2023年WEB网站系统安全解决方案(范文推荐)
下面是小编为大家整理的2023年WEB网站系统安全解决方案(范文推荐),供大家参考。
WEB 网站系统安全解决方案 本文从数据安全与业务逻辑安全两个角度对应用系统的安全进行需求分析,要紧包含保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包含身份认证、访问操纵、交易重复提交操纵、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。
2.1 数据安全需求 2.1.1 数据保密性需求 数据保密性要求数据只能由授权实体存取与识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包含用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常要紧表达在下列几个方面:
A.客户端与系统交互时输入的各类密码:包含系统登录密码、转账密码、凭证查询密码、凭证交易密码等务必加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。
以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码与网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统务必强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于 111111、1234567、9876543 等的简单数字序列,系统将进行检查。
网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都务必先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,因此专门设定网银转账密码可加强账户 的安全性。网银转账密码在网银开户时设定,网银用户在系统中作转账支付、理财、代缴费等资金变动类交易时使用。
柜面交易密码是指用户在银行柜面办理储蓄时,针对储蓄凭证(如卡折、存单等)而设的密码。柜面交易密码常用于 POS 系统支付时、ATM 取款时、凭证柜面取款时,柜面交易密码一个明显的特征是它目前只能是六位的数字,这是由于目前柜面密码输入设备的限制而造成的。柜面交易密码与上述的网银转账密码的区别在于:网银转账密码与系统登录密码都产生于网银系统,储存在网银系统中,仅限网银系统中认证使用;而柜面交易密码产生于银行柜台,能够在外围渠道如 ATM、电话银行、自助终端上修改,它储存在银行核心系统中,供外围各个渠道系统共同使用。另外网银转账密码能够有非数字字符构成,而柜面交易密码只能是六位的数字。网银中使用到柜面交易密码的交易包含:网银开户、加挂账户。
一次性密码由用户的智能卡、令牌卡产生,或者由动态密码系统产生通过短信方式发送到用户注册的手机上。一次性密码的作用与网银转账密码相同,适用的场合也相同。一次性密码在农商行网银系统中是可选的安全服务,用户需到柜面办理开通手续才能使用,没有开通一次性密码服务的用户务必设定网银交易密码,开通一次性密码服务的用户则无需设定网银交易密码,要求网银系统自动推断并提示用户在某个交易中是要输入网银交易密码还是提示一次性密码。
B.应用系统与其它系统进行数据交换时在特定安全需求下需进行端对端的加解密处理。这里的数据加密要紧是为了防止交易数据被银行内部人士截取利用,具体通讯加密方案参照应用系统的特定需求。
2.1.2 数据完整性需求 数据完整性要求防止非授权实体对数据进行非法修改。用户在跟应用系统进行交互时,其输入设备如键盘、鼠标等有可能被木马程序侦听,输入的数据遭到截取修改后被提交到应用系统中,如原本用户准备向 A 账户转一笔资金在交易数据遭到修改后就被转到 B 账户中了。同样的威胁还存在于交易数据的传输过程中,如在用户向应用系统提交的网络传输过程中或者应用系统跟第三方等其它系统的通讯过程中,另外存储在应用系统数据库中的数据也有可能遭到非法修改,如 SQL 注入攻击等。
2.1.3 数据可用性需求 数据可用性要求数据关于授权实体是有效、可用的,保证授权实体对数据的合法存取权利。
对数据可用性最典型的攻击就是拒绝式攻击(DoS)与分布式拒绝攻击,两者都是通过大量并发的恶意请求来占用系统资源,致使合法用户无法正常访问目标系统,如 SYN Flood 攻击等,将会直接导致其他用户无法登录系统。另外,应用登录机器人对用户的密码进行穷举攻击也会严重影响系统的可用性。
2.2 业务逻辑安全需求 业务逻辑安全要紧是为了保护应用系统的业务逻辑按照特定的规则与流程被存取及处理。
2.2.1 身份认证需求 身份认证就是确定某个个体身份的过程。系统通过身份认证过程以识别个体的用户身份,确保个体为所宣称的身份。应用系统中身份认证可分为单向身份认证与双向身份认证,单向身份认证是指应用系统对用户进行认证,而双向身份认证则指应用系统与用户进行互相认证,双向身份认证可有效防止“网络钓鱼”等假网站对真正系统的冒充。
应用服务器使用数字证书,向客户端提供身份认证,数字证书要求由权威、独立、公正的第三方机构颁发;系统为客户端提供两种可选身份认证方案,服务器端对客户端进行多重身份认证,要求充分考虑到客户端安全问题。将客户端用户身份认证与账户身份认证分开进行,在用户登录系统时,使用单点用户身份认证,在用户提交更新类、管理类交易请求时,再次对用户的操作进行认证或者对用户身份进行二次认证,以确保用户信息安全。
2.2.2 访问操纵需求 访问操纵规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以操纵。访问操纵是应用系统中的核心安全策略,它的要紧任务是保证应用系统资源不被非法访问。主体、客体与主体对客体操作的权限构成访问操纵机制的三要素。访问操纵策略能够划分为自主访问操纵、强制访问操纵与基于角色的访问操纵三种。
2.2.3 交易重复提交操纵需求 交易重复提交就是同一个交易被多次提交给应用系统。查询类的交易被重复提交将会无故占用更多的系统资源,而管理类或者金融类的交易被重复提交后,后果则会严重的多,譬如一笔转账交易被提交两次则将导致用户的账户被转出两笔相同额的资金,显然用户只想转出一笔。交易被重复提交可能是无意的,也有可能是有意的:
A.用户的误操作。在 B/S 结构中,从客户端来看,服务器端对客户端的响应总有一定的延迟,这在某些交易处理上表达的更为明显,特别是那些涉及多个系统交互、远程访问、数据库全表扫描、页面数据签名等交易,这种延迟通常都会在 5 至 7 秒以上。这时用户有可能在页面已提交的情况下,再次点击了提交按钮,这时将会造成交易被重复提交。
B.被提交的交易数据有可能被拿来作重放攻击。
应用系统务必对管理类与金融类交易提交的次数进行操纵,这种操纵即要有效的杜绝用户的误操作,还不能影响用户正常情况下对某个交易的多次提交。比如说:当某个用户在 10 秒内提交了两笔相同的转账业务,则系统务必对此进行操纵;另一方面,当用户在第一笔转账业务完成后,再作另一笔数据相同的转账时,则系统不能对此进行误操纵。这里推断的根据就是交易重复提交的操纵因子a,当交易提交的间隔小于 a 时,系统认为这是重复提交,提交间隔大于 a 的则不作处理,操纵因子的大小由应用系统业务人员决定,系统应可对其进行配置化管理。
2.2.4 异步交易处理需求 所谓异步交易就是指那些录入与提交不是同时完成的交易,这里的同时是指客户端在录入交易数据与提交交易的过程中,应用系统服务器端并没有对录入的数据进行持久化储存,而异步交易在系统处理过程中,录入与提交时间上发生在两个相分离的阶段,在两阶段之间,应用系统对录入的数据进行了持久化储存。
由于异步交易是被系统分两阶段受理的,这就涉及到下列三个方面的问题:
A. 录入与提交的关系管理。
B. 如何保证提交的数据就是用户当初录入的数据。
C. 如何记录交易在两阶段的日志状态。
录入与提交的关系定义不当将会导致交易录入与提交被同时完成而违反了业务处理流程,录入的数据被系统储存后有可能遭到非法篡改,非异步交易执行后的日志状态不可能被更新而异步交易在提交后日志状态将会被更新。
应用系统中需要定义成异步的交易通常有下列两类:
需要授权的交易。出于业务管理与业务安全方面的考虑,大部分管理类与金融类的交易都需要通过一定的授权流程后方能被提交。
部分定时交易,如预约转账等。预约一笔在周三转账的预约转账有可能是周一被录入的,用户在录入后,预约转账的数据将被网银系统储存直到周三这笔转账才会真正发生。
应用系统务必定义简单、清晰、易保护的录入与提交关系模型,保证被储存的录入数据不可能被非法篡改,同时要求异步交易的日志状态是明确的,不应出现录入与提交相矛盾的日志状态。
2.2.5 交易数据不可否认性需求 交易数据不可否认性是指应用系统的客户不能否认其所签名的数据,客户对交易数据的签名是通过应用系统使用客户的数字证书来完成的。数字证书的应用为交易数据不可否认性提供了技术支持,而电子签名法的颁布为交易数据不可否认性提供了法律基础。
在应用系统中通常要求对所有管理类与金融类的交易进行数字签名,以防客户事后对交易或者交易数据的抵赖。应用系统需同时储存客户录入的原始数据与签名后的数据,储存期限依业务部门的具体要求而定。考虑到系统性能与对用户的响应问题,应用系统可只签与交易有关的关键数据,支付类的交易只应付款人账号、付款金额、收款人姓名、收款人账号、收款人开户行五个字段进行数字签名就能够了。
2.2.6 监控与审计需求 安全级别要求高的应用系统应提供对系统进行实时监控的功能,监控的内容包含系统当前登录的用户、用户类型、用户正在访问的交易、用户登录的 IP 等。对金融类、管理类的交易与应用系统登录交易需要完整地记录用户的访问过程,记录的关键元素包含:用户登录名、登录 IP、交易日期及时间、交易名称、交易有关数据等,对有授权流程的交易要求完整记录授权的通过,授权记录与交易 记录分开存放。
2.3 其它安全需求 2.3.1 登录操纵需求 登录通常是应用系统的关键交易,系统通过登录交易对用户身份进行认证。针对不一致角色的用户指定不一致的登录策略:
最小权限集用户,可使用用户登录名+静态登录密码+图形识别码方式登录。低安全性。
普通权限集用户,可使用用户登录名+动态登录密码+数图形识别码方式登录。
高权限集用户,可使用用户登录名+数字证书+静态密码+数图形识别码方式登录。
所有权限集用户,可使用用户登录名+数字证书+动态密码+数图形识别码方式登录。
应用系统可提供客户端加密控件对用户输入的密码域进行加密处理后再提交。
连续登录多次失败的用户,其 IP 将被应用系统锁定,24 小时后系统将自动对锁定的 IP 进行解锁。这里登录失败的次数与 IP 锁定时长根据业务需求说明应由配置文件进行设定。
关于首次登录系统的用户,系统将强制定位到修改密码的页面,要求用户修改初始密码重新登录方可使用系统。关于密码类型与长度,系统将规则检查。
关于成功登录的用户,应用系统自动清除其连续登录失败的次数,同时初始化用户的有关数据并同时对登录数据进行记录,以备审计。
2.3.2 会话操纵需求 2.3.3 被访问对象操纵需求 应用系统对用户的关键资源或者信息,提供操作权限设置支持,权限分为:查询与更新两类。权限为查询的资源或者信息只能对其进行查询操作,不能进行更新。资源权限由开户时指定,为加强安全性,权限分配可通过落地处理开通。
2.3.4 交易提醒需求 交易提醒是指将客户的账号与客户手机号、电子邮件等关联起来,当客户信息发生变动时,向客户的手机发送一条短信或者电话通知或者发送一封电子邮件,及时准确的告知客户。另通过通知提醒功能,系统应定期向用户发送统计、明细、确认等信息。
第三章 应用系统安全的总体解决方案 3.1 安全技术 安全技术是安全子系统的理论基础,安全子系统中要紧涉及的安全技术包含:密码技术、PKI 技术体系、一次性口令技术等,另外考虑到目前实际应用中,大部分 WEB 应用系统是基于 J2EE 平台的,J2EE 平台本身也对系统安全提供了较多内置的支持,如 JAAS 技术等,因此本章中关于 J2EE 平台的安全技术特性也有少量的讨论。
3.1.1 密码技术 密码技术是保护信息系统安全的基础技术之一,密码技术能够保证数据的保密性与完整性,同时它还具有身份认证与数字签名的功能。从密码体制方面来说,密码技术可分为对称密钥密码技术与非对称密钥密码技术两大类。在应用系统中常用的密码技术要紧有下列几种:
A.加密解密技术 加密(Encryption)就是指通过特定的加密算法对数据进行变换,将明文(Plaintext)转换成密文(Cryptograph);解密(Decryption)是加密的逆过程,解密的过程就是将密文还原为明文。设明文为 P,密文为 C,E 为加密算法,D为解密算法,则加密解密的过程能够记为:
) () (C D PP E C (3.1) 上述的加密与解密过程没有使用到密钥,通常称之为无密钥密码体制。无密钥密码要紧依靠加密算法提...