劉昉

摘要：隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，Web網(wǎng)絡(luò)應(yīng)用安全日益嚴(yán)峻，Web網(wǎng)絡(luò)安全問題的發(fā)生往往會給人們的財產(chǎn)安全帶來巨大的影響。為了提升Web網(wǎng)絡(luò)的安全性，必須采取有效的Web網(wǎng)絡(luò)運(yùn)維管理辦法，將網(wǎng)絡(luò)安全事件的發(fā)生概率降到最低。本文全面探討并介紹了Web網(wǎng)絡(luò)運(yùn)維安全問題，然后有針對性地提出了具體的應(yīng)對措施，僅供參考。

關(guān)鍵詞：Web網(wǎng)絡(luò);應(yīng)用運(yùn)維;安全措施

中圖分類號：TP3? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）10-0054-03

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)發(fā)展規(guī)模日漸擴(kuò)大，人們對網(wǎng)絡(luò)資源的使用需求也呈現(xiàn)出了多元化的特征，在這樣的背景下，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。近年來，隨著國內(nèi)網(wǎng)民人數(shù)的不斷增加，我國已然成為互聯(lián)網(wǎng)大國，2014年，針對網(wǎng)絡(luò)應(yīng)用和管理，習(xí)近平明確提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的重要論斷，給國內(nèi)網(wǎng)絡(luò)安全管理工作的開展指明了方向。

1 Web網(wǎng)絡(luò)大數(shù)據(jù)的應(yīng)用現(xiàn)狀

1.1 企業(yè)內(nèi)部應(yīng)用

Web網(wǎng)絡(luò)大數(shù)據(jù)在企業(yè)內(nèi)部管理工作中的應(yīng)用可以說是非常普遍的，其應(yīng)用不僅可以提高企業(yè)管理質(zhì)量和效率，還能降低企業(yè)運(yùn)營成本，實現(xiàn)企業(yè)核心競爭力的有效提升，讓企業(yè)的激烈的市場競爭中，站穩(wěn)腳步，贏得發(fā)展。具體來說，企業(yè)通過Web網(wǎng)絡(luò)大數(shù)據(jù)數(shù)據(jù)分析，就可以更加精準(zhǔn)的獲得消費(fèi)者的消費(fèi)趨勢，從而幫助企業(yè)挖掘出全新的商機(jī)和商業(yè)經(jīng)營模式;在銷售規(guī)劃方面，企業(yè)利用Web網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行分析，優(yōu)化自身商品價格，提高銷售水平;在企業(yè)實際運(yùn)營方面，通過Web網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行人事數(shù)據(jù)分析，準(zhǔn)確的預(yù)測人員配置，優(yōu)化勞動力投入，避免出現(xiàn)勞動力過剩的問題;在供應(yīng)鏈方面，利用Web網(wǎng)絡(luò)大數(shù)據(jù)完成庫存和物流的優(yōu)化，強(qiáng)化預(yù)算開支，緩和供需矛盾，提高自身服務(wù)水平。

1.2 物聯(lián)網(wǎng)應(yīng)用

物聯(lián)網(wǎng)也是Web網(wǎng)絡(luò)大數(shù)據(jù)的主要應(yīng)用市場。在物聯(lián)網(wǎng)所構(gòu)成的虛擬世界中，現(xiàn)實世界的所有物體都可以是大數(shù)據(jù)的產(chǎn)生者和使用者，因為物體的數(shù)量和種類是十分龐大的，所以物聯(lián)網(wǎng)中所包含的大數(shù)據(jù)也是非常龐大的。Web網(wǎng)絡(luò)大數(shù)據(jù)的應(yīng)用優(yōu)勢，物流企業(yè)深有體會，所有的物流車輛上都裝有傳感器和無線適配器，總部可以利用Web網(wǎng)絡(luò)大數(shù)據(jù)隨時追蹤車輛的位置。另外，物流車輛所安裝的這些設(shè)備也給司機(jī)優(yōu)化行車線路提供了科學(xué)的依據(jù)。

1.3 在線社交網(wǎng)絡(luò)應(yīng)用

在線社交網(wǎng)絡(luò)屬于典型的社會性結(jié)構(gòu)。Web網(wǎng)絡(luò)大數(shù)據(jù)的主要來源有：共享空間、即時消息、現(xiàn)在社區(qū)等，可以說，在線社交網(wǎng)絡(luò)中所包含的大數(shù)據(jù)可以表示出人的各種活動，所以關(guān)于這類數(shù)據(jù)的分析具有重大的意義。對在線社區(qū)中Web網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行分析往往需要應(yīng)用過數(shù)學(xué)、社會學(xué)、管理學(xué)等多個學(xué)科的知識，就當(dāng)前來看，在線社交網(wǎng)絡(luò)大數(shù)據(jù)的主要用應(yīng)用方面包含了社會化影響、網(wǎng)絡(luò)輿情分析、在線教育等多個方面。

1.4 醫(yī)療健康大數(shù)據(jù)應(yīng)用

醫(yī)療健康中的Web網(wǎng)絡(luò)大數(shù)據(jù)具有復(fù)雜、高增長等特性，這些大數(shù)據(jù)所蘊(yùn)含的信息價值也是多種多樣的。醫(yī)療大數(shù)據(jù)的應(yīng)用水平會直接影響人類目前以及未來的健康水平。比如，2007年，微軟公司所開發(fā)的HealthVault，應(yīng)用醫(yī)學(xué)大數(shù)據(jù)的效果就是非常成功的，該軟件的應(yīng)用目標(biāo)主要是更加科學(xué)的管理個體或者家庭的健康信息，進(jìn)而為人們提供更加及時有效的健康服務(wù)。

1.5 群智感知

隨著科技的發(fā)展，智能手機(jī)、平板電腦已經(jīng)成為人們生活和工作不可或缺的設(shè)備，這些移動設(shè)備集成了越來越多的傳感器。在這樣的背景下，群智感知愈發(fā)成為移動計算領(lǐng)域中的熱點內(nèi)容。越來越多的用戶將移動智能設(shè)備作為基本節(jié)點，然后利用移動互聯(lián)網(wǎng)、藍(lán)牙等技術(shù)，分發(fā)感知任務(wù)，收集感知數(shù)據(jù)最終完成社會感知任務(wù)，用戶只需要擁有一臺移動智能設(shè)備就可以參與到這個過程中來。

1.6 智能電網(wǎng)

所謂智能電網(wǎng)，其實就是在傳統(tǒng)電網(wǎng)中融入現(xiàn)代信息技術(shù)從而構(gòu)成新的電網(wǎng)，通過分析Web網(wǎng)絡(luò)大數(shù)據(jù)，得到用戶的用電信息，然后利用這些信息優(yōu)化電能的生產(chǎn)、供給和消耗過程?？偨Y(jié)來說，大數(shù)據(jù)在智能電網(wǎng)中的應(yīng)用可以解決以下問題：1）更加科學(xué)的規(guī)劃電網(wǎng);通過分析智能電網(wǎng)中的大數(shù)據(jù)，得出各個地區(qū)的實際用電負(fù)荷，預(yù)估哪些區(qū)域或者線路停電頻率過高或者容易出現(xiàn)故障等?？梢哉f，Web網(wǎng)絡(luò)大數(shù)據(jù)的應(yīng)用給電網(wǎng)升級、改造、維護(hù)工作帶來了極大的便利。2）發(fā)電與用電的互動;理想的電網(wǎng)中，發(fā)電和用電應(yīng)該處于平衡的狀態(tài)，但是傳統(tǒng)電網(wǎng)的設(shè)計思維為單向思維，不能根據(jù)實際應(yīng)用需求調(diào)整發(fā)電量，導(dǎo)致電能冗余的問題經(jīng)常發(fā)生，Web網(wǎng)絡(luò)大數(shù)據(jù)可以幫助管理者更好的分析，實現(xiàn)發(fā)電和用電的平衡。

2 Web網(wǎng)絡(luò)應(yīng)用及運(yùn)維管理中面臨的安全問題

2.1 跨站腳本攻擊

跨站腳本攻擊需要借助超文本標(biāo)記語言代碼，具體就是黑客在Web網(wǎng)頁中插入超文本標(biāo)記語言代碼，用戶瀏覽網(wǎng)頁的時候，就會觸發(fā)這些代碼，然后引發(fā)網(wǎng)絡(luò)攻擊?？缯灸_本攻擊經(jīng)常發(fā)生于論壇、博客和郵箱中，其目的是盜取用戶個人信息，用于各種不法行為，追求不法收益。目前，在開發(fā)計算機(jī)軟件的過程中，設(shè)計人員為了給用戶提供更好的使用體驗，往往會在網(wǎng)絡(luò)中插入一些動態(tài)的內(nèi)容，而這些動態(tài)的內(nèi)容就是利用用戶端腳本完成設(shè)計的，這一設(shè)計要點被黑客利用，通過攻擊腳本，引發(fā)Web網(wǎng)絡(luò)安全漏洞。

2.2 SQL注入攻擊

作為一種新型的Web網(wǎng)絡(luò)攻擊方式， SQL主要攻擊的對象就是數(shù)據(jù)庫。不同的程序員在編寫程序的時候具有不同的習(xí)慣，因為程序編寫過程十分復(fù)雜，難免會產(chǎn)生各種漏洞。Web網(wǎng)絡(luò)攻擊者將SQL注入這些漏洞中，盜取用戶信息。

2.3 Cookie欺騙漏洞

為了避免用戶在同一個瀏覽器中不斷的登錄賬號和密碼，給用戶提供瀏覽方面，儲存在用戶本地終端上的Cookie具有記住用戶密碼的功能。攻擊者利用服務(wù)器更改用戶的Cookie空檔，然后進(jìn)入到Web系統(tǒng)獲得控制權(quán)限，盜取用戶的各類信息和數(shù)據(jù)。就目前來看，Cookie欺騙漏洞的侵入方式有很多，比如修改瀏覽器，賦予瀏覽器假的域名等。不管是那種Cookie欺騙，都會導(dǎo)致用戶的個人數(shù)據(jù)和信息的泄漏。

2.4 偽造跨站請求

偽造跨站請求攻擊方式的主要表現(xiàn)是，非法用戶偽造或者模擬合法用戶以合法、合規(guī)的形式登錄到Web網(wǎng)絡(luò)中，盜取網(wǎng)絡(luò)中其他用戶的信息，或者破壞Web網(wǎng)絡(luò)。很多網(wǎng)站的運(yùn)營過程中，為了增加網(wǎng)站用戶的瀏覽量，往往會設(shè)計較為簡單的訪問請求，這個非法用戶的供給提供了方便。和其他供給方式相比，網(wǎng)頁式的攻擊方式極具破壞力，可以導(dǎo)致用戶信息的嚴(yán)重泄漏。

2.5 緩沖區(qū)溢出漏洞

用戶應(yīng)用Web網(wǎng)絡(luò)的時候，難免會出現(xiàn)一些較為復(fù)雜的請求，當(dāng)用戶將其輸入到Web網(wǎng)絡(luò)后，系統(tǒng)接收到相應(yīng)的數(shù)據(jù)，然后嘗試將其放到某一個位置進(jìn)行處理，但是該位置沒有足夠的空間容納這些數(shù)據(jù)，就形成了緩沖區(qū)，在緩沖區(qū)內(nèi)所出現(xiàn)的漏洞就被稱為緩沖區(qū)溢出漏洞。在Web網(wǎng)絡(luò)應(yīng)用過程中，緩沖區(qū)溢出漏洞的現(xiàn)象非常普遍，加強(qiáng)系統(tǒng)更新可以有效地避免緩沖期漏洞的發(fā)生。

3 Web網(wǎng)絡(luò)安全應(yīng)對措施

3.1 跨站腳本攻擊應(yīng)對措施

在開發(fā)Web前端的過程中，開發(fā)者很少會過濾或限制用戶所提交的信息，導(dǎo)致用戶在瀏覽網(wǎng)絡(luò)頁面的過程中，攻擊者在網(wǎng)頁中植入惡意代碼，劫持用戶和網(wǎng)絡(luò)之間的互動，強(qiáng)制頁面跳轉(zhuǎn)，導(dǎo)致頁面或者站點遭到破壞。比如，XSS就是非常典型的跨站腳本攻擊，攻擊者將其嵌入在JavaScript中，盜取用戶Cookie中的授權(quán)信息，或者冒充用戶和Web服務(wù)端進(jìn)行對話，同時將惡意代碼存儲到Web應(yīng)用關(guān)聯(lián)的數(shù)據(jù)庫中，為持久性的攻擊做準(zhǔn)備。應(yīng)對畫展腳本攻擊的主要方法為嚴(yán)格進(jìn)行輸入驗證與輸出編碼，就目前來說，該方法是跨站腳本攻擊最為有效的防護(hù)方法，通過多對輸入數(shù)據(jù)進(jìn)行檢測和鍋爐，達(dá)到提高Web系統(tǒng)應(yīng)用安全的目的。

3.2 SQL注入攻擊應(yīng)對措施

SQL注入主要包含兩種形式：代碼層注入;平臺層注入。有效的防護(hù)SQL注入攻擊的方式主要有以下幾種：

1）參數(shù)化查詢;SQL注入的過程中通常會繞過系統(tǒng)認(rèn)證，數(shù)據(jù)庫系統(tǒng)按照用戶所輸入的指令執(zhí)行命令，導(dǎo)致安全問題的發(fā)生。最為有效的用對措施就是應(yīng)用預(yù)編譯語句集。首先翻譯SQL語句，然后將用戶輸入的指令作為參數(shù)輸入，避免系統(tǒng)將其作為用戶輸入指令來執(zhí)行，這樣一來，Web網(wǎng)絡(luò)應(yīng)用過程中的安全性就會得到大幅度的提升。

2）使用正則表達(dá)式;利用正則表達(dá)過濾用戶輸入，具體來說，就是包含單引號、雙“-”轉(zhuǎn)換字符以及SQL保留字符的用戶輸入指令過濾掉。通過正則表式進(jìn)行檢測，判斷字符串是否符合正則表達(dá)方式。

3）非法字符過濾;利用相應(yīng)的函數(shù)過濾用戶輸入中的非法字符或者非法字符串，從而提高Web網(wǎng)絡(luò)應(yīng)用過程中的安全性。常見的比如：*、insert等。

3.3 Cookie欺騙漏洞應(yīng)對措施

Cookie欺騙漏洞最為有效的應(yīng)對措施就是使用HttpOnly，避免用戶和系統(tǒng)之間的Cookie會話被劫持，具體的操作是，設(shè)置Cookie中的HttpOnly屬性為Ture，避免Cookie會話被劫持，保護(hù)Cookie信息免受竊取，進(jìn)而提高Web網(wǎng)絡(luò)運(yùn)行過程中的安全性。

3.4 偽造跨站請求應(yīng)對措施

偽造跨站請用攻擊往往以網(wǎng)頁形式存在，攻擊者以權(quán)限用戶進(jìn)入網(wǎng)絡(luò)，獲得系統(tǒng)的操控權(quán)限，盜取系統(tǒng)中的用戶信息。針對偽造跨站情景攻擊可以采取的應(yīng)對措施有：

1）加強(qiáng)文件上傳管理;禁止應(yīng)用asp、jsp、php等腳本語言編寫的文件上傳到Web網(wǎng)絡(luò)上。應(yīng)用白名單管理策略對文件上傳的過程進(jìn)行管理，所有不在白名單范圍內(nèi)的IP或用戶禁止進(jìn)行文件上傳操作。

2）加強(qiáng)服務(wù)器權(quán)限管理;充分發(fā)揮訪問控制列表的作用，對所有的操作進(jìn)行嚴(yán)格的控制，所有的Web應(yīng)用都不能在超級用戶下運(yùn)行，同一個服務(wù)其內(nèi)部的不同站點之間，需要設(shè)置不同的用戶權(quán)限。對于Web網(wǎng)絡(luò)中的匿名賬戶，只賦予其讀取文件的權(quán)限，限制其上傳或者其他更改操作。

3）其他安全防范措施;開啟必要的認(rèn)證方式認(rèn)證所有登錄到Web網(wǎng)絡(luò)中的用戶身份，禁止任何的匿名訪問。使積極應(yīng)用D盾、360主機(jī)衛(wèi)士等專業(yè)工具進(jìn)行檢測查殺。

3.5 緩沖區(qū)溢出漏洞應(yīng)對措施

針對緩沖器溢出漏洞，最為有效的防護(hù)應(yīng)對措施就是應(yīng)用正則達(dá)表式對URL參數(shù)過濾scan、echo、nmap等特殊字符，在nginx.conf中限制客戶端可用緩沖區(qū)的大小，避免緩沖區(qū)溢出攻擊的發(fā)生，保障Web使用安全。另外，如果配合應(yīng)用黑白名單，可以很好地防范DDoS攻擊。

4 結(jié)語

總而言之，隨著科技的不斷發(fā)展，Web網(wǎng)絡(luò)的發(fā)展規(guī)模越來越大，內(nèi)部結(jié)構(gòu)越來越復(fù)雜，所包含的數(shù)據(jù)也越來越龐大，這給Web網(wǎng)絡(luò)安全管理工作提出了更高的要求。Web網(wǎng)絡(luò)在運(yùn)行過程中一旦發(fā)生安全事件，就會給人們的財產(chǎn)安全帶來巨大的影響，所以，采取必要的措施加控制是非常有必要的。本文對Web網(wǎng)絡(luò)及應(yīng)用運(yùn)維安全問題進(jìn)行了全面的分析，然后分別提出了應(yīng)對建議，希望可以給相關(guān)人士以參考和借鑒。

參考文獻(xiàn)：

[1] 沈子雷.基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)與研究[J].無線互聯(lián)科技，202017（5）：19-20.

[2] 譚志超.Web應(yīng)用的安全形勢與防護(hù)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（12）：21-24.

[3] 滕云，于勃.基于Web管理技術(shù)的安全網(wǎng)絡(luò)管理系統(tǒng)[J].電子技術(shù)與軟件工程，2019（17）：205-206.

[4] 張引，陳敏，廖小飛.大數(shù)據(jù)應(yīng)用的現(xiàn)狀與展望[J].計算機(jī)研究與發(fā)展，2013（S2）：216-233.

【通聯(lián)編輯：張薇】