防御时重点关注的几项关键内容,确保整个网络应用服务系统的安全运行。     

PKI/CA技术在PDS系统中的实现与部署

随着企业信息化建设的不断推进,PDS系统已经成为国防军工企业战略发展的重要组成部分。为了解决PDS系统安全性问题,结合PDS系统业务应用的现状,这里以国际通用先进的信息安全技术为参考,依据安全等级防护标准和信息安全技术的研究,提出了采用PKI公钥基础设施为PDS系统提供安全支撑的技术思路及实现部署方案。并从方案的改造原理、改造效果、改造内容等多个角度对提出的方案进行了说明,此实现部署方案在实际信息安全访问控制中具有可靠性和有效性,为PKI_CA技术在国防军工PDS系统的安全应用提供了一个可借鉴的方法和思路。     

Web应用系统软件信息安全技术研究

探讨了Web应用系统安全攻击和漏洞检测技术,分析了几种主要的Web安全防护技术,开发了Web应用系统的安全性检测软件.实践表明,提高Web应用系统的安全性具有现实意义,可以减少因Web应用漏洞而对网络系统带来的安全问题.     

基于日志内容的Web系统评价

近年来随着计算机网络技术的迅猛发展,Web系统的应用渗入到社会的各个领域,在Web系统规模不断扩大的同时其复杂性也变得越来越高.由于Web应用系统具有异构、分布、并发和平台无关的特点.因此,对Web应用系统的软件质量管理,具有其特殊性.提出了一个针对Web应用系统质量评估的新方法,该方法利用Web系统日志文件中提取吞吐量和并发用户数目等相关信息,通过对这些信息的研究、分析、处理,得出对该Web应用系统的质量评价.     

移动通信网络应用系统安全框架设计

文中针对移动通信网络应用系统特点及可能受到的主动攻击和被动攻击两大类安全威胁进行分析,提出六类安全防护措施,设计了一种基于密码技术的安全框架,依托安全模块提供的数字签名、认证鉴别、加密解密等密码服务,实现接入层、网络层、传输层、应用层的安全应用,保证应用系统传输信息的机密性、完整性、可用性、可控性和不可否认性,为移动通信网络应用系统提供安全支撑,满足安全需求.     

WAF在公司网站安全防护中的部署与应用

随着信息技术的广泛应用，Web应用攻击的形式与方法更加多样，WAF作为专门为Web应用提供保护的工具，已成为网络安全防护中的第一道防线。文中介绍了WAF的特点和工作原理，同时对WAF的选型和部署应用进行了阐述。     

一种支持迁移的Web服务安全防护机制

SOA是一种标准化接口的分布式计算模型,基于Web服务平台无关性的特点允许服务功能通过动态组合支撑不同种类的应用业务,但是服务运行的动态性、复杂性和跨组织的松耦合性使服务系统面临严重的攻击威胁。针对分布式环境中服务全生命周期安全防护的应用需求,提出了一种可迁移的Web服务安全防护方法,不仅能够在服务节点正常运行过程中通过安全防护模块支撑服务的认证、访问控制和攻击检测,而且能够对服务迁移的全过程进行安全增强,实现无缝的安全防护能力,为安全服务环境的设计完善提供了一种可行思路。     

基于RASP的Web安全检测方法

目前,传统的Web安全检测方法作用于程序输入输出端,不能防范经变形混淆后绕过检测进入程序内部执行的恶意代码,难以满足当前Web应用安全防护新需求。本方法基于对传统数据流监控方法风险的深入分析,结合RASP技术特性,提出了基于RASP的Web安全检测方法,在Web应用程序内部的权限判别函数参数、系统命令执行函数参数、数据库操作函数参数处埋下 RASP 探针,在代码解释器层面实时检测数据流的变化。本方法基于Java语言进行了实现,在实验室证明该方法在准确率和检测时间上优于传统的Web安全检测方法,并在最后分析提出了本方法的部署和应用场景。     

基于等级保护的政府Web应用安全建设实践

近年来,在公安部等部门推动下,国家信息安全等级保护制度正逐步得到落实。作为重要信息系统之一的国家机关和重要省市门户网站以及基于Web应用的业务系统,等级保护的安全级别原则上定为三级或四级,这些系统在受到攻击后将极大地影响政府和公众用户,给政府的政务形象、信息网络和核心业务造成严重的破坏。文中结合信息安全等级保护的相关政策以及制度要求,以三级Web应用安全建设为例进行了探讨分析。     

基于Web应用的网络安全漏洞发现与研究

随着Web应用系统的不断普及,越来越多的网络安全漏洞被发现,给人们的工作和生活都造成了极大的威胁。Web安全漏洞可以分成基于Web应用的网络安全漏洞和基于Web平台的网络安全漏洞两种。文章通过阐述这两种网络安全漏洞的现状及安全误区,总结几种常见的安全漏洞攻击方法,并提出有效措施以防范黑客攻击漏洞,维护网络系统的安全。     

Web Services安全机制研究

Web Services作为实现SOA的主流技术标准,得到了广泛应用,其安全性值得高度关注。基于WS-Security标准,对Web Services的安全机制进行了研究,对Web Services安全防护的功能、遵循的标准进行了分析,并结合工程实践,从身份识别、SOAP消息安全防护和访问控制等方面提出了Web Services安全防护的实现方案,可以实现核心的安全防护功能,对基于Web Services技术架构的系统安全防护具有指导意义。     

Ajax应用安全研究

Ajax可为Web应用提供丰富的事件和语义操作,正在成为互联网应用和企业信息系统开发的一种革命性技术。但是,如果对采用Ajax技术而导致Web应用体系结构的变化所引起的安全风险没有足够的重视,Ajax技术将可能使Web应用引入更多的内在安全风险。文中通过对Ajax技术原理的综述,分析了Ajax技术的安全隐患及其可能导致的各种安全漏洞,提出了Ajax应用的安全开发原则,最后讨论了支持Ajax应用安全评测的软件工具。     

云计算安全中密码技术应用模型研究

首先简要分析了云计算的工作原理及可能带来的安全隐患,在此基础上探讨了云计算环境下的安全架构,并给出了密码技术的应用途径。其次,从云计算环境下的安全系统工作流程这个维度,结合密码学理论、云计算安全架构给出了在云计算安全中密码技术的应用模型。最后,归纳出基于该模型的云计算环境中密码应用技术及其发展趋势,为密码技术应用于云计算安全中提供可用的解决思路。     

电子政务业务应用系统的安全问题及解决方案

本首先分析了电子政务业务应用系统面临的安全问题，然后介绍了一个正在建设的国家级电子政务业务应用系统的安全解决方案框架，这个框架设计是严格按照电子政务业务应用系统的需求和国家电子政务业务系统的安全要求而设计的，考虑了电子政务工程跨不同的信息安全域和网络信任域的实际情况，因此具有一定的推广意义。     

基于语义网的智能多代理安全机制探讨

语义网扩展了传统网络在信息语义上的理解,智能多代理系统作为语义网的一种部署方案也具有广泛的应用前景。本文探讨了语义网智能多代理系统面临的安全威胁,指出了由于其特点所引发的新的安全问题,以及如何建立和完善其安全机制和安全策略。