基于DOA下Web安全管理體系的研究與設(shè)計(jì)

摘要：隨著“互聯(lián)網(wǎng)+”、大數(shù)據(jù)時(shí)代的到來，人類已經(jīng)從信息技術(shù)（IT，Information Technology） 時(shí)代逐步走向數(shù)據(jù)技術(shù)（ DT， Data Technology）時(shí)代。Web技術(shù)的廣泛應(yīng)用發(fā)展，客戶端以瀏覽和數(shù)據(jù)下載的方式占據(jù)了大量的市場(chǎng)、數(shù)據(jù)成倍的速度增長(zhǎng)，以信息技術(shù)（小數(shù)據(jù)時(shí)代）發(fā)展而來的技術(shù)和信息安全技術(shù)，已不能有效解決目前的數(shù)據(jù)問題，而基于面向數(shù)據(jù)（ DOA， Data-Oriented Architecture），以碎片化應(yīng)用的數(shù)據(jù)生態(tài)系統(tǒng)的構(gòu)建機(jī)制，有效解決了大數(shù)據(jù)時(shí)代Web應(yīng)用開發(fā)過程中的結(jié)構(gòu)、管理、安全等體系問題。從數(shù)據(jù)保護(hù)到數(shù)據(jù)授權(quán)應(yīng)用的全過程管理機(jī)制，解決了在云計(jì)算、大數(shù)據(jù)、“互聯(lián)網(wǎng)+”信息時(shí)代Web所面臨的安全問題。不但提供了知識(shí)理論和技術(shù)方案，也為數(shù)據(jù)安全、信息安全、數(shù)據(jù)應(yīng)用、信息應(yīng)用等帶來了新的機(jī)制，新的思路。

關(guān)鍵詞：DOA；XSS漏洞 ；SQL注入；Web安全

0引言

隨著企業(yè)信息化程度的不斷提高、科技技術(shù)應(yīng)用的快速發(fā)展，信息時(shí)代已經(jīng)成為我們的生活不可缺的一部分，Web應(yīng)用技術(shù)的快速及應(yīng)用，已經(jīng)越來越成熟，并不斷壯大，安全問題引起了社會(huì)各界的高度重視。而目前Web應(yīng)用程序和服務(wù)的增長(zhǎng)已逐漸超越了開發(fā)人員所能承受的安全意識(shí)范圍。

1目前Web安全管理體系的威脅

Web面臨安全多種多樣，應(yīng)用開發(fā)過程中也持續(xù)受到跨站腳本漏洞、SQL注入等各手段方式的攻擊。而目前傳統(tǒng)安全體系下大多數(shù)數(shù)據(jù)都是處于“裸露”的狀態(tài)，一旦有不速之客通過各種漏洞或非法獲得權(quán)限都可以獲取數(shù)據(jù)信息，其中SQL注入作為主流攻擊之首，“裸露”數(shù)據(jù)直接可以導(dǎo)致敏感數(shù)據(jù)的泄露甚至數(shù)據(jù)丟失?？缯竟簟⒕W(wǎng)頁篡改攻擊也是傳統(tǒng)web安全架構(gòu)體系無法避免的網(wǎng)絡(luò)攻擊手段，在大數(shù)據(jù)復(fù)雜的“互聯(lián)網(wǎng)+”環(huán)境下，依賴于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)的Web應(yīng)用也逐步增長(zhǎng)。Web中數(shù)據(jù)存放、釣魚網(wǎng)站、數(shù)據(jù)越權(quán)訪問等現(xiàn)象時(shí)有發(fā)生，以傳統(tǒng)的Web的安全體系架構(gòu)已無法完成、快速更新適應(yīng)于現(xiàn)在復(fù)雜的網(wǎng)絡(luò)軟件環(huán)境。

根據(jù)目前Web安全體系結(jié)構(gòu)與常見解決方案缺陷的分析，Web安全體系加固中設(shè)計(jì)了防護(hù)客戶端、加固系統(tǒng)服務(wù)端等策略。Web服務(wù)器安全架構(gòu)中常見方案對(duì)離散服務(wù)器應(yīng)用場(chǎng)景、服務(wù)器群組場(chǎng)景也大多都基于目前傳統(tǒng)的Web安全體系架構(gòu)而設(shè)計(jì)如2-1圖：

2基于DOA下Web安全管理體系的研究設(shè)計(jì)

（1）避免性能瓶頸

建立面向數(shù)據(jù)（ DOA， Data-Oriented Architecture）具有安全屬性（主人、朋友、陌生人與敵人）的數(shù)據(jù)授權(quán)機(jī)制，加密呈現(xiàn)深度級(jí)別和基于特定的訪問者，特定的場(chǎng)合（環(huán)境），特定的時(shí)間（時(shí)段）的AAA（Authorization，Authentication，Accounting， 授權(quán)、認(rèn)證、計(jì)帳）策略的Web安全機(jī)制，打破傳統(tǒng)我們只對(duì)Web服務(wù)器本身進(jìn)行直接加固，通過下放客戶端，使每個(gè)防護(hù)客戶端只處理流經(jīng)本服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)，只關(guān)心單臺(tái)服務(wù)器的數(shù)據(jù)安全問題。建立數(shù)據(jù)與應(yīng)用相分離，不依賴于特定的硬件環(huán)境和軟件環(huán)境，數(shù)據(jù)生長(zhǎng)不同的應(yīng)用。站在數(shù)據(jù)的角度審視技術(shù)、架構(gòu)、安全體系，建立以數(shù)據(jù)為核心，天生加密、授權(quán)訪問、過程記錄、加密存儲(chǔ)、傳輸授權(quán)、解密使用的大數(shù)據(jù)平臺(tái)碎片化應(yīng)用安全體系。這樣，在服務(wù)器的數(shù)據(jù)組的應(yīng)用場(chǎng)景下，便不會(huì)存在單一的安全加固系統(tǒng)，而是需要處理群組中所有服務(wù)器的數(shù)據(jù)屬性，從而有效降低了性能影響，避免了由于安全加固系統(tǒng)成為性能瓶頸，從而降低了對(duì)整個(gè)服務(wù)器群組中所有Web應(yīng)用的服務(wù)質(zhì)量產(chǎn)生的影響。

（2）統(tǒng)一服務(wù)管理平臺(tái)

新型Web安全管理體系以數(shù)據(jù)為核心，重新認(rèn)識(shí)數(shù)據(jù)價(jià)值和數(shù)據(jù)管理，滿足各種應(yīng)用需求，通過數(shù)據(jù)注冊(cè)中心（DRC）、數(shù)據(jù)權(quán)限中心（DAC）、數(shù)據(jù)異?？刂浦行模―EC）來統(tǒng)一定義數(shù)據(jù)、管理數(shù)據(jù)和提供數(shù)據(jù)服務(wù)，通過數(shù)據(jù)應(yīng)用單元（DAUs）對(duì)各種應(yīng)用進(jìn)行管理和服務(wù)建立一種數(shù)據(jù)大平臺(tái)與碎片化應(yīng)用的數(shù)據(jù)生態(tài)系統(tǒng)，解決數(shù)據(jù)與應(yīng)用之間自生長(zhǎng)、自適應(yīng)、自管理和可持續(xù)發(fā)展的機(jī)制，構(gòu)建從數(shù)據(jù)保護(hù)到授權(quán)應(yīng)用的整套機(jī)制，即數(shù)據(jù)的安全機(jī)制，應(yīng)用中數(shù)據(jù)的授權(quán)使用機(jī)制。

基于DOA下Web安全管理體系提供給管理員的唯一接口是基于數(shù)據(jù)安全體系的管理機(jī)制。以數(shù)據(jù)為核心的Web安全管理體系可以在不影響服務(wù)質(zhì)量的前提下，處理大量處于網(wǎng)絡(luò)位置離散狀態(tài)下的網(wǎng)站服務(wù)器或服務(wù)器群組的數(shù)據(jù)，并且進(jìn)行統(tǒng)一的安全管理，管理員可以數(shù)據(jù)為核心，提取調(diào)用數(shù)據(jù)，利用數(shù)據(jù)權(quán)限中心（DAC）進(jìn)行統(tǒng)一安全配置與管理。同時(shí)，通過數(shù)據(jù)注冊(cè)中心（DRC）建立的遠(yuǎn)程日志保存機(jī)制，可以防止攻擊者對(duì)攻擊痕跡的清除，并可以在不影響Web服務(wù)器性能的情況下，對(duì)來自異地攻擊的數(shù)據(jù)進(jìn)行進(jìn)一步的分析和挖掘，幫助Web管理員更迅速，更準(zhǔn)確的查找網(wǎng)站漏洞，進(jìn)行及時(shí)修補(bǔ)。如3-1圖：

3研究并基于DOA下Web安全管理體系的意義

在大數(shù)據(jù)時(shí)代，以數(shù)據(jù)建設(shè)和提供信息（數(shù)據(jù)）服務(wù)的企業(yè)和部門越來越多，而“互聯(lián)網(wǎng)+”下的安全問題也已成為全社會(huì)關(guān)注的焦點(diǎn)，并且涉及國家政治、軍事、經(jīng)濟(jì)和文教等諸多領(lǐng)域，而對(duì)這類數(shù)據(jù)提供者的利益保護(hù)也愈發(fā)重要。加之信息本身具有易復(fù)制、易傳輸、難保護(hù)的特點(diǎn)，應(yīng)用則是由政府、企業(yè)和個(gè)人在互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)中隨時(shí)隨地、隨心隨意的各種需求產(chǎn)生出的碎片化和個(gè)性化的應(yīng)用。傳統(tǒng)的Web安全體系中則又缺乏對(duì)數(shù)據(jù)保護(hù)和授權(quán)使用的機(jī)制，所以建立新型Web安全管理體系，以數(shù)據(jù)為核心，最大限度地保證數(shù)據(jù)安全統(tǒng)一管理的數(shù)據(jù)資源池是時(shí)代發(fā)展的趨勢(shì)，也是必然。

4總結(jié)

建立基于DOA下構(gòu)建以數(shù)據(jù)為核心的數(shù)據(jù)生態(tài)Web安全體系，不僅讓數(shù)據(jù)有可持續(xù)發(fā)展的能力，而且數(shù)據(jù)天生加密，授權(quán)使用。并且以DRC、DAC為核心的重點(diǎn)Web安全應(yīng)用機(jī)制數(shù)據(jù)資源池，讓所有的應(yīng)用都“生長(zhǎng)”在其上，客戶端瀏覽和下載的Web數(shù)據(jù)都在一個(gè)“池子”里按權(quán)調(diào)用提取，數(shù)據(jù)不需要與其他應(yīng)用系統(tǒng)去共享數(shù)據(jù)和信息，也不存在信息“孤島”和信息“煙囪”的碎片化互動(dòng)應(yīng)用問題。數(shù)據(jù)在開放環(huán)境下進(jìn)行存儲(chǔ)和傳輸，既可以適應(yīng)傳統(tǒng)封閉的安全環(huán)境下的應(yīng)用，也增強(qiáng)了信息的安全保障，又可以在開放環(huán)境下保證數(shù)據(jù)的安全和不被越權(quán)訪問。與發(fā)展中的云計(jì)算、大數(shù)據(jù)、網(wǎng)絡(luò)空間安全、系統(tǒng)安全、應(yīng)用環(huán)境安全相融合，從而有效保障了信息的安全，也從根本上也解決了Web安全機(jī)制的管理問題。

作者簡(jiǎn)介：賈如春，畢業(yè)于四川大學(xué)碩士，新視覺MOOC微課程聯(lián)盟創(chuàng)始人，成都大學(xué)外聘導(dǎo)師，主要研究方向?yàn)樵破脚_(tái)架構(gòu)、大數(shù)據(jù)挖掘與分析、信息安全等方向，主要負(fù)責(zé)面向數(shù)據(jù)的安全存儲(chǔ)與恢復(fù)，電子商務(wù)平臺(tái)安全等項(xiàng)目工作。