基于Linux平台的增强安全型Web Server系统的开发

摘要

WWW是Internet中发展最快的部分,Web应用安全也正在成为Internet上最脆弱、最容易攻击的部分.该文在分析Web系统各个环节可能出现漏洞的基础上,设计了一个增强安全的Web Server系统.文章首先介绍了Web安全问题和研究意义,以及在Web应用领域软件开发的现状和存在问题.接着对Web体系结构各环节的脆弱点进行深入分析,介绍可能遭到的攻击类型和具体方法,并在此基础上提出了增强安全Web系统解决方案.解决方案是通过两个层次展现的.首先是系统平台的安全设计,接着将重点放在应用程序的安全设计上,构建了一个增强安全模型——IRA模型.该模型紧密结合Web应用特点,使用户从申请服务到获得服务,经过输入审查、访问控制、安全审计三重安全机制的审查过滤,从而有效防止了非法攻击.该模型应用于某电厂综合查询系统,通过实践证明该模型能够在维护现有功能的基础上,有效增强Web系统的安全性.

目录

文摘

英文文摘

第一章引言

1.1 WEB安全问题

1.1.1关注Web安全问题

1.1.2 Web安全简述

1.1.3 Web安全问题产生原因

1.1.4 Web安全问题的主要内容

1.1.5 Web应用程序开发现状和存在问题

1.2本文的讨论范畴和论证方法

1.3课题的主要工作

第二章WEB应用安全讨论

2.1 WEB应用程序的体系结构

2.1.1 Web应用程序的体系结构

2.1.2各环节及存在漏洞简要分析

2.2 WEB服务器和WEB应用程序

2.3 WEB应用安全威胁

2.4 WEB系统安全模型介绍

2.5 WEB应用系统安全模型介绍

第三章综合查询系统简介

3.1系统简介

3.2系统业务功能分析

3.3系统基本安全需求分析

3.3.1访问权限分析

3.3.2其他安全需求

第四章WEB应用系统的安全规划

4.1系统安全规划图

4.2 REDHAT的增强安全配置

4.3 APACHE的增强安全配置

4.4数据库服务器的增强安全设置

4.5客户端的增强安全设置

4.6增强安全的传输协议

4.7 IRA应用系统安全规划

第五章输入审查机制

5.1几个输入安全攻击案例

5.1.1缓冲区溢出(Buffer Overflows)

5.1.2正则表达式

5.1.3脚本攻击

5.1.4边界检查

5.1.5操纵应用程序

5.1.6 SQL注入和数据存储攻击

5.2输入审查机制模式图

5.3表单数据审查

5.4 SQL语句审查

第六章访问控制机制

6.1基于角色的访问控制(RBAC)基本模式

6.1.1采用这种模式的考虑

6.2 IRA系统增强访问控制模式图

第七章安全审计机制

7.1安全审计的必要性

7.2 IRA系统增强安全审计模式图

7.3审计策略

7.4审计报告

第八章系统实现

8.1系统数据库设计

8.2 IRA模型输入审查机制的实现

8.2.1数据表设计

8.3 IRA模型角色访问机制的实现

8.3.1数据表设计

8.3.2角色访问控制机制的实现

8.4 IRA模型安全审计机制的实现

8.4.1数据表设计

8.4.2 IRA安全审计机制的实现

结论

参考文献

致谢