[发明专利]一种WEB应用系统信息安全框架的实现方法及装置

说明书

技术领域

本发明涉及互联网领域，特别是指一种WEB应用系统信息安全框架的实现方法及装置。

背景技术

随着信息技术的不断发展，计算机安全的研究范围也越来越广，计算机安全关注的重点也是从最初的操作系统的安全机制、网络安全技术（如防火墙、入侵检测等）研究发展到了对应用安全（如编写安全的应用程序）和内容安全（防止垃圾邮件和间谍，广告软件）的研究。应用安全，就是需要我们从应用层面来考虑软件系统本身的安全问题，包含两方面的含义：一是构建安全的应用软件，就是在软件的设计、开发、部署和维护中防止安全漏斗；二是保护软件的安全运行以及防止逆向工程，比如，模糊化软件代码防止逆向工程，正确检查程序的输入参数，防止输入数据的安全威胁。

WEB应用系统安全术语应用安全的范畴，有狭义定义和广义定义。狭义的WEB应用安全只关注WEB应用代码的安全问题，广义的WEB应用安全涉及整个应用层，包括数据库、WEB服务器、应用服务器、应用层协议和自行编写的WEB应用代码。现有技术中，同类应用防火墙只防护软件项目的运行期，而在软件项目的编码期、编译期和部署期未进行安全漏洞的防御，无法对漏洞进行全面的防护。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述对漏洞不能进行全面防护的缺陷，提供一种能对漏洞进行全面防护的WEB应用系统信息安全框架的实现方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种WEB应用系统信息安全框架的实现方法，包括如下部分：

编码期防护：在编码期提供WEB安全开发规范及WEB安全API；所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞；所述WEB安全API提供对现有安全漏洞的防范处理；通过调用所述WEB安全API以对代码漏洞进行防范处理；

编译期防护：在编译期提供编辑环境的插件，所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况；

部署期防护：在部署期提供部署环境的已知配置漏洞的扫描，以及漏洞处理的知识库管理；所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的；

运行期防护：在运行期，以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。

在本发明所述的WEB应用系统信息安全框架的实现方法中，所述WEB安全开发规范采用文档形式，所述WEB安全API采用DLL形式。

在本发明所述的WEB应用系统信息安全框架的实现方法中，所述编译期防护进一步包括如下步骤：

A）捕捉编码期类库或配置规则；

B）判断当前项目编码是否应该调用WEB安全API，如是，执行步骤C），否则，返回步骤A）；

C）判断是否调用了WEB安全API，如是，返回步骤A）；否则，发出警告以提醒开发者进行调用。

在本发明所述的WEB应用系统信息安全框架的实现方法中，在所述部署期防护中，对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复，对扫描的新漏洞采用新设计的修复方式进行修复。

在本发明所述的WEB应用系统信息安全框架的实现方法中，在所述运行期防护中，所述插件形式为以ASP.NET的HTTPModuel插件形式，WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截；在所述输入拦截中，对所有输入请求内容进行安全规则的数据校验；在所述输出拦截中，对所有输出内容进行安全规则的数据校验，并根据配置要求，对输出安全所需的附加HTTP头进行检查。

本发明还涉及一种实现上述WEB应用系统信息安全框架的实现方法的装置，包括：

编码期防护模块：用于在编码期提供WEB安全开发规范及WEB安全API；所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞；所述WEB安全API提供对现有安全漏洞的防范处理；通过调用所述WEB安全API以对代码漏洞进行防范处理；

编译期防护模块：用于在编译期提供编辑环境的插件，所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况；

部署期防护模块：用于在部署期提供部署环境的已知配置漏洞的扫描，以及漏洞处理的知识库管理；所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的；

运行期防护模块：用于在运行期，以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。