Web網(wǎng)絡(luò)及應(yīng)用運(yùn)維安全問(wèn)題與應(yīng)對(duì)措施

劉昉

摘要：隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，Web網(wǎng)絡(luò)應(yīng)用安全日益嚴(yán)峻，Web網(wǎng)絡(luò)安全問(wèn)題的發(fā)生往往會(huì)給人們的財(cái)產(chǎn)安全帶來(lái)巨大的影響。為了提升Web網(wǎng)絡(luò)的安全性，必須采取有效的Web網(wǎng)絡(luò)運(yùn)維管理辦法，將網(wǎng)絡(luò)安全事件的發(fā)生概率降到最低。本文全面探討并介紹了Web網(wǎng)絡(luò)運(yùn)維安全問(wèn)題，然后有針對(duì)性地提出了具體的應(yīng)對(duì)措施，僅供參考。

關(guān)鍵詞：Web網(wǎng)絡(luò);應(yīng)用運(yùn)維;安全措施

中圖分類號(hào)：TP3? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）10-0054-03

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)發(fā)展規(guī)模日漸擴(kuò)大，人們對(duì)網(wǎng)絡(luò)資源的使用需求也呈現(xiàn)出了多元化的特征，在這樣的背景下，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻。近年來(lái)，隨著國(guó)內(nèi)網(wǎng)民人數(shù)的不斷增加，我國(guó)已然成為互聯(lián)網(wǎng)大國(guó)，2014年，針對(duì)網(wǎng)絡(luò)應(yīng)用和管理，習(xí)近平明確提出了“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”的重要論斷，給國(guó)內(nèi)網(wǎng)絡(luò)安全管理工作的開(kāi)展指明了方向。

1 Web網(wǎng)絡(luò)大數(shù)據(jù)的應(yīng)用現(xiàn)狀

1.1 企業(yè)內(nèi)部應(yīng)用

Web網(wǎng)絡(luò)大數(shù)據(jù)在企業(yè)內(nèi)部管理工作中的應(yīng)用可以說(shuō)是非常普遍的，其應(yīng)用不僅可以提高企業(yè)管理質(zhì)量和效率，還能降低企業(yè)運(yùn)營(yíng)成本，實(shí)現(xiàn)企業(yè)核心競(jìng)爭(zhēng)力的有效提升，讓企業(yè)的激烈的市場(chǎng)競(jìng)爭(zhēng)中，站穩(wěn)腳步，贏得發(fā)展。具體來(lái)說(shuō)，企業(yè)通過(guò)Web網(wǎng)絡(luò)大數(shù)據(jù)數(shù)據(jù)分析，就可以更加精準(zhǔn)的獲得消費(fèi)者的消費(fèi)趨勢(shì)，從而幫助企業(yè)挖掘出全新的商機(jī)和商業(yè)經(jīng)營(yíng)模式;在銷售規(guī)劃方面，企業(yè)利用Web網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行分析，優(yōu)化自身商品價(jià)格，提高銷售水平;在企業(yè)實(shí)際運(yùn)營(yíng)方面，通過(guò)Web網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行人事數(shù)據(jù)分析，準(zhǔn)確的預(yù)測(cè)人員配置，優(yōu)化勞動(dòng)力投入，避免出現(xiàn)勞動(dòng)力過(guò)剩的問(wèn)題;在供應(yīng)鏈方面，利用Web網(wǎng)絡(luò)大數(shù)據(jù)完成庫(kù)存和物流的優(yōu)化，強(qiáng)化預(yù)算開(kāi)支，緩和供需矛盾，提高自身服務(wù)水平。

1.2 物聯(lián)網(wǎng)應(yīng)用

物聯(lián)網(wǎng)也是Web網(wǎng)絡(luò)大數(shù)據(jù)的主要應(yīng)用市場(chǎng)。在物聯(lián)網(wǎng)所構(gòu)成的虛擬世界中，現(xiàn)實(shí)世界的所有物體都可以是大數(shù)據(jù)的產(chǎn)生者和使用者，因?yàn)槲矬w的數(shù)量和種類是十分龐大的，所以物聯(lián)網(wǎng)中所包含的大數(shù)據(jù)也是非常龐大的。Web網(wǎng)絡(luò)大數(shù)據(jù)的應(yīng)用優(yōu)勢(shì)，物流企業(yè)深有體會(huì)，所有的物流車輛上都裝有傳感器和無(wú)線適配器，總部可以利用Web網(wǎng)絡(luò)大數(shù)據(jù)隨時(shí)追蹤車輛的位置。另外，物流車輛所安裝的這些設(shè)備也給司機(jī)優(yōu)化行車線路提供了科學(xué)的依據(jù)。

1.3 在線社交網(wǎng)絡(luò)應(yīng)用

在線社交網(wǎng)絡(luò)屬于典型的社會(huì)性結(jié)構(gòu)。Web網(wǎng)絡(luò)大數(shù)據(jù)的主要來(lái)源有：共享空間、即時(shí)消息、現(xiàn)在社區(qū)等，可以說(shuō)，在線社交網(wǎng)絡(luò)中所包含的大數(shù)據(jù)可以表示出人的各種活動(dòng)，所以關(guān)于這類數(shù)據(jù)的分析具有重大的意義。對(duì)在線社區(qū)中Web網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行分析往往需要應(yīng)用過(guò)數(shù)學(xué)、社會(huì)學(xué)、管理學(xué)等多個(gè)學(xué)科的知識(shí)，就當(dāng)前來(lái)看，在線社交網(wǎng)絡(luò)大數(shù)據(jù)的主要用應(yīng)用方面包含了社會(huì)化影響、網(wǎng)絡(luò)輿情分析、在線教育等多個(gè)方面。

1.4 醫(yī)療健康大數(shù)據(jù)應(yīng)用

醫(yī)療健康中的Web網(wǎng)絡(luò)大數(shù)據(jù)具有復(fù)雜、高增長(zhǎng)等特性，這些大數(shù)據(jù)所蘊(yùn)含的信息價(jià)值也是多種多樣的。醫(yī)療大數(shù)據(jù)的應(yīng)用水平會(huì)直接影響人類目前以及未來(lái)的健康水平。比如，2007年，微軟公司所開(kāi)發(fā)的HealthVault，應(yīng)用醫(yī)學(xué)大數(shù)據(jù)的效果就是非常成功的，該軟件的應(yīng)用目標(biāo)主要是更加科學(xué)的管理個(gè)體或者家庭的健康信息，進(jìn)而為人們提供更加及時(shí)有效的健康服務(wù)。

1.5 群智感知

隨著科技的發(fā)展，智能手機(jī)、平板電腦已經(jīng)成為人們生活和工作不可或缺的設(shè)備，這些移動(dòng)設(shè)備集成了越來(lái)越多的傳感器。在這樣的背景下，群智感知愈發(fā)成為移動(dòng)計(jì)算領(lǐng)域中的熱點(diǎn)內(nèi)容。越來(lái)越多的用戶將移動(dòng)智能設(shè)備作為基本節(jié)點(diǎn)，然后利用移動(dòng)互聯(lián)網(wǎng)、藍(lán)牙等技術(shù)，分發(fā)感知任務(wù)，收集感知數(shù)據(jù)最終完成社會(huì)感知任務(wù)，用戶只需要擁有一臺(tái)移動(dòng)智能設(shè)備就可以參與到這個(gè)過(guò)程中來(lái)。

1.6 智能電網(wǎng)

所謂智能電網(wǎng)，其實(shí)就是在傳統(tǒng)電網(wǎng)中融入現(xiàn)代信息技術(shù)從而構(gòu)成新的電網(wǎng)，通過(guò)分析Web網(wǎng)絡(luò)大數(shù)據(jù)，得到用戶的用電信息，然后利用這些信息優(yōu)化電能的生產(chǎn)、供給和消耗過(guò)程?？偨Y(jié)來(lái)說(shuō)，大數(shù)據(jù)在智能電網(wǎng)中的應(yīng)用可以解決以下問(wèn)題：1）更加科學(xué)的規(guī)劃電網(wǎng);通過(guò)分析智能電網(wǎng)中的大數(shù)據(jù)，得出各個(gè)地區(qū)的實(shí)際用電負(fù)荷，預(yù)估哪些區(qū)域或者線路停電頻率過(guò)高或者容易出現(xiàn)故障等?？梢哉f(shuō)，Web網(wǎng)絡(luò)大數(shù)據(jù)的應(yīng)用給電網(wǎng)升級(jí)、改造、維護(hù)工作帶來(lái)了極大的便利。2）發(fā)電與用電的互動(dòng);理想的電網(wǎng)中，發(fā)電和用電應(yīng)該處于平衡的狀態(tài)，但是傳統(tǒng)電網(wǎng)的設(shè)計(jì)思維為單向思維，不能根據(jù)實(shí)際應(yīng)用需求調(diào)整發(fā)電量，導(dǎo)致電能冗余的問(wèn)題經(jīng)常發(fā)生，Web網(wǎng)絡(luò)大數(shù)據(jù)可以幫助管理者更好的分析，實(shí)現(xiàn)發(fā)電和用電的平衡。

2 Web網(wǎng)絡(luò)應(yīng)用及運(yùn)維管理中面臨的安全問(wèn)題

2.1 跨站腳本攻擊

跨站腳本攻擊需要借助超文本標(biāo)記語(yǔ)言代碼，具體就是黑客在Web網(wǎng)頁(yè)中插入超文本標(biāo)記語(yǔ)言代碼，用戶瀏覽網(wǎng)頁(yè)的時(shí)候，就會(huì)觸發(fā)這些代碼，然后引發(fā)網(wǎng)絡(luò)攻擊。跨站腳本攻擊經(jīng)常發(fā)生于論壇、博客和郵箱中，其目的是盜取用戶個(gè)人信息，用于各種不法行為，追求不法收益。目前，在開(kāi)發(fā)計(jì)算機(jī)軟件的過(guò)程中，設(shè)計(jì)人員為了給用戶提供更好的使用體驗(yàn)，往往會(huì)在網(wǎng)絡(luò)中插入一些動(dòng)態(tài)的內(nèi)容，而這些動(dòng)態(tài)的內(nèi)容就是利用用戶端腳本完成設(shè)計(jì)的，這一設(shè)計(jì)要點(diǎn)被黑客利用，通過(guò)攻擊腳本，引發(fā)Web網(wǎng)絡(luò)安全漏洞。

2.2 SQL注入攻擊

作為一種新型的Web網(wǎng)絡(luò)攻擊方式， SQL主要攻擊的對(duì)象就是數(shù)據(jù)庫(kù)。不同的程序員在編寫程序的時(shí)候具有不同的習(xí)慣，因?yàn)槌绦蚓帉戇^(guò)程十分復(fù)雜，難免會(huì)產(chǎn)生各種漏洞。Web網(wǎng)絡(luò)攻擊者將SQL注入這些漏洞中，盜取用戶信息。

2.3 Cookie欺騙漏洞

為了避免用戶在同一個(gè)瀏覽器中不斷的登錄賬號(hào)和密碼，給用戶提供瀏覽方面，儲(chǔ)存在用戶本地終端上的Cookie具有記住用戶密碼的功能。攻擊者利用服務(wù)器更改用戶的Cookie空檔，然后進(jìn)入到Web系統(tǒng)獲得控制權(quán)限，盜取用戶的各類信息和數(shù)據(jù)。就目前來(lái)看，Cookie欺騙漏洞的侵入方式有很多，比如修改瀏覽器，賦予瀏覽器假的域名等。不管是那種Cookie欺騙，都會(huì)導(dǎo)致用戶的個(gè)人數(shù)據(jù)和信息的泄漏。

2.4 偽造跨站請(qǐng)求

偽造跨站請(qǐng)求攻擊方式的主要表現(xiàn)是，非法用戶偽造或者模擬合法用戶以合法、合規(guī)的形式登錄到Web網(wǎng)絡(luò)中，盜取網(wǎng)絡(luò)中其他用戶的信息，或者破壞Web網(wǎng)絡(luò)。很多網(wǎng)站的運(yùn)營(yíng)過(guò)程中，為了增加網(wǎng)站用戶的瀏覽量，往往會(huì)設(shè)計(jì)較為簡(jiǎn)單的訪問(wèn)請(qǐng)求，這個(gè)非法用戶的供給提供了方便。和其他供給方式相比，網(wǎng)頁(yè)式的攻擊方式極具破壞力，可以導(dǎo)致用戶信息的嚴(yán)重泄漏。

2.5 緩沖區(qū)溢出漏洞

用戶應(yīng)用Web網(wǎng)絡(luò)的時(shí)候，難免會(huì)出現(xiàn)一些較為復(fù)雜的請(qǐng)求，當(dāng)用戶將其輸入到Web網(wǎng)絡(luò)后，系統(tǒng)接收到相應(yīng)的數(shù)據(jù)，然后嘗試將其放到某一個(gè)位置進(jìn)行處理，但是該位置沒(méi)有足夠的空間容納這些數(shù)據(jù)，就形成了緩沖區(qū)，在緩沖區(qū)內(nèi)所出現(xiàn)的漏洞就被稱為緩沖區(qū)溢出漏洞。在Web網(wǎng)絡(luò)應(yīng)用過(guò)程中，緩沖區(qū)溢出漏洞的現(xiàn)象非常普遍，加強(qiáng)系統(tǒng)更新可以有效地避免緩沖期漏洞的發(fā)生。

3 Web網(wǎng)絡(luò)安全應(yīng)對(duì)措施

3.1 跨站腳本攻擊應(yīng)對(duì)措施

在開(kāi)發(fā)Web前端的過(guò)程中，開(kāi)發(fā)者很少會(huì)過(guò)濾或限制用戶所提交的信息，導(dǎo)致用戶在瀏覽網(wǎng)絡(luò)頁(yè)面的過(guò)程中，攻擊者在網(wǎng)頁(yè)中植入惡意代碼，劫持用戶和網(wǎng)絡(luò)之間的互動(dòng)，強(qiáng)制頁(yè)面跳轉(zhuǎn)，導(dǎo)致頁(yè)面或者站點(diǎn)遭到破壞。比如，XSS就是非常典型的跨站腳本攻擊，攻擊者將其嵌入在JavaScript中，盜取用戶Cookie中的授權(quán)信息，或者冒充用戶和Web服務(wù)端進(jìn)行對(duì)話，同時(shí)將惡意代碼存儲(chǔ)到Web應(yīng)用關(guān)聯(lián)的數(shù)據(jù)庫(kù)中，為持久性的攻擊做準(zhǔn)備。應(yīng)對(duì)畫展腳本攻擊的主要方法為嚴(yán)格進(jìn)行輸入驗(yàn)證與輸出編碼，就目前來(lái)說(shuō)，該方法是跨站腳本攻擊最為有效的防護(hù)方法，通過(guò)多對(duì)輸入數(shù)據(jù)進(jìn)行檢測(cè)和鍋爐，達(dá)到提高Web系統(tǒng)應(yīng)用安全的目的。

3.2 SQL注入攻擊應(yīng)對(duì)措施

SQL注入主要包含兩種形式：代碼層注入;平臺(tái)層注入。有效的防護(hù)SQL注入攻擊的方式主要有以下幾種：

1）參數(shù)化查詢;SQL注入的過(guò)程中通常會(huì)繞過(guò)系統(tǒng)認(rèn)證，數(shù)據(jù)庫(kù)系統(tǒng)按照用戶所輸入的指令執(zhí)行命令，導(dǎo)致安全問(wèn)題的發(fā)生。最為有效的用對(duì)措施就是應(yīng)用預(yù)編譯語(yǔ)句集。首先翻譯SQL語(yǔ)句，然后將用戶輸入的指令作為參數(shù)輸入，避免系統(tǒng)將其作為用戶輸入指令來(lái)執(zhí)行，這樣一來(lái)，Web網(wǎng)絡(luò)應(yīng)用過(guò)程中的安全性就會(huì)得到大幅度的提升。

2）使用正則表達(dá)式;利用正則表達(dá)過(guò)濾用戶輸入，具體來(lái)說(shuō)，就是包含單引號(hào)、雙“-”轉(zhuǎn)換字符以及SQL保留字符的用戶輸入指令過(guò)濾掉。通過(guò)正則表式進(jìn)行檢測(cè)，判斷字符串是否符合正則表達(dá)方式。

3）非法字符過(guò)濾;利用相應(yīng)的函數(shù)過(guò)濾用戶輸入中的非法字符或者非法字符串，從而提高Web網(wǎng)絡(luò)應(yīng)用過(guò)程中的安全性。常見(jiàn)的比如：*、insert等。

3.3 Cookie欺騙漏洞應(yīng)對(duì)措施

Cookie欺騙漏洞最為有效的應(yīng)對(duì)措施就是使用HttpOnly，避免用戶和系統(tǒng)之間的Cookie會(huì)話被劫持，具體的操作是，設(shè)置Cookie中的HttpOnly屬性為Ture，避免Cookie會(huì)話被劫持，保護(hù)Cookie信息免受竊取，進(jìn)而提高Web網(wǎng)絡(luò)運(yùn)行過(guò)程中的安全性。

3.4 偽造跨站請(qǐng)求應(yīng)對(duì)措施

偽造跨站請(qǐng)用攻擊往往以網(wǎng)頁(yè)形式存在，攻擊者以權(quán)限用戶進(jìn)入網(wǎng)絡(luò)，獲得系統(tǒng)的操控權(quán)限，盜取系統(tǒng)中的用戶信息。針對(duì)偽造跨站情景攻擊可以采取的應(yīng)對(duì)措施有：

1）加強(qiáng)文件上傳管理;禁止應(yīng)用asp、jsp、php等腳本語(yǔ)言編寫的文件上傳到Web網(wǎng)絡(luò)上。應(yīng)用白名單管理策略對(duì)文件上傳的過(guò)程進(jìn)行管理，所有不在白名單范圍內(nèi)的IP或用戶禁止進(jìn)行文件上傳操作。

2）加強(qiáng)服務(wù)器權(quán)限管理;充分發(fā)揮訪問(wèn)控制列表的作用，對(duì)所有的操作進(jìn)行嚴(yán)格的控制，所有的Web應(yīng)用都不能在超級(jí)用戶下運(yùn)行，同一個(gè)服務(wù)其內(nèi)部的不同站點(diǎn)之間，需要設(shè)置不同的用戶權(quán)限。對(duì)于Web網(wǎng)絡(luò)中的匿名賬戶，只賦予其讀取文件的權(quán)限，限制其上傳或者其他更改操作。

3）其他安全防范措施;開(kāi)啟必要的認(rèn)證方式認(rèn)證所有登錄到Web網(wǎng)絡(luò)中的用戶身份，禁止任何的匿名訪問(wèn)。使積極應(yīng)用D盾、360主機(jī)衛(wèi)士等專業(yè)工具進(jìn)行檢測(cè)查殺。

3.5 緩沖區(qū)溢出漏洞應(yīng)對(duì)措施

針對(duì)緩沖器溢出漏洞，最為有效的防護(hù)應(yīng)對(duì)措施就是應(yīng)用正則達(dá)表式對(duì)URL參數(shù)過(guò)濾scan、echo、nmap等特殊字符，在nginx.conf中限制客戶端可用緩沖區(qū)的大小，避免緩沖區(qū)溢出攻擊的發(fā)生，保障Web使用安全。另外，如果配合應(yīng)用黑白名單，可以很好地防范DDoS攻擊。

4 結(jié)語(yǔ)

總而言之，隨著科技的不斷發(fā)展，Web網(wǎng)絡(luò)的發(fā)展規(guī)模越來(lái)越大，內(nèi)部結(jié)構(gòu)越來(lái)越復(fù)雜，所包含的數(shù)據(jù)也越來(lái)越龐大，這給Web網(wǎng)絡(luò)安全管理工作提出了更高的要求。Web網(wǎng)絡(luò)在運(yùn)行過(guò)程中一旦發(fā)生安全事件，就會(huì)給人們的財(cái)產(chǎn)安全帶來(lái)巨大的影響，所以，采取必要的措施加控制是非常有必要的。本文對(duì)Web網(wǎng)絡(luò)及應(yīng)用運(yùn)維安全問(wèn)題進(jìn)行了全面的分析，然后分別提出了應(yīng)對(duì)建議，希望可以給相關(guān)人士以參考和借鑒。

參考文獻(xiàn)：

[1] 沈子雷.基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)與研究[J].無(wú)線互聯(lián)科技，202017（5）：19-20.

[2] 譚志超.Web應(yīng)用的安全形勢(shì)與防護(hù)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（12）：21-24.

[3] 滕云，于勃.基于Web管理技術(shù)的安全網(wǎng)絡(luò)管理系統(tǒng)[J].電子技術(shù)與軟件工程，2019（17）：205-206.

[4] 張引，陳敏，廖小飛.大數(shù)據(jù)應(yīng)用的現(xiàn)狀與展望[J].計(jì)算機(jī)研究與發(fā)展，2013（S2）：216-233.

【通聯(lián)編輯：張薇】