Web網絡及應用運維安全問題與應對措施

劉昉

摘要：隨著網絡技術的飛速發展，Web網絡應用安全日益嚴峻，Web網絡安全問題的發生往往會給人們的財產安全帶來巨大的影響。為了提升Web網絡的安全性，必須采取有效的Web網絡運維管理辦法，將網絡安全事件的發生概率降到最低。本文全面探討并介紹了Web網絡運維安全問題，然后有針對性地提出了具體的應對措施，僅供參考。

關鍵詞：Web網絡;應用運維;安全措施

中圖分類號：TP3? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）10-0054-03

隨著網絡信息技術的不斷發展，網絡發展規模日漸擴大，人們對網絡資源的使用需求也呈現出了多元化的特征，在這樣的背景下，網絡安全問題日益嚴峻。近年來，隨著國內網民人數的不斷增加，我國已然成為互聯網大國，2014年，針對網絡應用和管理，習近平明確提出了“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”的重要論斷，給國內網絡安全管理工作的開展指明了方向。

1 Web網絡大數據的應用現狀

1.1 企業內部應用

Web網絡大數據在企業內部管理工作中的應用可以說是非常普遍的，其應用不僅可以提高企業管理質量和效率，還能降低企業運營成本，實現企業核心競爭力的有效提升，讓企業的激烈的市場競爭中，站穩腳步，贏得發展。具體來說，企業通過Web網絡大數據數據分析，就可以更加精準的獲得消費者的消費趨勢，從而幫助企業挖掘出全新的商機和商業經營模式;在銷售規劃方面，企業利用Web網絡大數據進行分析，優化自身商品價格，提高銷售水平;在企業實際運營方面，通過Web網絡大數據進行人事數據分析，準確的預測人員配置，優化勞動力投入，避免出現勞動力過剩的問題;在供應鏈方面，利用Web網絡大數據完成庫存和物流的優化，強化預算開支，緩和供需矛盾，提高自身服務水平。

1.2 物聯網應用

物聯網也是Web網絡大數據的主要應用市場。在物聯網所構成的虛擬世界中，現實世界的所有物體都可以是大數據的產生者和使用者，因為物體的數量和種類是十分龐大的，所以物聯網中所包含的大數據也是非常龐大的。Web網絡大數據的應用優勢，物流企業深有體會，所有的物流車輛上都裝有傳感器和無線適配器，總部可以利用Web網絡大數據隨時追蹤車輛的位置。另外，物流車輛所安裝的這些設備也給司機優化行車線路提供了科學的依據。

1.3 在線社交網絡應用

在線社交網絡屬于典型的社會性結構。Web網絡大數據的主要來源有：共享空間、即時消息、現在社區等，可以說，在線社交網絡中所包含的大數據可以表示出人的各種活動，所以關于這類數據的分析具有重大的意義。對在線社區中Web網絡大數據進行分析往往需要應用過數學、社會學、管理學等多個學科的知識，就當前來看，在線社交網絡大數據的主要用應用方面包含了社會化影響、網絡輿情分析、在線教育等多個方面。

1.4 醫療健康大數據應用

醫療健康中的Web網絡大數據具有復雜、高增長等特性，這些大數據所蘊含的信息價值也是多種多樣的。醫療大數據的應用水平會直接影響人類目前以及未來的健康水平。比如，2007年，微軟公司所開發的HealthVault，應用醫學大數據的效果就是非常成功的，該軟件的應用目標主要是更加科學的管理個體或者家庭的健康信息，進而為人們提供更加及時有效的健康服務。

1.5 群智感知

隨著科技的發展，智能手機、平板電腦已經成為人們生活和工作不可或缺的設備，這些移動設備集成了越來越多的傳感器。在這樣的背景下，群智感知愈發成為移動計算領域中的熱點內容。越來越多的用戶將移動智能設備作為基本節點，然后利用移動互聯網、藍牙等技術，分發感知任務，收集感知數據最終完成社會感知任務，用戶只需要擁有一臺移動智能設備就可以參與到這個過程中來。

1.6 智能電網

所謂智能電網，其實就是在傳統電網中融入現代信息技術從而構成新的電網，通過分析Web網絡大數據，得到用戶的用電信息，然后利用這些信息優化電能的生產、供給和消耗過程。總結來說，大數據在智能電網中的應用可以解決以下問題：1）更加科學的規劃電網;通過分析智能電網中的大數據，得出各個地區的實際用電負荷，預估哪些區域或者線路停電頻率過高或者容易出現故障等?？梢哉f，Web網絡大數據的應用給電網升級、改造、維護工作帶來了極大的便利。2）發電與用電的互動;理想的電網中，發電和用電應該處于平衡的狀態，但是傳統電網的設計思維為單向思維，不能根據實際應用需求調整發電量，導致電能冗余的問題經常發生，Web網絡大數據可以幫助管理者更好的分析，實現發電和用電的平衡。

2 Web網絡應用及運維管理中面臨的安全問題

2.1 跨站腳本攻擊

跨站腳本攻擊需要借助超文本標記語言代碼，具體就是黑客在Web網頁中插入超文本標記語言代碼，用戶瀏覽網頁的時候，就會觸發這些代碼，然后引發網絡攻擊?？缯灸_本攻擊經常發生于論壇、博客和郵箱中，其目的是盜取用戶個人信息，用于各種不法行為，追求不法收益。目前，在開發計算機軟件的過程中，設計人員為了給用戶提供更好的使用體驗，往往會在網絡中插入一些動態的內容，而這些動態的內容就是利用用戶端腳本完成設計的，這一設計要點被黑客利用，通過攻擊腳本，引發Web網絡安全漏洞。

2.2 SQL注入攻擊

作為一種新型的Web網絡攻擊方式， SQL主要攻擊的對象就是數據庫。不同的程序員在編寫程序的時候具有不同的習慣，因為程序編寫過程十分復雜，難免會產生各種漏洞。Web網絡攻擊者將SQL注入這些漏洞中，盜取用戶信息。

2.3 Cookie欺騙漏洞

為了避免用戶在同一個瀏覽器中不斷的登錄賬號和密碼，給用戶提供瀏覽方面，儲存在用戶本地終端上的Cookie具有記住用戶密碼的功能。攻擊者利用服務器更改用戶的Cookie空檔，然后進入到Web系統獲得控制權限，盜取用戶的各類信息和數據。就目前來看，Cookie欺騙漏洞的侵入方式有很多，比如修改瀏覽器，賦予瀏覽器假的域名等。不管是那種Cookie欺騙，都會導致用戶的個人數據和信息的泄漏。

2.4 偽造跨站請求

偽造跨站請求攻擊方式的主要表現是，非法用戶偽造或者模擬合法用戶以合法、合規的形式登錄到Web網絡中，盜取網絡中其他用戶的信息，或者破壞Web網絡。很多網站的運營過程中，為了增加網站用戶的瀏覽量，往往會設計較為簡單的訪問請求，這個非法用戶的供給提供了方便。和其他供給方式相比，網頁式的攻擊方式極具破壞力，可以導致用戶信息的嚴重泄漏。

2.5 緩沖區溢出漏洞

用戶應用Web網絡的時候，難免會出現一些較為復雜的請求，當用戶將其輸入到Web網絡后，系統接收到相應的數據，然后嘗試將其放到某一個位置進行處理，但是該位置沒有足夠的空間容納這些數據，就形成了緩沖區，在緩沖區內所出現的漏洞就被稱為緩沖區溢出漏洞。在Web網絡應用過程中，緩沖區溢出漏洞的現象非常普遍，加強系統更新可以有效地避免緩沖期漏洞的發生。

3 Web網絡安全應對措施

3.1 跨站腳本攻擊應對措施

在開發Web前端的過程中，開發者很少會過濾或限制用戶所提交的信息，導致用戶在瀏覽網絡頁面的過程中，攻擊者在網頁中植入惡意代碼，劫持用戶和網絡之間的互動，強制頁面跳轉，導致頁面或者站點遭到破壞。比如，XSS就是非常典型的跨站腳本攻擊，攻擊者將其嵌入在JavaScript中，盜取用戶Cookie中的授權信息，或者冒充用戶和Web服務端進行對話，同時將惡意代碼存儲到Web應用關聯的數據庫中，為持久性的攻擊做準備。應對畫展腳本攻擊的主要方法為嚴格進行輸入驗證與輸出編碼，就目前來說，該方法是跨站腳本攻擊最為有效的防護方法，通過多對輸入數據進行檢測和鍋爐，達到提高Web系統應用安全的目的。

3.2 SQL注入攻擊應對措施

SQL注入主要包含兩種形式：代碼層注入;平臺層注入。有效的防護SQL注入攻擊的方式主要有以下幾種：

1）參數化查詢;SQL注入的過程中通常會繞過系統認證，數據庫系統按照用戶所輸入的指令執行命令，導致安全問題的發生。最為有效的用對措施就是應用預編譯語句集。首先翻譯SQL語句，然后將用戶輸入的指令作為參數輸入，避免系統將其作為用戶輸入指令來執行，這樣一來，Web網絡應用過程中的安全性就會得到大幅度的提升。

2）使用正則表達式;利用正則表達過濾用戶輸入，具體來說，就是包含單引號、雙“-”轉換字符以及SQL保留字符的用戶輸入指令過濾掉。通過正則表式進行檢測，判斷字符串是否符合正則表達方式。

3）非法字符過濾;利用相應的函數過濾用戶輸入中的非法字符或者非法字符串，從而提高Web網絡應用過程中的安全性。常見的比如：*、insert等。

3.3 Cookie欺騙漏洞應對措施

Cookie欺騙漏洞最為有效的應對措施就是使用HttpOnly，避免用戶和系統之間的Cookie會話被劫持，具體的操作是，設置Cookie中的HttpOnly屬性為Ture，避免Cookie會話被劫持，保護Cookie信息免受竊取，進而提高Web網絡運行過程中的安全性。

3.4 偽造跨站請求應對措施

偽造跨站請用攻擊往往以網頁形式存在，攻擊者以權限用戶進入網絡，獲得系統的操控權限，盜取系統中的用戶信息。針對偽造跨站情景攻擊可以采取的應對措施有：

1）加強文件上傳管理;禁止應用asp、jsp、php等腳本語言編寫的文件上傳到Web網絡上。應用白名單管理策略對文件上傳的過程進行管理，所有不在白名單范圍內的IP或用戶禁止進行文件上傳操作。

2）加強服務器權限管理;充分發揮訪問控制列表的作用，對所有的操作進行嚴格的控制，所有的Web應用都不能在超級用戶下運行，同一個服務其內部的不同站點之間，需要設置不同的用戶權限。對于Web網絡中的匿名賬戶，只賦予其讀取文件的權限，限制其上傳或者其他更改操作。

3）其他安全防范措施;開啟必要的認證方式認證所有登錄到Web網絡中的用戶身份，禁止任何的匿名訪問。使積極應用D盾、360主機衛士等專業工具進行檢測查殺。

3.5 緩沖區溢出漏洞應對措施

針對緩沖器溢出漏洞，最為有效的防護應對措施就是應用正則達表式對URL參數過濾scan、echo、nmap等特殊字符，在nginx.conf中限制客戶端可用緩沖區的大小，避免緩沖區溢出攻擊的發生，保障Web使用安全。另外，如果配合應用黑白名單，可以很好地防范DDoS攻擊。

4 結語

總而言之，隨著科技的不斷發展，Web網絡的發展規模越來越大，內部結構越來越復雜，所包含的數據也越來越龐大，這給Web網絡安全管理工作提出了更高的要求。Web網絡在運行過程中一旦發生安全事件，就會給人們的財產安全帶來巨大的影響，所以，采取必要的措施加控制是非常有必要的。本文對Web網絡及應用運維安全問題進行了全面的分析，然后分別提出了應對建議，希望可以給相關人士以參考和借鑒。

參考文獻：

[1] 沈子雷.基于Web應用的網絡安全漏洞發現與研究[J].無線互聯科技，202017（5）：19-20.

[2] 譚志超.Web應用的安全形勢與防護策略研究[J].網絡安全技術與應用，2019（12）：21-24.

[3] 滕云，于勃.基于Web管理技術的安全網絡管理系統[J].電子技術與軟件工程，2019（17）：205-206.

[4] 張引，陳敏，廖小飛.大數據應用的現狀與展望[J].計算機研究與發展，2013（S2）：216-233.

【通聯編輯：張薇】