[发明专利]WEB应用安全防护系统

说明书

本发明公开了一种WEB应用安全防护系统，包括相连接的管理监控单元、代码检测单元和代码检测单元，管理监控单元用于提供可独立部署运行的应用程序，并对应用程序进行管理和监控。本发明可对WEB应用的全生命周期提供安全保障支持，可对多个系统多个环境进行集中式的安全监控，降低运维成本，安全规则可定制、可扩展，运维人员可以更加有效地对新发现的漏洞进行防护，开发人员可以在开发过程中得到及时有效的提醒，可更加有效地防止各类针对WEB应用的攻击，可以识别发现未在请求阶段被拦截的攻击，为运维人员扩展新规则提供依据和参考，可实现只部署一次，所有新增的WEB应用系统即可以受到保护。

技术领域

本发明涉及WEB应用系统的安全防护领域，特别涉及一种WEB应用安全防护系统。

背景技术

随着科学技术的突飞猛进，互联网以及移动互联网的蓬勃发展，越来越多的应用程序使用WEB的方式提供服务或依赖于WEB应用系统提供的服务接口提供服务。对于WEB应用系统的安全防护，传统的安全手段(通信加密、防火墙、操作系统补丁、防病毒软件等)只能对操作系统级和网络信令协议级的漏洞进行防护，对于应用系统本身的漏洞无法提供有效的防护；另一方面，由于技术门槛等原因，越来越多的网络攻击行为是针对应用系统本身的漏洞进行攻击，WEB应用系统面临更加严峻的安全考验。

对于WEB应用系统本身的安全保证，现有的方式如下：1)开发阶段，督促开发者注意安全问题，禁止引入存在安全问题的组件，提高代码质量；2)部署上线前对代码进行审查，并使用安全扫描工具进行扫描，并要求修补审查和扫描中发现的漏洞后才允许上线；3)定期升级安全扫描工具，并对已上线运行的系统进行扫描，如新发现的漏洞，通知开发团队进行限期整改。

这些方式明显存在如下不足：1)对于开发阶段的安全保证没有形成可执行的规范，只能依靠开发人员的自觉性；2)只能对已知的安全漏洞进行防护，对新出现的安全漏洞无法及时应对；3)发现新漏洞后，必须依赖开发团队进行整改修复，运维人员无法提供有效防护；4)当存在发生或可能已发生的攻击时，无法进行拦截和告警，运维人员无法在安全事故发生前进行应对。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种可对WEB应用的全生命周期提供安全保障支持，可对多个系统多个环境进行集中式的安全监控，降低运维成本，安全规则可定制、可扩展，运维人员可以更加有效地对新发现的漏洞进行防护，开发人员可以在开发过程中得到及时有效的提醒，可更加有效地防止各类针对WEB应用的攻击，可以识别发现未在请求阶段被拦截的攻击，为运维人员扩展新规则提供依据和参考，可实现只部署一次，所有新增的WEB应用系统即可以受到保护的WEB应用安全防护系统。

本发明解决其技术问题所采用的技术方案是：构造一种WEB应用安全防护系统，包括：

管理监控单元：用于提供可独立部署运行的应用程序，并对所述应用程序进行管理和监控；

代码检测单元：用于以开发工具插件的形式提供代码检测功能；

站点防护单元：用于作为嵌入WEB服务器的运行单元，嵌入到所述站点防护单元的WEB服务器在启动时会自动启动所述站点防护单元；

所述管理监控单元、代码检测单元和站点防护单元相连接。

在本发明所述的WEB应用安全防护系统中，所述管理监控单元进一步包括：

配置管理模块：用于对各类安全规则进行管理和应用；

日志管理模块：用于统一对接入所述WEB应用安全防护系统的应用的安全日志进行管理查阅；

数据服务模块：用于为所述代码检测单元和站点防护单元提供统一的数据服务接口；

监控告警模块：用于定时对安全日志进行分析，当分析结果触发告警规则时，则发送告警提醒；