[发明专利]一种软件系统安全加固方法

说明书

本发明特别涉及一种软件系统安全加固方法。该软件系统安全加固方法，针对不同的网络攻击行为，定制开发多个安全漏斗，通过配置的方式启用安全过滤，对外部传入软件系统的数据及网址进行多重过滤，及时发现危险数据并进行清除，阻断网络恶意攻击，从而保障软件系统安全可靠运行。该软件系统安全加固方法，不仅能够及时发现危险数据并进行清除，阻断网络恶意攻击，保障软件系统安全可靠运行，而且无需修改现有业务代码，开发周期短，使用方便，能够快速满足软件系统的安全加固要求。

技术领域

本发明涉及计算机软件安全技术领域，特别涉及一种软件系统安全加固方法。

背景技术

为保障信息安全，企业对软件系统的信息安全日益重视，通过软件安全测评也成为软件系统上线的必备条件。目前，针对安全测评所发现的软件安全问题，通常采用修改业务系统相关源代码的方式，开发周期长、工作量大、测试任务繁重，经常影响软件业务功能的正常运行。

为了有效解决当前所存在的问题，本发明提出了一种软件系统安全加固方法，对网络攻击的特征进行抽象建模，统一处理逻辑，统一编码，统一配置。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的软件系统安全加固方法。

本发明是通过如下技术方案实现的：

一种软件系统安全加固方法，其特征在于：针对不同的网络攻击行为，定制开发多个安全漏斗，通过配置的方式启用安全过滤，对外部传入软件系统的数据及网址进行多重过滤，及时发现危险数据并进行清除，阻断网络恶意攻击，从而保障软件系统安全可靠运行；

具体实现步骤如下：

S1.分析常见的网络攻击行为，定制安全过滤关键词黑名单，通过外部输入安全漏斗对外部传入的输入数据，查询条件和跳转网址进行安全过滤，发现并清除危险数据，中断恶意攻击行为，记录安全日志；

S2.定制合规网址白名单，利用跳转网址安全漏斗中断非法的网址跳转，并记录安全日志；

S3.针对安全过滤所发现的网络攻击行为，提供软件系统安全行为审计，分析常见网络攻击行为，提升软件系统安全加固的针对性。

所述步骤S1中，使用正则表达式定制安全过滤关键词黑名单，针对跨站脚本攻击、SQL注入攻击和/或XML注入攻击所使用的关键词，进行配置；且安全过滤关键词黑名单的安全规则能够根据攻击类型和业务功能的要求进行调整，为外部输入安全漏斗配置安全过滤规则提供依据。

所述步骤S1中，外部输入安全漏斗通过javax.servlet.Filter接口在init()方法中加载安全过滤关键词黑名单，生成安全过滤规则；

在doFilter(ServletRequest request,ServletResponse response,FilterChain chain)方法中，按照过滤规则对外部传入的请求进行黑名单正则匹配过滤；

如果匹配到危险的输入数据，拦截并清除相关数据，中断网络请求，阻断外部攻击行为，并在记录网络攻击拦截日志；

外部数据安全过滤完成后，调用chain.doFilter()方法，将过滤后的数据传入跳转网址安全漏斗，继续进行安全过滤。

所述步骤S2中，使用plainText方式定义合规网址白名单，按域名和IP两种方式定制合规网址白名单，域名之间用“:”分隔；IP地址列表设置固定IP或IP区间，IP区间用“:”分割，多个IP之间用“,”分割，使用0作为网段通配符；

合规网址白名单能够按软件系统实际部署情况进行调整，为跳转网址安全漏斗配置网站跳转规则提供依据。