信息安全審計在企業(yè)Web應(yīng)用中的作用與功能實(shí)現(xiàn).pdf

1、隨著當(dāng)今計算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ钆c工作中必不可少的工具。企業(yè)在Web應(yīng)用方面也取得了極大的發(fā)展,不論是傳統(tǒng)的企業(yè)還是.COM公司,整個IT系統(tǒng)WEB化已經(jīng)是不可爭辯的趨勢,從IT系統(tǒng)最嚴(yán)格老舊的銀行系統(tǒng)到電子商務(wù)公司,幾乎沒有一家企業(yè)不需要建立WEB應(yīng)用?？梢哉f,Web應(yīng)用已經(jīng)成為我們?nèi)粘９ぷ魃钪凶钪匾慕M成部分之一。
　　 但是,我們發(fā)現(xiàn)無論是基于Web的應(yīng)用系統(tǒng)還是Web網(wǎng)站,他們都面臨著各種各樣且來源

2、不定的安全威脅。有些威脅是已被發(fā)現(xiàn),并具有可識別的固定特征的;有些則是因網(wǎng)站的設(shè)計和代碼,以及攻擊者的行為習(xí)慣而異的。而所有這些都是Web應(yīng)用系統(tǒng)和Web網(wǎng)站必須面對和解決的安全問題。傳統(tǒng)的技術(shù)手段,如防火墻和IPS都是基于己知的安全特征的安全檢測和防護(hù)手段。但是對于Web應(yīng)用中大量采用,而同時又是被攻擊的主要目標(biāo)的動態(tài)頁面是無能為力的。而且針對動態(tài)頁面的攻擊也是沒有固定特征的。同時必須注意到,完全依賴特征庫的檢測和防護(hù)技術(shù),不可避免的

3、具有很高的誤報率和漏報率,并且在兩者之間很難達(dá)到平衡。所以必須建立一個更貼近Web應(yīng)用特征和用戶訪問習(xí)慣的安全系統(tǒng),本文主題就是在這樣的背景下建立的。
　　 本文在對用戶訪問行為和HTTP協(xié)議進(jìn)行分析后,提出了一個依靠通過統(tǒng)計分析用戶訪問Web應(yīng)用方式為Web應(yīng)用建立相適應(yīng)的輪廓并在此基礎(chǔ)上進(jìn)行審計和防護(hù)的信息安全審計系統(tǒng)原型。
　　 本系統(tǒng)原型存在一個關(guān)鍵的問題必須解決:就是Web應(yīng)用結(jié)構(gòu)的輪廓產(chǎn)生必須是自動和動態(tài)的—

4、—Web應(yīng)用包含的因素非常廣泛,且數(shù)量眾多,人工生成和維護(hù)的方式在實(shí)際使用中是不可行的,而且會產(chǎn)生大量的誤報,所以必要依靠系統(tǒng)自動分析獲得。這就要求信息安全審計系統(tǒng)通過對所有Web應(yīng)用相關(guān)資源的發(fā)現(xiàn)和定位之后,自動將為這些資源做一個整合,這個整合后數(shù)據(jù)展現(xiàn)的就是Web應(yīng)用輪廓,這個輪廓展現(xiàn)了Web應(yīng)用的架構(gòu)和資源信息點(diǎn),用戶可以從這個輪廓中知道這些數(shù)據(jù)是否符合這個Web應(yīng)用的設(shè)計目標(biāo)。這就要求系統(tǒng)原型能對網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行截獲和分析,從全部

5、的數(shù)據(jù)包中分離出HTTP/HTTPS流量信息;通過協(xié)議還原,將HTTP/HTTPS數(shù)據(jù)還原成可見的信息,為Web應(yīng)用輪廓提供信息來源。在獲得Web應(yīng)用基礎(chǔ)信息的基礎(chǔ)上,該系統(tǒng)原型自動從信息中抽取關(guān)鍵的應(yīng)用元素:Web應(yīng)用中的URLs,cookies,參數(shù)/表元素,sessioils,HTTP方法,用戶等信息,以此自動為Web應(yīng)用的結(jié)構(gòu)進(jìn)行輪廓搭建。當(dāng)輪廓建立完成后,系統(tǒng)原型將web流量與輪廓作比較,自動判斷哪些web操作行為是可接受的,