基于WEB信息系統(tǒng)的安全架構(gòu)研究

摘 要：隨著信息技術(shù)的快速發(fā)展，信息安全越來越引起廣泛關(guān)注，基于Web信息系統(tǒng)的安全架構(gòu)與策略研究也越來越深入。該文討論了不同類型信息系統(tǒng)安全體系結(jié)構(gòu)的特征，并研究了信息系統(tǒng)安全體系結(jié)構(gòu)的構(gòu)成要素，提出了基于Web信息系統(tǒng)安全架構(gòu)的模型。

關(guān)鍵詞：Web信息系統(tǒng)；信息安全；安全架構(gòu)

中圖分類號：TP393.02

伴隨著互聯(lián)網(wǎng)的快速發(fā)展和經(jīng)濟(jì)的全球化，軟件已經(jīng)深入并廣泛地滲透到人類社會的各個方面。與此同時如何構(gòu)建一個基于WEB信息系統(tǒng)的安全架構(gòu)就顯得尤為迫切?；赪EB的信息系統(tǒng)采用B/S（Browser/Server）架構(gòu)，具體指運行服務(wù)器系統(tǒng)架構(gòu)。在軟件程序更新頻率加快的情況下，B/S架構(gòu)將逐步替代C/S架構(gòu)，而且B/S架構(gòu)能夠提高Web軟件系統(tǒng)編譯與智能數(shù)據(jù)庫系統(tǒng)兼容性，加快軟件程序技術(shù)的發(fā)展速度。本文在分析基于web的信息系統(tǒng)體系結(jié)構(gòu)的基礎(chǔ)上， 對基于Web 的信息系統(tǒng)安全架構(gòu)所涉及的安全性問題進(jìn)行了探討， 并給出了建議和意見.

1 基于Web的信息系統(tǒng)的體系架構(gòu)研究概述

B/S結(jié)構(gòu)是對C/S結(jié)構(gòu)的改進(jìn)型，在B/S架構(gòu)的邏輯運算主要通過云服務(wù)器完成，這種方式實現(xiàn)了原來需要復(fù)雜專用軟件才能實現(xiàn)的強大功能，并節(jié)約了開發(fā)成本，是一種全新的軟件系統(tǒng)構(gòu)造技術(shù)。隨著Windows圖形操作系統(tǒng)將瀏覽器技術(shù)植入操作系統(tǒng)內(nèi)部，這種結(jié)構(gòu)更成為當(dāng)今應(yīng)用軟件普遍使用的體系結(jié)構(gòu)。

在B/S架構(gòu)中，用戶電腦與主服務(wù)器采用HTTP通信協(xié)議，用戶可以通過Web瀏覽器訪問云端數(shù)據(jù)庫，各組成部分通過網(wǎng)絡(luò)實現(xiàn)物理連接。B/S體系結(jié)構(gòu)的核心是動態(tài)Web服務(wù)器，在這種結(jié)構(gòu)下，應(yīng)用程序的安裝和部署是在Web服務(wù)器上進(jìn)行的，基于服務(wù)器的架構(gòu)設(shè)計模式使B/S架構(gòu)功能呈分布狀態(tài)。用戶通過瀏覽器向服務(wù)器數(shù)據(jù)庫發(fā)送特定指令，服務(wù)器通過復(fù)雜運算將用戶所需界面以HTML文本的格式發(fā)送給用戶計算機，用戶可以隨時隨地進(jìn)行業(yè)務(wù)處理，開發(fā)者通過增加網(wǎng)頁即可增加服務(wù)功能；B/S結(jié)構(gòu)易于維護(hù)，開發(fā)簡單，共享性強，隨著安全和標(biāo)準(zhǔn)問題正在被快速解決，基于WEB信息系統(tǒng)安全架構(gòu)越來越成熟，基于WEB信息系統(tǒng)安全架構(gòu)產(chǎn)品將成為未來發(fā)展的主流。

2 基于WEB信息系統(tǒng)安全架構(gòu)概念層次分析

2.1 信息系統(tǒng)安全保密規(guī)范

信息安全保密規(guī)范是保證計算機網(wǎng)絡(luò)通信服務(wù)，實現(xiàn)智能化服務(wù)的安全標(biāo)準(zhǔn)，它強調(diào)網(wǎng)絡(luò)通信的安全與保密性質(zhì)。信息安全保密規(guī)范包括下列幾個方面：

描述安全框架的組織結(jié)構(gòu)；

定義安全框架各部分要求的安全概念；

描述框架其他部門確定的業(yè)務(wù)與機制之間的關(guān)系。

2.2 信息安全機制及其標(biāo)準(zhǔn)

2.2.1 保密機制。保密機制是計算機安全系統(tǒng)的核心，它能夠?qū)崿F(xiàn)信息存儲、傳輸?shù)募用埽用芊绞绞菍⒚魑慕?jīng)過特定的邏輯運算變成密文。

2.2.2 訪問控制機制。訪問控制能夠?qū)?shù)據(jù)庫信息針對不同用戶設(shè)定訪問權(quán)限，具體方法是登陸密碼、通信授權(quán)、設(shè)定訪問時間等。

2.2.3 數(shù)據(jù)完整性機制。數(shù)據(jù)完整機制保證了數(shù)據(jù)傳輸前后的高度一致性，即沒有經(jīng)過篡改或非法讀取。數(shù)據(jù)完整性機制包括數(shù)據(jù)加密、監(jiān)測等，數(shù)據(jù)完整性機制標(biāo)準(zhǔn)包含分部加密運算、密保監(jiān)測機制等。

2.3 網(wǎng)絡(luò)通信安全標(biāo)準(zhǔn)

網(wǎng)絡(luò)通信安全主要利用互聯(lián)網(wǎng)通信系統(tǒng)中特定的安全加密程序如網(wǎng)絡(luò)防火墻、加密程序、網(wǎng)關(guān)限制等安全服務(wù)保證信息傳輸?shù)陌踩?/p>

2.4 信息安全管理標(biāo)準(zhǔn)

信息安全要求信息傳輸過程中保密性、完整性與實效性，因此需要建立信息安全法制體系，通過法律強制性營造安全健康的網(wǎng)絡(luò)信息環(huán)境，并鼓勵信息安全加密技術(shù)發(fā)展，確保信息安全。

2.5 系統(tǒng)證書管理機制設(shè)計

為了實現(xiàn)上述系統(tǒng)的安全運行，需要科學(xué)數(shù)字證書管理系統(tǒng)，證書管理系統(tǒng)包含證書服務(wù)器設(shè)置、數(shù)字證書申請與認(rèn)證、證書安裝等。

2.5.1 證書服務(wù)器的設(shè)置。證書服務(wù)器即CA（Certificate Authority，認(rèn)證中心），采用特定服務(wù)器系統(tǒng)申請并設(shè)置獨立的認(rèn)證密保CA即可。服務(wù)器申請建立的獨立根CA即可。

2.5.2 數(shù)字證書申請。用戶利用瀏覽器通過通過IIS提供數(shù)字證書申請的證書申請功能（http：//servername/certsrv，其中server nanle數(shù)字證書服務(wù)器的名稱）來實施數(shù)字證書的申請操作，用戶輸入證書服務(wù)器網(wǎng)址后可以根據(jù)申請到的證書設(shè)置登陸與使用權(quán)限的密鑰。

2.5.3 頒發(fā)證書。微軟Windows系統(tǒng)數(shù)字證書設(shè)置操作過程所采用的證書文本格式為標(biāo)準(zhǔn)的X.509v3證書格式。X.509證書系統(tǒng)包含申請證書用戶的個人電腦與云端數(shù)據(jù)庫信息、證書使用權(quán)限與密鑰格式、頒發(fā)證書的權(quán)威機構(gòu)信息等。一般證書申請后都包括公用密保與私人密保兩部分證書，證書格式大多為pfx。如果用戶用傳輸保密數(shù)據(jù)或者將云端數(shù)據(jù)進(jìn)行加密操作，可以將公共密保的證書部分發(fā)送給數(shù)據(jù)加密的第三方服務(wù)器，數(shù)字證書內(nèi)容除以pfx格式存儲于系統(tǒng)程序中，還可以存儲于證書系統(tǒng)的加密程序存儲器中。

2.5.4 證書安裝。用戶經(jīng)申請獲得認(rèn)證的數(shù)字證書后，還需要將含有個人密保設(shè)定的證書安裝在用戶個人計算機中，以確認(rèn)證書的可用性與保密的唯一性，并利用證書安全檢驗程序驗證個人設(shè)定的安全密鑰。將含有公鑰的證書安裝在需要發(fā)信息的客戶端，用其簽名和加密消息，以保證數(shù)據(jù)信息傳輸?shù)耐暾浴⒖煽啃院臀ㄒ恍浴?/p>

2.6 數(shù)據(jù)訪問控制

用戶使用互聯(lián)網(wǎng)進(jìn)行加密數(shù)據(jù)的數(shù)據(jù)通信時，亦可以對加密數(shù)據(jù)設(shè)定特定的訪問權(quán)限，即對其他互聯(lián)網(wǎng)用戶進(jìn)行訪問控制，訪問控制可以通過物理方式或者計算機安全保密系統(tǒng)實施特定的設(shè)置。因此計算機訪問控制功能能夠?qū)μ囟ㄓ脩艋蛘叻?wù)器中的特定信息設(shè)定訪問權(quán)限。就基于角色訪問控制而言，訪問控制針對的是訪問的特定角色，私人使用者是某個網(wǎng)絡(luò)團(tuán)體的一部分，針對每一部分進(jìn)行設(shè)定，更能夠體現(xiàn)訪問控制的智能化、人性化。用戶具有指派的角色定義角色的過程應(yīng)該基于對組織運轉(zhuǎn)的徹底分析，應(yīng)該包括來自一個組織中更廣范圍用戶的輸入。

3 結(jié)束語

基于WEB信息系統(tǒng)安全架構(gòu)研究是信息系統(tǒng)安全研究領(lǐng)域的一個重要內(nèi)容，目前在此方面還缺乏對一些基本問題的共同認(rèn)識和理解，因此，該文討論了基于WEB信息系統(tǒng)安全架構(gòu)的類型和構(gòu)成要素，并提出了基于WEB信息系統(tǒng)安全架構(gòu)的構(gòu)建步驟，目的在于從整體上理順和發(fā)展信息系統(tǒng)安全架構(gòu)的基本概念，以實現(xiàn)基于WEB信息系統(tǒng)安全架構(gòu)的構(gòu)建和應(yīng)用。

參考文獻(xiàn)：

[1]王立新，周元.計算機網(wǎng)絡(luò)安全技術(shù)的問題及解決辦法[J].中國科技信息，2008（06）.

[2]莫瑞·加瑟.計算機安全的技術(shù)與方法[M].吳亞非，譯.北京：電子工業(yè)出版社，1992.

[3]段海新，吳建平.計算機網(wǎng)絡(luò)安全體系的一種框架結(jié)構(gòu)及其應(yīng)用[J].計算機工程與應(yīng)用，2000.

[4]張英朝等，基于智能協(xié)作技術(shù)的信息系統(tǒng)安全體系結(jié)構(gòu)研究[J].計算機學(xué)報，2002.

作者單位：北京天航信民航通信網(wǎng)絡(luò)發(fā)展有限公司，北京 100222