[发明专利]一种WEB应用系统信息安全框架的实现方法及装置

权利要求书

1.一种WEB应用系统信息安全框架的实现方法，其特征在于，包括如下

部分：

编码期防护：在编码期提供WEB安全开发规范及WEB安全API；所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞；所述WEB安全API提供对现有安全漏洞的防范处理；通过调用所述WEB安全API以对代码漏洞进行防范处理；

编译期防护：在编译期提供编辑环境的插件，所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况；

部署期防护：在部署期提供部署环境的已知配置漏洞的扫描，以及漏洞处理的知识库管理；所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的；

运行期防护：在运行期，以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。

2.根据权利要求1所述的WEB应用系统信息安全框架的实现方法，其特

征在于，所述WEB安全开发规范采用文档形式，所述WEB安全API采用DLL形式。

3.根据权利要求2所述的WEB应用系统信息安全框架的实现方法，其特

征在于，所述编译期防护进一步包括如下步骤：

A）捕捉编码期类库或配置规则；

B）判断当前项目编码是否应该调用WEB安全API，如是，执行步骤C），否则，返回步骤A）；

C）判断是否调用了WEB安全API，如是，返回步骤A）；否则，发出警告以提醒开发者进行调用。

4.根据权利要求3所述的WEB应用系统信息安全框架的实现方法，其特

征在于，在所述部署期防护中，对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复，对扫描的新漏洞采用新设计的修复方式进行修复。

5.根据权利要求1至4任意一项所述的WEB应用系统信息安全框架的实

现方法，其特征在于，在所述运行期防护中，所述插件形式为以ASP.NET的HTTPModuel插件形式，WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截；在所述输入拦截中，对所有输入请求内容进行安全规则的数据校验；在所述输出拦截中，对所有输出内容进行安全规则的数据校验，并根据配置要求，对输出安全所需的附加HTTP头进行检查。

6.一种实现如权利要求1所述WEB应用系统信息安全框架的实现方法的

装置，其特征在于，包括：

编码期防护模块：用于在编码期提供WEB安全开发规范及WEB安全API；所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞；所述WEB安全API提供对现有安全漏洞的防范处理；通过调用所述WEB安全API以对代码漏洞进行防范处理；

编译期防护模块：用于在编译期提供编辑环境的插件，所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况；

部署期防护模块：用于在部署期提供部署环境的已知配置漏洞的扫描，以及漏洞处理的知识库管理；所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的；

运行期防护模块：用于在运行期，以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。

7.根据权利要求6所述的利用上述WEB应用系统信息安全框架的实现方

法的装置，其特征在于，所述WEB安全开发规范采用文档形式，所述WEB安全API采用DLL形式。

8.根据权利要求7所述的利用上述WEB应用系统信息安全框架的实现方

法的装置，其特征在于，所述编译期防护模块进一步包括：

捕捉单元：用于捕捉编码期类库或配置规则；

编码判断单元：用于判断当前项目编码是否应该调用WEB安全API；

调用判断单元：用于判断是否调用了WEB安全API，并在未调用时发出警告以提醒开发者进行调用。

9.根据权利要求8所述的利用上述WEB应用系统信息安全框架的实现方

法的装置，其特征在于，在所述部署期防护中，对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复，对扫描的新漏洞采用新设计的修复方式进行修复。

10. 根据权利要求6至9任意一项所述的利用上述WEB应用系统信息安全

框架的实现方法的装置，其特征在于，在所述运行期防护中，所述插件形式为以ASP.NET的HTTPModuel插件形式，WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截；在所述输入拦截中，对所有输入请求内容进行安全规则的数据校验；在所述输出拦截中，对所有输出内容进行安全规则的数据校验，并根据配置要求，对输出安全所需的附加HTTP头进行检查。