论文摘要
目前越来越多的企业将业务平台转移到网络上,采用B/S架构,用户无须装客户端软件即可用浏览器访问系统。互联网有开放性、连接形式多样性等特性,也带来了比桌面软件更普遍的安全问题。尤其对于网上银行或金融系统来说,能否保护数据的隐密性与合法性,防止非授权用户查看与修改商业数据,对于一个系统的稳定运行、保护商业利益至关重要。本文在一个金融网上应用系统FWS的项目经验的基础上,研究当前网络安全涉及到的主要几种攻击风险,分为网络访问连接风险,用户输入风险以及数据安全风险三类,分别针对这三类网络风险研究如何在实践中防范可能存在的攻击,并结合项目开发的Struts平台来探讨如何实现更有效方便的安全处理逻辑。针对目前Web2.0流行的AJAX技术,探讨如何检测与防范可能存在的安全隐患。论文第一章概要地介绍了本文研究的背景,研究意义与本文所完成的主要内容。第二章综述了当前学术界针对网络安全的研究现状,列举了普遍存在的主要几种攻击形式与安全风险,和对应的典型攻击方法,并介绍了已有的研究针对这些网络风险的检测与防范方法。第三章介绍了FWS项目的主要开发环境(JSP+Struts+EJB),列举了下文涉及到的几个主要的功能模块,以及系统所定义的安全需求。第四章分析了网络连接方面的风险情况,并针对这些风险提出从外部系统层面应用SiteMinder来管理用户ID的登录和权限管理,用WebSphere Portal Server来管理Session,以及配置使用HTTPS来加密网络传输信息。第五章分析了用户输入方面的风险情况,针对不同类型的输入采用不同的输入检测方法,研究如何规范化输出结果,并研究如何结合Struts验证框架来提高安全验证代码的效率,以及针对AJAX连接如何防止可能的风险隐患。第六章分析了数据安全方面的风险情况,探讨如何检测用户访问系统功能的权限,保证系统功能与隐密数据只让授权用户看到。并研究如何检测用户操作的权限,防止非授权用户修改数据。第七章总结了本论文的主要工作,并展望未来可以继续研究和改进的地方。