随着Internet日益渗入社会的每个领域,融入人们的工作、学习和生活,构建安全的电子政务、电子商务等Web应用成为当前网络安全领域研究的热点之一,其实现具有重大的实用价值和社会价值。本文提出了一整套系统化的主动防御的WWW安全机制,重点从强化WWW系统自身的安全入手,构建和实现安全的Web应用。防火墙、IDS等传统技术主要从外部保障Web应用的安全,但只有从WWW系统自身这一内在因素的强健、安全出发,才能从源头上解决问题。具体来说,本文的主要贡献有:提供构架安全Web应用的系统化的整体解决方案。包括Web服务器的信息安全,Web服务器与客户端的数据传输安全,Web客户端访问服务器的安全控制等。采用分密级加密存储访问和页面原始性鉴别技术构建安全的Web页面存储。系统对存储在Web服务器上的页面根据其重要程度不同实施不同密级的加密存储,防止恶意下载Web页面导致敏感信息泄漏;并对所有页面进行原始性鉴别,既可防止Web页面被非法篡改带来的不良影响,也能避免黑客未经授权非法放置可执行脚本等后台木马程序。页面解密和原始性鉴别通过服务器中间件实现,对用户透明。采用存取控制及数据加密等技术构建安全的Web数据存储。存取控制确保系统授权的合法用户能够可靠地访问数据库中的数据信息,并同时防止非授权用户的任何访问操作;采用数据项加密技术对数据库进行加密,防止非法用户窃取或篡改数据。采用数据备份与灾难恢复技术构建安全的Web物理存储。在出现火灾、<WP=3>雷击、恐怖袭击等不可预知的灾难性事故时,逻辑上的一切安全措施均失去意义,必须从物理上确保系统的安全,才能构建真正安全的Web应用。采用数据备份与灾难恢复技术构建安全Web存储应用,可以从物理上保证Web应用的安全。采用SSL及SSH技术构建安全的Web数据传输。SSL技术能确保Web服务器的数据安全送达Web客户端,而SSH技术能实现对Web服务器上的文件及其它资源的安全管理,从而保证Web服务器到客户端的“中间环节”是安全的。采用基于角色的分级访问控制策略构建安全的Web客户端访问。系统对Web应用客户按访问权限进行分类,赋予不同的角色,实现基于角色的分级访问控制。某一角色的客户只能访问该角色授权访问的Web页面,不能越权访问。采用数字水印日志技术构建安全的Web审计。一个安全的Web应用需要严格记录访问者的操作日志,并对日志采用数字水印技术保证其权威性、完整性和不可抵赖性。提出可行的安全评估及实施方案。对Web安全进行评估和规划,为安全Web应用的构建奠定坚实基础。通过采用合理的网络结构、适当的Web服务器负载以及改进Web协议来改善安全Web应用的性能;提供安全、方便的Web应用配置和管理工具,提高安全Web应用实施的效率和安全性。总之,上述系统化的主动防御的安全WWW机制,可广泛应用于金融、证券、电信、军队、政府、教育等行业的电子政务、电子商务等应用环境,是构建安全Web应用的理想方案。2003年4月25日,“基于‘龙芯’的多功能安全Web服务器及客户端SSL代理程序”通过四川省科技厅专家组鉴定。鉴定委员会一致认为该成果“属国内首创”,“居国内领先水平”,“具有广阔的应用前景”。2003年9月,“一种安全文件系统及访问控制方法”申请发明专利。2003年11月,“电子政务/电子商务网络安全平台核心技术”项目获成都市科技进步一等奖。