J2EE網(wǎng)上金融系統(tǒng)的安全性研究與實踐.pdf

1、目前越來越多的企業(yè)將業(yè)務平臺轉移到網(wǎng)絡上，采用B/S架構，用戶無須裝客戶端軟件即可用瀏覽器訪問系統(tǒng)?；ヂ?lián)網(wǎng)有開放性、連接形式多樣性等特性，也帶來了比桌面軟件更普遍的安全問題。尤其對于網(wǎng)上銀行或金融系統(tǒng)來說，能否保護數(shù)據(jù)的隱密性與合法性，防止非授權用戶查看與修改商業(yè)數(shù)據(jù)，對于一個系統(tǒng)的穩(wěn)定運行、保護商業(yè)利益至關重要。 本文在一個金融網(wǎng)上應用系統(tǒng)FWS的項目經(jīng)驗的基礎上，研究當前網(wǎng)絡安全涉及到的主要幾種攻擊風險，分為網(wǎng)絡訪問連接風險

2、，用戶輸入風險以及數(shù)據(jù)安全風險三類，分別針對這三類網(wǎng)絡風險研究如何在實踐中防范可能存在的攻擊，并結合項目開發(fā)的Struts平臺來探討如何實現(xiàn)更有效方便的安全處理邏輯。針對目前Web2.0流行的AJAX技術，探討如何檢測與防范可能存在的安全隱患。 論文第一章概要地介紹了本文研究的背景，研究意義與本文所完成的主要內(nèi)容。 第二章綜述了當前學術界針對網(wǎng)絡安全的研究現(xiàn)狀，列舉了普遍存在的主要幾種攻擊形式與安全風險，和對應的典型攻擊

3、方法，并介紹了已有的研究針對這些網(wǎng)絡風險的檢測與防范方法。 第三章介紹了FWS項目的主要開發(fā)環(huán)境(JSP+Struts+EJB)，列舉了下文涉及到的幾個主要的功能模塊，以及系統(tǒng)所定義的安全需求。 第四章分析了網(wǎng)絡連接方面的風險情況，并針對這些風險提出從外部系統(tǒng)層面應用 SiteMinder 來管理用戶ID的登錄和權限管理，用 WebSphere PortalServer 來管理Session，以及配置使用HTTPS來加密

4、網(wǎng)絡傳輸信息。 第五章分析了用戶輸入方面的風險情況，針對不同類型的輸入采用不同的輸入檢測方法，研究如何規(guī)范化輸出結果，并研究如何結合Struts驗證框架來提高安全驗證代碼的效率，以及針對AJAX連接如何防止可能的風險隱患。 第六章分析了數(shù)據(jù)安全方面的風險情況，探討如何檢測用戶訪問系統(tǒng)功能的權限，保證系統(tǒng)功能與隱密數(shù)據(jù)只讓授權用戶看到。并研究如何檢測用戶操作的權限，防止非授權用戶修改數(shù)據(jù)。 第七章總結了本論文的主要