WEB应用与数据库安全关键技术研究

黄石平

摘要：近年来网络安全问题日趋严重，尤其是web应用受到频繁攻击。该文分析了常见的web应用安全问题，并通过使用WEB应用防火墙、网页防篡改以及数据库审计等技术对web应用与数据库安全综合防护，可以有效地缓解常见威胁，从而保障网络安全。

关键词：web应用；数据库

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）07-0001-02

Abstract： In recent years， the problem of network security is becoming more and more serious， especially the web application is frequently attacked. This paper analyzes the common web application security problems， and through the WEB application firewall， web page tampering and database audit technology， it can effectively mitigate the common threats to web application and database security， so as to ensure network security.

Key words： Web application； database

近年来网站的安全问题备受关注，基于web的站点被黑客攻击时有发生。尤其是对外公布的web站点，经常受到漏洞扫描，ddos等各种攻击，造成不良后果。目前基于WEB应用安全问题主要包括以下几类[1]：

1 频繁多变的WEB应用攻击

Web应用程序最常见、最危险的十大安全问题，包括非法注入、失效的访问控制、失效的账户和线程管理、跨站脚本攻击、缓冲区溢出、注射攻击、异常错误处理、不安全的存储、拒绝服务攻击、不安全的配置管理等威胁。

2 网页被篡改或被挂马

据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）监测，中国大陆被篡改网站总数逐年增多，其中，政府网站被篡改数量也越来越多。另外一种攻击方式是在网页内植入木马，还不容易发觉，但对用户已经造成了损失。

3 数据泄露和被篡改

很多网站数据库中存放着大量的个人敏感信息，是企业或政府的核心IT资产，但近年来网站数据泄露事件愈演愈烈。例如社保网站，个人社保信息一旦泄露将会严重干扰参保人的日常生活，损害参保人的利益，甚至制造诈骗等事件等。同样，后台核心数据库信息如果被恶意篡改也常常会造成重要的经济损失。

现阶段的安全解决方案通常把重点放在网络层，当应用层被攻击时，由于Web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，传统的网络层安全设备，如防火墙，很容易被WEB应用攻击绕过，难以阻挡此类攻击，由此需要一系列专门的WEB应用防护系统。

通过对Web应用系统的安全威胁进行针对性研究，各种专业的WEB应用安全防护技术也应运而生，以满足全方位的WEB网站安全防护要求，主要包括Web应用防火墙、网页防篡改、数据库防护技术等。下面针对各项产品关键技术分别进行介绍。

3.1WEB应用防火墙

（1）基于规则的检测保护[2]

WAF提供双向报文检测，输入检测模块对WEB用户提交的Http请求协议头、请求内容进行细粒度解析，可分类解析URL、cookie、Method、Request body等字段，解析完成后对报文内容进行匹配特征库，当匹配SQL注入、跨站脚本攻击、命令注入攻击等特征后，对报文采用阻断、放行、仅检测、重定向等动作。WAF输出检测模块对服务器的響应协议头、页面内容进行解析，解析完成后对报文内容进行匹配特征库，当匹配目录遍录、错误信息、信息泄露等特征后，WAF对报文采用阻断、放行、仅检测、重定向等动作。

（2）基于异常的保护

为了应对更为专业复杂的攻击，WAF会对网站的正常访问行为规律进行分析及总结，建立合法应用数据模型，并以此为依据判断应用数据的是否存在异常，当发现不符合该合法模型的行为产生后，WAF会对该行文进行阻断或告警，以实现对WEB应用的防护。这种方式不需要匹配多条规则特征库，有助于提高检测效率及准确率。

（3）WEB业务自动侦测技术

WEB业务自动侦测技术可对经过WAF的流量自动学习，从混杂流量中学习WEB业务服务器信息，从中获取WEB服务器IP、TCP端口、域名等信息，对需要防护的WEB应用服务器按需添加至WAF的防护中，从而避免人工配置容易出错，并节省实施成本。

（4）高性能检测技术

当用户访问时，WAF会检查其访问的文件类型，发现访问文件类型为图片、CSS、txt等静态文件时，WAF直接通过高性能检测模块进行线速转发，而文件类型为asp、jsp或php等动态文件则需要规则检测模块进行深度过滤后再转发。因此既可保证攻击防护有效性，同时又提升了用户访问效率；考虑到安全性，WAF可仅对常见的静态文件格式进行高性能转发，而对未知的文件类型仍采取规则检测。

3.2网页防篡改技术

传统的数字水印技术已经向多因子检测技术发展，多因子检测技术包括文件驱动、内核事件触发、核心内嵌等技术，完全解决了网站被黑客篡改等危险。

（1）基于文件驱动的保护技术

与操作系统紧密结合，在操作系统内核中加入文件操作过滤策略达到对文件操作的控制，限制文件修改权限。通过文件驱动技术对保护的对象防止篡改。

（2）核心内嵌动态防护技术

在系统核心内嵌web相应模块可以解决日常的网络攻击，进行有效的保护。

（3）篡改恢复技术

网页防篡改系统带有同步端程序，在一般情况下WEB服务器保护路径下的网页文件不会被非法篡改，如果发生文件篡改现象，同步端程序会及时把未被篡改的文件同步到WEB服务器上，确保网站内容正常展示。

3.3数据库审计技术

（1）多层业务关联审计

通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控，违规操作可追溯。

（2）细粒度审计技术

数据库类型众多，需要支持多种数据库审计，实现对数据库协议的完整解析，支持解析数据库协议的所有字段，支持根据所有字段任意自定义审计规则。通过细粒度的审计，可以从中发现数据库潜在问题。通过对不同数据库的SQL语义分析，提取出SQL中相关的要素；系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回结果进行完整的還原和审计，同时可以根据返回结果设置审计规则。

（3）数据建模及海量数据挖掘分析技术[3]

能够提供针对数据行为基线建模及智能告警功能，自动建立数据库访问行为基线，并依据行为基线自动智能识别可疑行为进行告警。提供海量审计数据综合分析功能，从不同的空间、时间对各个维度进行对比分析。提供多种不同维度的报表，从不同角度分析数据库行为，便于审计员进行合规审计。一旦发生安全事件，提供基于数据库对象的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态。

（4）数据库审计与防火墙联动技术

数据库审计设备检测到数据库攻击行为及其他危险操作时，可以与传统防火墙联动，向防火墙发送通知报文，报文中包括攻击类型、攻击源等信息，防火墙收到该通知，则根据预先设定策略，针对不同攻击类型实施不同的安全策略，确保从源头限制或阻断非法访问。

4 结束语

通过使用WEB应用防火墙、网页防篡改、数据库审计，从防护、监测、审计等多方面、多层次对web网站实施综合防护，可以有效地缓解常见威胁，可以快速地应对恶意攻击者对WEB业务带来的冲击，可以智能锁定攻击者并通知管理员对网站代码进行合理的加固，能够有效抵御黑客对WEB应用攻击，对WEB业务保驾护航。

参考文献：

[1] 王浩，武枫，沈雪健.Web数据库安全技术研究与应用分析[J].通讯世界，2016（3）.

[2] 徐茂.浅析面向SQL数据库注入攻击的Java Web防御措施[J].网络安全技术与应用，2017（10）.

[3] 张圃铭.基于Web的网络数据库安全技术研究[J].信息通信，2015（3）.