本发明专利技术公开了一种Web应用开发中的HACCP安全体系的构建方法,包括对Web应用的开发环境和系统架构进行分析,基于分析结果以及Web应用的用户数据和系统资源不被非法获取和篡改的要求,对危害Web应用的潜在因子进行分析,确定关键控制点;根据所确定的关键控制点,确定关键指标,并建立每个关键控制点的纠偏措施和验证程序,构建Web应用开发的HACCP安全体系。本发明专利技术构建的HACCP安全体系可以运用于真实软件开发环节,在软件的开发过程中就将软件的安全隐患消除到最低限度,具有预防性、事前性、成本低等特点,有助于软件工程领域安全软件开发标准的制定。
The construction and application of HACCP security system in web application development
【技术实现步骤摘要】
一种Web应用开发中的HACCP安全体系的构建方法以及应用方法
本专利技术涉及软件工程、信息安全
,具体涉及一种Web应用开发中的HACCP安全体系的构建方法以及应用方法。
技术介绍
随着计算机技术的高速发展,以互联网为代表的信息技术逐渐成为人类生产和生活中必不可少的一部分,其中Web应用程序因为具无需安装更新、使用方便、资源占用少、跨平台能力强等优点成为当前最主流的软件类型,例如订票系统、购物网站、酒店管理系统、公司官方网站等。一方面,互联网遍布全球,具有极高的开放性,极大程度上提高了资源共享程度和工作效率;另一方面,互联网具有开放性,这不可避免地增加了Web应用的安全隐患,Web应用的安全问题日益突出,不法分子可以利用Web应用系统的安全设计漏洞进行违法犯罪活动,比如窃取用户的隐私数据、生成虚假页面诱骗用户进行转账、过度占用服务器资源导致服务器运转缓慢甚至瘫痪等。现有技术中,为了降低Web系统的安全隐患,一般是在系统开发完成以后,使用漏洞检测软件对系统进行彻底分析检测,找到系统中存在的安全漏洞。本申请专利技术人在实施本专利技术的过程中,发现现有技术的方法,至少存在如下技术问题:现有技术中采用的基于软件检测的安全防护措施不仅费用昂贵,而且检测分析耗时。由此可知,现有技术中的方法存在成本高且效果不佳的技术问题。
技术实现思路
有鉴于此,本专利技术提供了一种Web应用开发中的HACCP安全体系的构建方法以及应用方法,用以解决或者至少部分解决现有技术中的方法存在的成本高且效果不佳的技术问题。为了解决上述技术问题,本专利技术第一方面提供了一种Web应用开发中的HACCP安全体系的构建方法,包括:步骤S1:对Web应用的开发环境和系统架构进行分析,基于分析结果以及Web应用的用户数据和系统资源不被非法获取和篡改的要求,对危害Web应用的潜在因子进行分析,确定关键控制点;步骤S2:根据所确定的关键控制点,确定关键指标,并建立每个关键控制点的纠偏措施和验证程序,关键控制点、关键指标以及纠偏措施和验证程序构成Web应用开发的HACCP安全体系。在一种实施方式中,步骤S1中危害Web应用的潜在因子包括但不限于:数据库隐私数据被窃取、数据库数据被非法篡改、数据传输中隐私数据被截取且轻易破解、系统数据库的用户名密码被套取、Web系统的资源被恶意侵占导致系统运行缓慢甚至崩溃、用户名等关键用户信息被套取、用户跨权限非法访问相关模块或功能、系统文件被非法窃取、病毒文件提交至服务器、服务器崩溃导致系统瘫痪、系统出错或者遭到入侵时无法检测。在一种实施方式中,步骤S1中确定的关键控制点包括但不限于:网络数据交互、用户的表单输入、系统提示信息、数据库中关键数据存储、用户的访问权限、用户请求的频率、用户真实性、文件上传与下载、服务器错误界面、服务器架构、数据库服务器用户名与密码、Web应用日志。在一种实施方式中,步骤S2中根据所确定的关键控制点,确定关键指标,包括:根据关键控制点的安全性、合法性确定关键控制点的关键指标。在一种实施方式中,网络数据交互的关键指标包括是否采用预设协议、是否使用预设加密算法对隐私数据加密,用户的表单输入的关键指标包括是否对用户提交的输入进行校验。基于同样的专利技术构思,本专利技术第二方面提供了一种HACCP安全体系的应用方法,将实施例一所构建的HACCP安全体系,应用于软件开发过程。在一种实施方式中,将HACCP安全体系应用于软件开发过程,具体包括:步骤S1:对Web应用进行原始需求分析,包括Web应用的需要实现的业务逻辑;步骤S2:根据Web应用开发HACCP安全体系中关键控制点的关键指标,生成项目的整体的需求文档,需求文档包含功能需求和非功能需求;步骤S3:根据原始需求分析结果和整体的需求文档,对Web应用进行系统设计;步骤S4:根据系统设计进行编码实现;步骤S5:对Web应用中的关键控制点进行测试,判断是否存在安全隐患。在一种实施方式中,所述方法还包括:当存在安全隐患时,对Web应用进行编码修复。在一种实施方式中,所述方法还包括:当不存在安全隐患时,生成测试文档,并对测试文档进行保存。基于同样的专利技术构思,本专利技术第二方面提供了本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:本专利技术公开了一种Web应用开发中的HACCP安全体系的构建方法,首先对Web应用的开发环境和系统架构进行分析,基于分析结果以及Web应用的用户数据和系统资源不被非法获取和篡改的要求,对危害Web应用的潜在因子进行分析,确定关键控制点;然后根据所确定的关键控制点,确定关键指标,并建立每个关键控制点的纠偏措施和验证程序,关键控制点、关键指标以及纠偏措施和验证程序构成Web应用开发的HACCP安全体系。并进一步利用所构建的HACCP安全体系应用于软件开发过程,在软件的需求分析环节全面系统地分析Web应用的关键控制点,明确关键指标,在软件的测试环节针对关键控制点和关键指标对Web应用进行系统测试,在软件的开发过程中就将软件的安全隐患消除到最低限度,可以降低成本高并且改善检测效果,且具有预防性、事前性、成的特点,有助于软件工程领域安全软件开发标准的制定。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种Web应用开发中的HACCP安全体系的构建方法的流程图;图2为一种具体实施方式中构建的HACCP安全体系在软件开发的实施流程图。具体实施方式本专利技术的目的在于提供一种Web应用开发中的HACCP安全体系的构建方法以及应用方法,用以改善现有技术中的方法存在的成本高且效果不佳的技术问题。为了解决上述技术问题,本专利技术的主要构思如下:一种Web应用开发中的HACCP安全体系及构建方法,包括Web应用存在的危害分析、关键控制点以及其关键指标与限值。本专利技术以软件开发过程为切入点,引入HACCP的危害分析原理、确定关键控制点原理和关键指标与限值原理,构建HACCP安全体系并将其应用于软件开发过程。本专利技术可以运用于真实软件开发环节,在软件的需求分析环节全面系统地分析Web应用的关键控制点,明确关键指标,在软件的测试环节针对关键控制点和关键指标对Web应用进行系统测试,在软件的开发过程中就将软件的安全隐患消除到最低限度。本专利技术具有预防性、事前性、成本低等特点,有助于软件工程领域安全软件开发标准的制定。为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例本文档来自技高网...
【技术保护点】
1.一种Web应用开发中的HACCP安全体系的构建方法,其特征在于,包括:/n步骤S1:对Web应用的开发环境和系统架构进行分析,基于分析结果以及Web应用的用户数据和系统资源不被非法获取和篡改的要求,对危害Web应用的潜在因子进行分析,确定关键控制点;/n步骤S2:根据所确定的关键控制点,确定关键指标,并建立每个关键控制点的纠偏措施和验证程序,关键控制点、关键指标以及纠偏措施和验证程序构成Web应用开发的HACCP安全体系。/n
【技术特征摘要】
1.一种Web应用开发中的HACCP安全体系的构建方法,其特征在于,包括:
步骤S1:对Web应用的开发环境和系统架构进行分析,基于分析结果以及Web应用的用户数据和系统资源不被非法获取和篡改的要求,对危害Web应用的潜在因子进行分析,确定关键控制点;
步骤S2:根据所确定的关键控制点,确定关键指标,并建立每个关键控制点的纠偏措施和验证程序,关键控制点、关键指标以及纠偏措施和验证程序构成Web应用开发的HACCP安全体系。
2.如权利要求1所述的方法,其特征在于,步骤S1中危害Web应用的潜在因子包括但不限于:
数据库隐私数据被窃取、数据库数据被非法篡改、数据传输中隐私数据被截取且轻易破解、系统数据库的用户名密码被套取、Web系统的资源被恶意侵占导致系统运行缓慢甚至崩溃、用户名等关键用户信息被套取、用户跨权限非法访问相关模块或功能、系统文件被非法窃取、病毒文件提交至服务器、服务器崩溃导致系统瘫痪、系统出错或者遭到入侵时无法检测。
3.如权利要求2所述的方法,其特征在于,步骤S1中确定的关键控制点包括但不限于:
网络数据交互、用户的表单输入、系统提示信息、数据库中关键数据存储、用户的访问权限、用户请求的频率、用户真实性、文件上传与下载、服务器错误界面、服务器架构、数据库服务器用户名与密码、Web应用日志。
4.如权利要求1所述的方法,其特征在于,步骤S2中...
【专利技术属性】
技术研发人员:刘进,刘旺,沈志东,崔晓晖,彭敏,王震宇,王后珍,刘丽群,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。