在 Web 应用开发前,尤其是大型的 Web 应用,都需要开发人员根据实际的资源, 环境等情况来决定使用何种技术来实现 Web 应用的需求,它从宏观上包涵了其中所选 择的各种技术的组织形式。Web 应用安全架构旨在解决 Web 应用所面临的安全威胁的 问题,其最终应用的安全性会根据不同的安全架构而产生不同的防护效果。 根据上一章的状态攻击图评估模型的攻击状态、攻击行为以及攻击路径,结合各个 攻击方式的攻击原理,可结合采取多种措施进行安全防护并可由此构建 Web 应用安全架构。
主要从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、监控与审计等几个方面的安全需求。
