全 文 :第 wu卷 增刊 t
u s s y年 | 月
林 业 科 学
≥≤∞× ≥∂ ∞ ≥≤∞
∂²¯1wu o≥³qt
≥ ³¨qou s s y
林业信息共享 • ¥¨应用程序安全的保护技术与策略
杨彦臣 李淑华
k中国林业科学研究院资源信息研究所 北京 tsss|tl
摘 要 } 概述林业信息共享 • ¥¨应用程序面临的威胁及其需要达到的安全目标 o并介绍如何在目前网络信息安
全防卫技术的基础上 o从网络层 !主机层和应用程序层 v个方面实现林业信息共享 • ¥¨应用程序安全的保护技术
与策略 ∀
关键词 } 网络信息安全 ~ • ¥¨安全 ~信息共享
中图分类号 }×°vsu1t 文献标识码 } 文章编号 }tsst p zw{{kussyl增 t p sszu p s{
收稿日期 }ussx p sz p uu ∀
基金项目 }森林资源与林业生态工程信息应用网格kussutswuvsl !数字林业平台技术研究与应用kussvus|sysl ∀
Σεχυριτψ Τεχηνολογιεσ ανδ Στρατεγιεσ οφ Ωεβ Αππλιχατιον Προχεδυρε
αβουτ ΦορεστρψΙνφορµατιον Σηαρινγ
≠¤±ª≠¤±¦«¨ ± ¬≥«∏«∏¤
k Ρεσεαρχη Ινστιτυτε οφ Φορεστ ΡεσουρχεσΙνφορµατιον ΤεχηνιθυεσoΧΑΦ Βειϕινγ tsss|tl
Αβστραχτ } ¶·«¨ §¨√¨ ²¯³°¨ ±·²©©²µ¨¶·µ¼¬±©²µ°¤·¬²±¤±§§¬ª¬·¤¯ ©²µ¨¶·µ¼o·«¨ §¨ªµ¨¨²©©²µ¨¶·µ¼µ¨¶²∏µ¦¨¶¬±©²µ°¤·¬²±¬¶¶«¤µ¬±ª
¶·µ¨±ª·«¨ ±¬±ª§¤¼ ¥¼ §¤¼q׫¨ ¬±©²µ°¤·¬²± ¶¨¦∏µ¬·¼¬¶¤¯¶² °²µ¨ ¬°³²µ·¤±·q׫¬¶³¤³¨µ«¤¶¶∏°°¤µ¬½¨ §·«¨ ©¤¦¬±ª·«µ¨¤·¨± ¤±§
¶¨¦∏µ¬·¼ ª²¤¯ ¬±·«¨ • ¥¨¤³³¯¬¦¤·¬²± ³µ²¦¨§∏µ¨ ²©©²µ¨¶·µ¼¬±©²µ°¤·¬²±¶«¤µ¬±ªq±·«¨ °¨ ¤±·¬°¨ o²±·«¨ ©²∏±§¤·¬²± ²©¤±¤¯¼½¬±ª
·«¨ ¦∏µµ¨±··¨¦«±²¯²ª¬¨¶²©±¨·º²µ®¶¤©¨·¼o¬·¬±·µ²§∏¦¨¶«²º·²µ¨¤¯¬½¨ ·«¨ ³µ²·¨¦·¬±ª·¨¦«±²¯²ª¬¨¶¤±§³²¯¬¦¬¨¶¬±·«¨ ¶¤©¨·¼²©·«¨
• ¥¨¤³³¯¬¦¤·¬²± ³µ²¦¨§∏µ¨ ²©©²µ¨¶·µ¼¬±©²µ°¤·¬²±¶«¤µ¬±ª©µ²°·«µ¨¨¤¶³¨¦·¶º«¬¦«¤µ¨ ±¨·º²µ®¯¨ √¨ ¯o«²¶·¯ √¨¨ ¯¤±§¤³³¯¬¦¤·¬²±
¯¨ √¨ ¯q
Κεψ ωορδσ} ±¨ ·º²µ®¬±©²µ°¤·¬²± ¶¨¦∏µ¬·¼~ • ¥¨¶¨¦∏µ¬·¼~¬±©²µ°¤·¬²±¶«¤µ¬±ª
ut世纪是信息化世纪 o±·¨µ±¨·迅猛发展 o成为全球最大的全开放的信息超级市场 o信息共享的程度随之
提高 o数字信息越来越深入地影响着社会生活的各个方面 o而网络上的信息安全问题也日益突出 ∀接入互联
网络的用户面临诸多的风险 }信息泄密 !信息篡改 !资源盗用 !声誉损害等 ∀这些风险的存在阻碍了计算机网
络的应用与发展 ∀在网络化 !信息化进程不可逆转的形势下 o建立安全可靠的网络信息系统是一种必然选
择 ∀自 ±·¨µ±¨ ·问世以来 o资源共享和信息安全就一直作为一对矛盾体而存在k赵晓林 ousstl o目前政府 !金
融 !企事业单位和个人都日益重视这一重要问题 ∀/数字林业0的核心是林业数据资源的共享 o资源共享的实
施又必须以保护网络信息安全为前提 ∀如何保护林业信息安全和网络安全 o最大限度地减少或避免因信息
泄密 !破坏等安全问题所造成的政治 !经济损失及对社会形象的影响 o是亟需解决的一项具有重大战略意义
的课题 ∀
t 林业信息共享 • ¥¨应用程序面临的威胁
没有安全防范措施的 • ¥¨应用程序极易受到攻击并瘫痪 o这些攻击根据其目标和目的可以分为 y类 ∀
111 欺骗
欺骗就是试图使用伪造的假身份访问系统 ∀这可以通过使用盗窃来的用户凭据或者假 °地址来实现 ∀
112 篡改
篡改就是未授权的第三方不仅获得对资源的访问权而且篡改信息 o如篡改数据文件中的值 o修改程序使
其操作异样以及变更网上传输的消息内容k苏莹莹 oussvl ∀
113 否认
否认就是用户k合法的或非法的l否认他们曾执行过特定操作或事务的能力 ∀审核不足 o则很难检验否
认攻击 ∀
114 侦听
侦听就是未授权的第三方k可能是个人 !程序或计算机l 取得对资源的访问权 o如窃听并获取网上传输
的数据 o非法拷贝文件与程序 ∀经常被侦听的信息包括隐藏的表单项 !包含数据库连接字符串和连接细节的
• ¥¨页注释以及可能导致暴露内部系统细节的异常处理信息k苏莹莹 oussvl ∀
115 中断
中断就是使系统或应用程序不可使用的过程k苏莹莹 oussvl ∀例如 o通过请求来冲击服务器 o以消耗掉
所有的系统可用资源 o或者通过给服务器传递格式错误的输入数据以使一个应用程序进程崩溃 ∀
116 提高特权
提高特权在这样的情况下就会出现 }具有有限特权的用户假冒特权用户的身份来对应用程序进行特权
访问 ∀例如 o具有有限特权的攻击者可能会提高其特权级别来损害并控制具有更高特权与受信任的用户 ∀
u 林业信息共享 • ¥¨应用程序安全目标
林业信息共享 • ¥¨应用程序安全的目标主要是保障网络信息的安全 o即保密性k¦²±©¬§¨±·¬¤¯¬·¼l !完整性
k¬±·¨ªµ¬·¼l !可用性k¤√¤¬¯¤¥¬¯¬·¼l !可控性k¤¦¦¨¶¶¦²±·µ²tl和不可抵赖性 k±²±µ¨³∏§¬¤·¬²±l k≥¦«±¨ ¬¨µousssl ∀
211 保密性
保密性是网络信息不被泄露给非授权的用户 !实体 o以避免信息被非法利用的特性 ∀常用保密技术包
括防侦听 !防辐射 !信息加密 !物理保密 ∀
212 完整性
完整性是网络信息未经授权不能进行改变的特性 o即网络信息在存储或传输过程中保持不被偶然或蓄
意删除 !修改 !伪造 !乱序 !重放 !插入等破坏和丢失的特性 ∀保障网络信息完整性的主要方法有协议 !纠错编
码方法 !密码校验和方法 !数字签名 !公证等 ∀
213 可用性
可用性是网络信息可被授权实体访问并合法使用的特性 ∀可用性还应该满足身份识别与确认 !访问控
制 !审计跟踪 !业务流控制等功能 ∀
214 可控性
可控性是对网络信息的传播及内容具有控制能力的特性 ∀
215 不可抵赖性
不可抵赖性也称作不可否认性 o在网络信息系统的信息交互过程中 o确信参与者的真实同一性 o即所
有参与者都不可能否认或抵赖曾经完成的操作和承诺 ∀
v 网络信息安全防卫的技术手段
由于林业信息共享 • ¥¨应用程序安全的目标主要是保障网络信息的安全 o因此其防卫技术手段也主要
针对网络信息的安全 ∀
311 网络访问控制技术
防火墙技术是一种有效的网络安全机制 o用于确定哪些内部服务允许外部访问 o以及允许哪些外部服务
访问内部服务 o其准则就是 }一切未被允许的就是禁止的 ~一切未被禁止的就是允许的 ∀防火墙系统的安全
防御能力很强 o能抵抗各种进攻和渗透 ∀
防火墙技术可分为网络层与应用层 u类 o分别对应于分组k或包l过滤路由器与应用层网关和电路层网
关k吴亚青 ousswl ∀
v1t1t 网络层防火墙 网络层防火墙保护整个网络不受非法入侵 o其典型技术是分组k或包l 过滤技术 o
即检查进入网络的分组 o将不符合预先设定标准的分组丢掉 o而让符合标准的分组通过 ∀
v1t1u 应用层网关防火墙 应用层网关防火墙控制对应用程序的访问 o即允许访问某些应用程序而阻止
访问其他应用程序 ∀采用的方法是在应用层网关上安装代理软件 o每个代理模块分别针对不同的应用 ∀
v1t1v 电路层网关防火墙 由于应用层代理服务器是为特定的服务而编写的软件 o如果网关没有为指定
的服务设置代理服务器 o对应于这一服务的报文是不能通过网关的 o这就限制了它所能处理的应用协议 ∀
vz 增刊 t 杨彦臣等 }林业信息共享 • ¥¨应用程序安全的保护技术与策略
电路层网关不管任何应用协议 o只根据规则建立一个网络到另一个网络的连接 o不做任何审查 !过滤或
ר¯±¨ ·协议管理 o只在内部连接和外部连接之间来回拷贝数据 ∀
312 信息确认技术
信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造 !篡改和假冒k王海欣 ousswl ∀
安全系统的建立依赖于系统用户之间存在的各种信任关系 ∀目前在安全解决方案中 o多采用 u种确认方式 }
一种是第三方信任 o另一种是直接信任 o以防止信息被非法窃取或伪造 ∀可靠的信息确认技术应具有 }合法
身份的用户可以校验所接收的信息是否真实可靠 o并且十分清楚发送方是谁 ~发送信息者必须是合法身份用
户 o任何人不可能冒名顶替伪造信息 ~出现异常时 o可由认证系统进行处理k赵晓林 ousstl ∀
目前 o信息确认技术已较成熟 o如信息认证 !用户认证和密钥认证 !数字签名等 o为信息安全提供了可靠
保障 ∀
v1u1t 信息认证 为了保证在公开网络中传输信息的保密性 o认证机构或信息服务商应提供以下几方面的
认证功能 }tl对敏感的文件进行加密 o这样即使别人截获文件也无法得到其内容 ~ul保证数据的完整性 o防止
截获人在文件中加入其他信息 ~vl对数据和信息的来源进行验证 o以确保发信人的身份 ∀
通常采用秘密密钥加密系统k¶¨¦µ¨·®¨ ¼ ±¨¦µ¼³·¬²±l !公开密钥加密系统k³∏¥¯¬¦®¨ ¼ ±¨¦µ¼³·¬²±l或者两者相
结合的方式 o以保证信息的安全认证k赵晓林 ousstl ∀
v1u1u 用户认证 这是一种从数据库到操作系统等各类软件中都很常见的安全防范技术 ∀系统的每一位
用户都被分配了一个唯一的用户名 o对关联该用户名的资源或功能的访问都要接受特定口令的保护 ∀在应
用层外的 • ¥¨服务器级别可以采用 ××°基本授权方案k¥¤¶¬¦¤∏·«¨ ±·¬¦¤·¬²± ¶¦«¨ °¨ l来进行用户认证 ∀用户
认证机制的主要优点是它可以为创造出更复杂的授权方案提供选择 ∀
313 密钥安全技术
网络安全中 o加密技术种类繁多 o它是保障信息安全最关键和最基本的技术手段和理论基础 o信息加密
的方法有对称密钥加密 !非对称加密和不可逆加密 ∀
v1v1t 对称密钥加密 在此方法中加密和解密使用同样的密钥 ∀这种方法的优点是计算量小 !加密效率
高 ~但在分布式的系统中密钥管理较困难 o使用成本也较高 ∀
v1v1u 非对称密钥加密 在此方法中加密和解密使用不同密钥 o即公开密钥和秘密密钥 o公开密钥用于机
密性信息的加密 ~秘密密钥用于对加密信息的解密 ∀非对称密钥加密在互联网中得到了广泛应用 o使用这种
加密时要注意如何管理和确认公用密钥的合法性 ∀
非对称加密的另一用法称为/ 数字签名0k§¬ª¬·¤¯ ¶¬ª±¤·∏µ¨l技术 o即数据源使用其私有密钥对数据的校验
或其他与数据内容有关的变量进行加密 o而数据接收方则用相应的公用密钥解读/数字签名0并将解读结果
用于对数据完整性的检验k李彦旭等 oussul ∀
v1v1v 不可逆加密 这种加密的特征是加密过程不需要密钥 o且经过加密后的数据无法被解密 o只有同样
的输入数据经过同样的不可逆加密算法才能得到相同的加密数据k李彦旭等 oussul ∀由于其加密计算工作
非常复杂 o通常仅用于数据量较小情况下的加密 ∀
w 林业信息共享 • ¥¨应用程序安全的保护技术与策略
保护林业信息共享 • ¥¨应用程序安全的策略应该从整体性出发 o在 v个层次上应用安全措施来确保
• ¥¨应用程序的安全 }网络层 !主机层和应用程序层 ∀本文主要讨论基于共享网站应用程序的安全保护技术
与策略 ∀
411 网络层
安全的 • ¥¨应用程序依赖于安全的网络基础结构 ∀安全的网络作用不仅是保护其自身免受基于 ×≤°Π
°的攻击 o还要实施对策 o例如安全的管理接口和可靠的密码 ∀安全的网络还要负责保证正在传输的通信
量的完整性 ∀在网络层 o主要利用先进且适合应用情况的防火墙技术来保障网络安全 ∀
412 主机层
需要保护的主机一般包括 • ¥¨服务器 !应用程序服务器和数据库服务器等 o但无论是哪种主机 o具体的
保护措施都是对其进行安全的配置 ∀
wz 林 业 科 学 wu卷
w1u1t 修补程序 及时下载最新的补丁并更新是保障服务器安全的第一步 o否则将给攻击者带来更多潜在
的机会 ∀
w1u1u 服务 服务集合由服务器的角色和其承载的应用程序决定 ∀通过禁用不必要和不用的服务 o可以快
速轻松地减少受攻击的区域范围 ∀
w1u1v 协议 为减少受攻击的区域范围和为攻击者开放的通路 o禁用任何不必要或不用的网络协议 ∀
w1u1w 账户 服务器可以访问的账户应该限制在必要的服务集合和用户账户上 ∀另外 o应该加强相应的账
户策略 o例如强制使用可靠的密码 ∀
w1u1x 文件和目录 文件和目录应该使用受限的 ׃≥ 权限保证其安全 o仅允许必要的服务和用户账户访
问 ∀
w1u1y 共享 应该去除所有不必要的文件共享 o包括不需要的默认管理共享 ∀使用受限的 ׃≥ 权限保证
剩余共享的安全 ∀
w1u1z 端口 运行在服务器上的服务监听特定端口以对传入的请求进行服务 ∀必须知道并定期审核服务
器上的开放端口 o保证不安全的服务未处于监听状态且对于通信不是可用的 ∀在最坏的情况下 o入侵者可以
检测到监听端口 o但管理员却并未开启此端口 ∀
w1u1{ 审核和日志记录 审核是识别入侵者或正在进行攻击的重要辅助手段 ∀日志记录在确定入侵或攻
击如何执行时是特别有用的呈堂证供 ∀另外 o使用审核和日志分析还有助于检测入侵标记 ∀推荐使用以下
策略 }tl审核失败的登陆尝试 o有助于发现非法侵入和破译密码的企图 ~ul审核数据检索 !网络通讯和管理功
能k例如 }启用和禁用日志记录l ~vl保护审核文件和日志文件 ∀
413 应用程序层
w1v1t 用户认证 tl用户认证 对于应用程序本身需要采取的安全防护策略是检查应用程序如何对调用
者进行身份认证 o在哪里使用身份认证以及如何保证认证凭据在存储时和在网络中传递时仍保持安全 ∀有
缺陷的身份认证使应用程序容易受到欺骗攻击 !字典攻击 !会话劫持以及其他攻击 ∀应该尽量避免的身份认
证中可能存在的缺陷 }≠脆弱的密码 增加了密码破译和字典攻击的风险 ∀程序应该提醒用户尽量不要使用
姓名 !生日 !电话号码 !门牌号码等相对容易破解的字母或数字作为密码 ∀ 将明文凭据存储在配置文件中
可以访问服务器的其他内部人员或者利用主机的缺陷下载配置文件的攻击者能够访问凭据 o因此不要存储
明文凭据 o应该存储用于验证的密码哈希值 ∀ ≈在网络上传递明文凭据 攻击者能够侦听网络以窃取身份认
证凭据和骗取身份 ∀ …长时间会话 增加了会话劫持相关的风险 ∀ 混合个性化和身份验证 用户的个性化
数据适于存放在持久的 ¦²²®¬¨ o但不应该保留身份验证 ¦²²®¬¨ ∀值得注意的是 o为避免恶意用户申请多个账
号 o可以利用个人电子邮箱数目非常有限这一事实 o采用电子邮件注册的方式 ∀具体实施方案是 }用户注册
必须填写电子邮件地址 o然后程序自动生成字母与数字组合而成的密码 o通过邮件发送至用户填写的邮箱 o
用户只有从邮箱内取得密码后才能登陆及修改密码 ∀
ul用会话变量k¶¨¶¶¬²±l完善用户认证过程 由于 • ¥¨的基本构成块k×≤°Π° !××°和 ×l不提供任
何内建的基础结构来追踪用户所处的状态 o造成了 • ¥¨的无状态特性 o因此在没有其他工作的情况下 o每个
页面的访问都是独立的 o在其内部发生 ~当用户在站点中从一个页面转到另一个页面时 o没有用于追踪用户
的进程和选择的方法k
¨ ± ετ αλqousstl ∀由此 o当需要在站点内部记录用户在页面间的访问和不同访问间的
状态时 o应用程序服务器软件提供了一些解决方案 }客户端在连接到服务器后 o就由 • ¥¨服务器产生并维护
一个客户端的会话 ~当客户端通过无状态 ××°协议再次连接到服务器时 o服务器根据客户端提交的某种凭
据 o如 ¶¨¶¶¬²±或 ¦²²®¬¨参数 o将客户关联到某个会话上 ∀在此 o便可以利用 ¶¨¶¶¬²±变量来记录用户登陆的合
法身份 o使用户在指定时间范围内只需登陆一次即可浏览站点内部的所有授权 • ¥¨页面 ∀
记录用户合法身份或者其他数据时 o有 u种方式 }将数据存储入 ¶¨¶¶¬²±变量或者 ¦²²®¬¨ 变量 o两者最大
的区别在于前者 ¶¨¶¶¬²±变量将变量的值存储于服务器端 o而后者 ¦²²®¬¨ 变量却是将值存储于客户机端 ∀从
安全性方面考虑 o应采用 ¶¨¶¶¬²±变量 ∀当特定的用户第一次访问站点时 o服务器产生一个惟一的 ⁄号 ) ) )
¶¨¶¶¬²± ⁄来识别该用户的浏览器 o当在代码中设置 ¶¨¶¶¬²±变量时 o服务器在变量中存储 ¶¨¶¶¬²± ⁄并将其与
变量值一起存储在服务器端 o当以后访问或输出该变量时 o服务器只简单地基于变量名称和 ¶¨¶¶¬²± ⁄来检
索该值 ∀¶¨¶¶¬²± ⁄是经过加密的 o加密算法比较复杂 o因此绕过 ¶¨¶¶¬²±检测的可能性极小 o安全性极高 ∀
xz 增刊 t 杨彦臣等 }林业信息共享 • ¥¨应用程序安全的保护技术与策略
应用程序需要管理会话保障应用程序的整体安全性 ∀不要在未被加密的通道中传递会话标识符 o保证
会话标识符仅通过加密的通道k例如 ≥≥l进行传递 o否则攻击者可以捕获会话标识符从而骗取身份 ~不要设
置过长的会话生存期 o否则将增加受到会话劫持和重放攻击的风险 ~不要将重要的信息存放在不安全的会话
中 o尽量避免使用 ¦²²®¬¨存放重要的信息 o因为这使得攻击者有访问用户的私有会话数据的可能 ~不要将会
话标识符包含在查询字符串中 o这样可以很容易在客户端修改会话标识符以骗取身份并作为另一用户访问
应用程序 ∀
w1v1u °地址认证 相对而言 o°地址访问限制是最有效的一种安全解决方案 ∀±·¨µ±¨·是由数以千万计
的电脑互联组成的 o在这样庞大的系统中 o要能正确地访问每台机器 o就必须有一个能唯一标识该电脑在网
上位置的东西 o这就是 °地址 ∀其中 o是 ±·¨µ±¨ ·o°是 °µ²·²¦²¯k协议l o即用 ±·¨µ±¨·协议语言表示的地址 ∀
这和现实生活中每个人都必须有个住址才能找到一样 o应用程序可以利用 °地址的唯一性来限制用户的访
问 ∀°地址访问限制适用于用户拥有固定 °或者 °段的情况 o由于 °地址是唯一的 o所以相对而言 o这是
最有效的一种安全措施 ∀例如 o网站的管理程序需要安全保障 o只有拥有管理权限的角色k管理员l才可以使
用 ∀一般管理员都会设置登陆密码 o但是在密码泄漏的情况下 o管理程序就陷入了极度危险的境地 o而使用
°地址限制的方案将有效解决此问题 ∀通过检测向服务器发出数据请求的客户机的 °地址 o仅允许网站管
理员所在的 °或者 °段访问网站管理程序 ∀同样 o如果记录了被网站程序认为是非法的客户机的 °地址 o
那么通过匹配当前客户机的 °地址 o如果相同则拒绝此客户机请求服务器资源 o从而保障服务器资源的安
全性 ∀
代码片断示例k以 ≤ƒ为例l }
d p p p定义合法的 °地址 p p p
¦©¶¨·¯¬¦¬·p¬³ / tuz1s1s1t0
d p p p获取客户机 °地址 p p p
¦©¶¨·¦¯¬¨±·p¬³ ≤q ∞×∞p ⁄⁄
d p p p定义验证结果 p p p
¦©¶¨·√¤¯¬§¤·¨p µ¨¶∏¯· / 0
d p p p判断二者是否匹配 o是则通过 o否则拒绝其请求 p p p
¦©¬© ¬¯¦¬·p¬³±¨ ´ ¦¯¬¨±·p¬³
d p p p未通过验证 o拒绝访问 p p p
¦©¶¨·√¤¯¬§¤·¨p µ¨¶∏¯· /©¤¬¯0
¦©¨ ¶¯¨
d p p p通过验证 p p p
¦©¶¨·√¤¯¬§¤·¨p µ¨¶∏¯· / ¶∏¦¦¨ §¨0
q
q
q
q
Π¦©¬©
w1v1v 表单信息来源认证 网站经常会存有被站外恶意脚本程序不断提交表单申请服务器资源的危险 o例
如有的程序企图破解用户密码 o有的程序向服务器提交垃圾数据等 ∀如何避免因这些恶意程序攻击所造成
的损失呢 下面提供 u种解决途径 ∀
tl验证表单提交页 采用验证表单提交页是否属于本网站的方式来防止站外数据提交 ∀这将用到一个
非常重要的变量 }≤q××°p ∞ƒ∞ ∞ o它记录了本次申请服务器资源的网页 o通过检测此 是否
属于本站可以达到防止站外数据提交的目的 ∀
代码片断示例k以 ≤ƒ为例l }
d p p p定义合法的域名或 ° o默认为本网站的域名 p p p
yz 林 业 科 学 wu卷
¦©¦©¶¨·¯¬¦¬·p ∏µ¯ ¦ª¬q¶¨µ√¨ µp ±¤°¨
d p p p获取引用页的域名或 ° p p p
¦©¶¨·µ¨©¨µ¨µp ∏µ¯ ¯¨©·kµ¨³¯¤¦¨k¦ª¬q«·³p µ¨©¨µ¨µo/ «·³}ΠΠ0 o/ 0 o/ ²±¨ 0l o©¬±§k/Π0 o√p «·³otl p tl
d p p p判断二者是否匹配 p p p
¦©¬© ¬¯¦¬·p ∏µ¯ ±¨ ´µ¨©¨µ¨µp ∏µ¯ d p p p匹配失败 o非法请求 p p p
σ
¦©¨ ¶¯¨ d p p p匹配成功 o合法请求 p p p
σ
Π¦©¬©
ul图形验证码 这种方案主要针对使用恶意程序向服务器提交数据的情况 ∀当一些狡猾的程序采取伪
装域名的方式绕过表单提交页验证程序时 o他们会发现前面还有/图形验证码0这道安全大门 ∀ /图形验证
码0的原理即 }由服务器生成随机的数字 !字母组成的验证码 o并且将验证码嵌入图片内 o然后将此图形验证
码显示在客户机浏览器上 o用户在向服务器端请求资源时必须正确地输入验证码才能得到批准 ∀由于目前
能够自动从图片中读取字母和数字的技术较难达到 o所以应用图形验证码防止站外数据循环提交的方案相
当有效 ∀
w1v1w 输入合法性认证 很多攻击者故意使用格式错误的输入进行攻击 ∀没有输入验证或者仅有简单的
输入验证的 • ¥¨应用程序 o易于受到 ≥±注入 !跨站点脚本编写 k÷≥≥l !缓冲区溢出 !代码注入以及大量其
他中断和提高特权等攻击 o这也是目前林业信息共享网站最容易产生的安全漏洞 ∀
应用程序应该对其收到的所有输入进行限制和清理 o拒绝非法输入 ∀其中限制输入是指将输入内容限
制为已知合法的类型 !模式或范围内 o这是输入合法性认证最好的办法 ∀清理输入是指清除输入内容中有可
能会引起安全问题的部分 o例如/¬±¶¨µ·!¶¨¯¨ ¦·!§¨¯¨ ·¨ !∏³§¤·¨0等 ∀
安全的应用程序应该采取以下输入合法性认证措施 }tl确定程序的入口点 o跟踪接收输入内容后的流
程 ∀ul强制验证所有来自不可信方的输入内容 o包括常规的和隐藏的表单字段 !查询字符串 !参数以及
¦²²®¬¨ ∀vl不要依赖客户端的验证 o因为其非常容易被跳过 o应该应用服务器端验证 ∀wl不要使用通过输入
文件名 !用户名 !或者 进行安全性决策的方式 o这样容易出现标准化错误 o导致安全漏洞 ∀xl对于用来
生成 ≥±查询的输入进行强制多重验证 o否则将使程序易于受到 ≥±注入攻击 ∀
攻击者通过提交一段数据库查询代码 ok一般是在浏览器地址栏进行 o通过正常的 ººº端口访问l根据
程序返回的结果 o获得某些他想得知的数据 o这就是所谓的 ≥±±¨¦·¬²±o即 ≥±注入 ∀
例如 o很多数据库查询 ≥±语句形同
¶¨¯¨ ¦·3 ©µ²°·¤¥¯ p¨ ±¤°¨ º«¨µ¨ ¦²¯ p ±¤°¨ f ¦²¯ f
当输入地址为 «·³}ΠΠººº q¶¬·¨q¦²°Π°¼³¤ª¨ q¤¶³ ¦²¯ t ²µs s时 o≥±语句变成
¶¨¯¨ ¦·3 ©µ²°·¤¥¯ p¨ ±¤°¨ º«¨µ¨ ¦²¯ p ±¤°¨ t ²µs s
这样便能非法取出表/·¤¥¯ p¨ ±¤°¨ 0中的所有记录 ∀
解决这个漏洞的原则 }过滤所有 «·³请求中的参数信息中的非法字符 o如 }/ ¤±§!¨ ¬¨ ¦!. !¬±¶¨µ·!¶¨¯¨ ¦·!
§¨¯¨ ·¨ !∏³§¤·¨ !¦²∏±·!3 !h !¦«µ!°¬§!°¤¶·¨µ!·µ∏±¦¤·¨ !¦«¤µ!§¨ ¦¯¤µ¨0等 ∀
yl验证将包含在超文本标记语言 k×l输出流中的输入 o否则应用程序容易受到 ÷≥≥ k跨站点编写脚
本l攻击 ∀
跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程 ∀利用跨站点编写脚本的一种方式是
通过 ×格式 o将信息帖到公告牌上就是跨站点脚本编写的一个很好范例 ∀恶意的用户会在公告牌上帖
上包含有恶意的 ¤√¤≥¦µ¬³·代码的信息 ∀当用户查看这个公告牌时 o服务器就会发送 o×与这个恶意的用
户代码一起显示 ∀客户端的浏览器会执行该代码 o因为它认为这是来自 • ¥¨服务器的有效代码 ∀
解决 ÷≥≥的方法有 u种 o第一种就是验证输入 o并严格限制用户名所包含的内容 ∀例如 o可以使用正则
表达式检查该名称是否只包含一个普通的字符子集 o并且不太大 ∀
代码片断示例k以 ≤ f为例l
zz 增刊 t 杨彦臣等 }林业信息共享 • ¥¨应用程序安全的保护技术与策略
ª¨¨¬µ ±¨ º ª¨¨¬k /¡≈ …º ¾t owsÀ φ 0l ~
¬©kµq¤·¦«k¶·µ¤°¨ l q≥∏¦¦¨¶¶l ¾
ΠΠ好 d字符串没问题
À ¨¯¶¨ ¾
ΠΠ不好 d字符串无效
À
第二种防范措施是对所有作为输出的输入进行 ×编码 ∀这会减少危险的 ×标记 o使之变成更
安全的转义符 ∀
w1v1x 页面文字保护 为防止用户非法引用 !传播网站资源 o尤其是文字性资源而采取的安全策略 ∀
tl禁止右键粘贴 !键盘 !查看源文件等 依赖于浏览器对于 ¤√¤≥¦µ¬³·脚本的编译运行而实现 o安全性较
差 o如果用户的浏览器禁止运行 ¤√¤≥¦µ¬³·脚本 o那么此方案则完全失败 ~但是此方案方便灵活 o执行效率较
高 ∀在页面文字保护要求低的情况下 o可以选择这种解决方案 ∀
程序代码示例k使页面上的文字不能被鼠标选择l }
¶¦µ¬³·¯¤±ª∏¤ª¨ / ¤√¤≥¦µ¬³·t1u0
©∏±¦·¬²± §¬¶¤¥¯ ¶¨¨¯¨ ¦·k l¨¾
µ¨·∏µ±©¤¯¶¨À
©∏±¦·¬²± µ¨∞±¤¥¯ k¨l¾
µ¨·∏µ±·µ∏¨À
ΠΠ¬©∞w n
§²¦∏°¨ ±·q²±¶¨¯¨ ¦·¶·¤µ· ±¨ º ƒ∏±¦·¬²± k/ µ¨·∏µ±©¤¯¶¨0l
ΠΠ¬©≥y
¬©kº¬±§²º q¶¬§¨¥¤µl¾
§²¦∏°¨ ±·q²±°²∏¶¨§²º± §¬¶¤¥¯ ¶¨¨¯¨ ¦·
§²¦∏°¨ ±·q²±¦¯¬¦® µ¨∞±¤¥¯ À¨
Π¶¦µ¬³·
ul将文字信息嵌入图片或生成 ©¯¤¶«Π³§©等格式发布 安全性很高 o一般需要利用第三方程序来完成 o但
是可能会造成下载速度等效率问题 ∀在页面文字保护要求较高的情况下 o可以选择这种解决方案 ∀
示例 }利用 • ¥¨应用程序服务器 ≤⁄ƒ≥÷ z1s提供的功能 o将包括有文字甚至图片的 • ¥¨页面
直接转换为 ƒ¯ ¤¶«∀
程序代码片段k≤ƒl }
¦©§²¦∏°¨ ±·©²µ°¤· / ƒ¯ ¤¶«°¤³¨µ0
d p p p文字及图片内容 p p p
³ ׫¬¶¬¶¤§²¦∏°¨ ±·µ¨±§¨µ¨§¥¼·«¨ ¦©§²¦∏°¨ ±··¤ªqΠ³
¬°ª¶µ¦ / ·¨¶·qª¬©0
Π¦©§²¦∏°¨ ±·
w1v1y 授权机制 • ¥¨应用程序的安全是相对的 o没有绝对的安全 o因此为了保障在攻击者已经入侵的情
况下将损失降到最低 o应用程序还应该采用风险缓解策略 ∀
tl在应用程序中授权最终用户 确定最终用户可以访问的资源范围和可以进行的操作 o并确保其不能
访问授权范围外的资源和不能进行授权外的操作 ∀不依赖于单一的网关防卫 o可以选择利用 ≥ • ¥¨权限 !
׃≥权限 !授权以及用户权限要求等中至少 u种以上的方式进行安全防卫 ∀
ul在数据库中授权应用程序 应用程序用来连接数据库的账户拥有的权限应该是有限的 o能满足程序
的要求就可以 o不要超出权限 ∀推荐应用程序使用存储过程访问数据库 o这样应用程序只被授予访问存储过
程的权限 o攻击者不能登陆数据库直接进行创建 !增加 !修改 !删除的操作 ∀如非必要 o绝对不要使用/ ¶¤0用
户连接数据库 o可以使用预先定义的具有合适角色的账号连接 ∀
vl在系统级别中授权应用程序 为确保攻击者不能利用应用程序访问其他系统资源 o应用程序应该只
{z 林 业 科 学 wu卷
被授予最小的必需资源访问权限 ∀如果应用程序被损害 o这是限制损害程度的风险缓解策略 ∀例如采用沙
盒技术对代码的访问权限进行限制 o这样恶意代码只能破坏执行环境的很小一部分k杨波等 oussul ∀比如
浏览器中执行的 ¤√¤³³¯ ·¨o限制它只可以在屏幕上画图 o但是不能访问本地文件系统 ∀
x 结语
林业资源信息共享是我国林业信息化发展的基础 o而共享信息的安全又是林业资源信息共享的重要基
础 ∀近年来 o随着/数字林业0的发展 o林业资源信息共享程度日益加强 o信息安全问题的重要性也日益突出 ∀
本文概括了林业信息共享网站基于应用程序的安全保护技术与策略 o这些技术与策略具有普遍性 o但随着网
络应用技术的发展将不断完善和补充 ~这些技术与策略不仅是几年来林业信息共享安全工作的总结 o也是日
后林业信息共享平台的安全建设依据 ∀
参 考 文 献
李彦旭 o巴大志 o成 立 qussu q网络信息安全技术综述 q半导体技术 oktsl }| p tu
苏莹莹 qussv1 • ¥¨安全技术 q牙膏工业 okwl }ws p wv
吴亚青 qussw1网络安全的现状及策略 q前言 oktl }t|x p t|{
王海欣 qussw1 数字图书馆建设中的版权问题综述 q图书馆工作与研究 okvl }xs p xu
杨 波 q朱秋萍 qussu1 • ¥¨安全技术综述 q计算机应用研究 oktsl }t p w
赵晓林 qusst1 网络信息安全的保护技术和策略 q微电脑世界 okvl }t{ p ut
¨ ± ƒ o¤·¨ • o¨¶²± ≤ o ετ αλqusst1 ׫¨ ¦²¯§©∏¶¬²± x º ¥¨¤³³¯¬¦¤·¬²± ¦²±¶·µ∏¦·¬²± ®¬·qw·« ∞§¬·¬²±}°¨ ¤µ¶²± ∞§∏¦¤·¬²±owss p wv|
≥¦«±¨ ¬¨µ
qusss1≥ ¦¨µ¨·¶¤±§ ¬¯¨¶q⁄¬ª¬·¤¯ ¶¨¦∏µ¬·¼¬± ¤ ±¨ ·º²µ®¨ §º²µ¯§q ¨ º ≠²µ®}²«± • ¬¯¨ ¼ °µ¨¶¶
k责任编辑 于静娴 张君颖 石红青l
|z 增刊 t 杨彦臣等 }林业信息共享 • ¥¨应用程序安全的保护技术与策略