劉昉

摘要：隨著網(wǎng)絡技術(shù)的飛速發(fā)展，Web網(wǎng)絡應用安全日益嚴峻，Web網(wǎng)絡安全問題的發(fā)生往往會給人們的財產(chǎn)安全帶來巨大的影響。為了提升Web網(wǎng)絡的安全性，必須采取有效的Web網(wǎng)絡運維管理辦法，將網(wǎng)絡安全事件的發(fā)生概率降到最低。本文全面探討并介紹了Web網(wǎng)絡運維安全問題，然后有針對性地提出了具體的應對措施，僅供參考。

關(guān)鍵詞：Web網(wǎng)絡;應用運維;安全措施

中圖分類號：TP3? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）10-0054-03

隨著網(wǎng)絡信息技術(shù)的不斷發(fā)展，網(wǎng)絡發(fā)展規(guī)模日漸擴大，人們對網(wǎng)絡資源的使用需求也呈現(xiàn)出了多元化的特征，在這樣的背景下，網(wǎng)絡安全問題日益嚴峻。近年來，隨著國內(nèi)網(wǎng)民人數(shù)的不斷增加，我國已然成為互聯(lián)網(wǎng)大國，2014年，針對網(wǎng)絡應用和管理，習近平明確提出了“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的重要論斷，給國內(nèi)網(wǎng)絡安全管理工作的開展指明了方向。

1 Web網(wǎng)絡大數(shù)據(jù)的應用現(xiàn)狀

1.1 企業(yè)內(nèi)部應用

Web網(wǎng)絡大數(shù)據(jù)在企業(yè)內(nèi)部管理工作中的應用可以說是非常普遍的，其應用不僅可以提高企業(yè)管理質(zhì)量和效率，還能降低企業(yè)運營成本，實現(xiàn)企業(yè)核心競爭力的有效提升，讓企業(yè)的激烈的市場競爭中，站穩(wěn)腳步，贏得發(fā)展。具體來說，企業(yè)通過Web網(wǎng)絡大數(shù)據(jù)數(shù)據(jù)分析，就可以更加精準的獲得消費者的消費趨勢，從而幫助企業(yè)挖掘出全新的商機和商業(yè)經(jīng)營模式;在銷售規(guī)劃方面，企業(yè)利用Web網(wǎng)絡大數(shù)據(jù)進行分析，優(yōu)化自身商品價格，提高銷售水平;在企業(yè)實際運營方面，通過Web網(wǎng)絡大數(shù)據(jù)進行人事數(shù)據(jù)分析，準確的預測人員配置，優(yōu)化勞動力投入，避免出現(xiàn)勞動力過剩的問題;在供應鏈方面，利用Web網(wǎng)絡大數(shù)據(jù)完成庫存和物流的優(yōu)化，強化預算開支，緩和供需矛盾，提高自身服務水平。

1.2 物聯(lián)網(wǎng)應用

物聯(lián)網(wǎng)也是Web網(wǎng)絡大數(shù)據(jù)的主要應用市場。在物聯(lián)網(wǎng)所構(gòu)成的虛擬世界中，現(xiàn)實世界的所有物體都可以是大數(shù)據(jù)的產(chǎn)生者和使用者，因為物體的數(shù)量和種類是十分龐大的，所以物聯(lián)網(wǎng)中所包含的大數(shù)據(jù)也是非常龐大的。Web網(wǎng)絡大數(shù)據(jù)的應用優(yōu)勢，物流企業(yè)深有體會，所有的物流車輛上都裝有傳感器和無線適配器，總部可以利用Web網(wǎng)絡大數(shù)據(jù)隨時追蹤車輛的位置。另外，物流車輛所安裝的這些設備也給司機優(yōu)化行車線路提供了科學的依據(jù)。

1.3 在線社交網(wǎng)絡應用

在線社交網(wǎng)絡屬于典型的社會性結(jié)構(gòu)。Web網(wǎng)絡大數(shù)據(jù)的主要來源有：共享空間、即時消息、現(xiàn)在社區(qū)等，可以說，在線社交網(wǎng)絡中所包含的大數(shù)據(jù)可以表示出人的各種活動，所以關(guān)于這類數(shù)據(jù)的分析具有重大的意義。對在線社區(qū)中Web網(wǎng)絡大數(shù)據(jù)進行分析往往需要應用過數(shù)學、社會學、管理學等多個學科的知識，就當前來看，在線社交網(wǎng)絡大數(shù)據(jù)的主要用應用方面包含了社會化影響、網(wǎng)絡輿情分析、在線教育等多個方面。

1.4 醫(yī)療健康大數(shù)據(jù)應用

醫(yī)療健康中的Web網(wǎng)絡大數(shù)據(jù)具有復雜、高增長等特性，這些大數(shù)據(jù)所蘊含的信息價值也是多種多樣的。醫(yī)療大數(shù)據(jù)的應用水平會直接影響人類目前以及未來的健康水平。比如，2007年，微軟公司所開發(fā)的HealthVault，應用醫(yī)學大數(shù)據(jù)的效果就是非常成功的，該軟件的應用目標主要是更加科學的管理個體或者家庭的健康信息，進而為人們提供更加及時有效的健康服務。

1.5 群智感知

隨著科技的發(fā)展，智能手機、平板電腦已經(jīng)成為人們生活和工作不可或缺的設備，這些移動設備集成了越來越多的傳感器。在這樣的背景下，群智感知愈發(fā)成為移動計算領域中的熱點內(nèi)容。越來越多的用戶將移動智能設備作為基本節(jié)點，然后利用移動互聯(lián)網(wǎng)、藍牙等技術(shù)，分發(fā)感知任務，收集感知數(shù)據(jù)最終完成社會感知任務，用戶只需要擁有一臺移動智能設備就可以參與到這個過程中來。

1.6 智能電網(wǎng)

所謂智能電網(wǎng)，其實就是在傳統(tǒng)電網(wǎng)中融入現(xiàn)代信息技術(shù)從而構(gòu)成新的電網(wǎng)，通過分析Web網(wǎng)絡大數(shù)據(jù)，得到用戶的用電信息，然后利用這些信息優(yōu)化電能的生產(chǎn)、供給和消耗過程。總結(jié)來說，大數(shù)據(jù)在智能電網(wǎng)中的應用可以解決以下問題：1）更加科學的規(guī)劃電網(wǎng);通過分析智能電網(wǎng)中的大數(shù)據(jù)，得出各個地區(qū)的實際用電負荷，預估哪些區(qū)域或者線路停電頻率過高或者容易出現(xiàn)故障等?？梢哉f，Web網(wǎng)絡大數(shù)據(jù)的應用給電網(wǎng)升級、改造、維護工作帶來了極大的便利。2）發(fā)電與用電的互動;理想的電網(wǎng)中，發(fā)電和用電應該處于平衡的狀態(tài)，但是傳統(tǒng)電網(wǎng)的設計思維為單向思維，不能根據(jù)實際應用需求調(diào)整發(fā)電量，導致電能冗余的問題經(jīng)常發(fā)生，Web網(wǎng)絡大數(shù)據(jù)可以幫助管理者更好的分析，實現(xiàn)發(fā)電和用電的平衡。

2 Web網(wǎng)絡應用及運維管理中面臨的安全問題

2.1 跨站腳本攻擊

跨站腳本攻擊需要借助超文本標記語言代碼，具體就是黑客在Web網(wǎng)頁中插入超文本標記語言代碼，用戶瀏覽網(wǎng)頁的時候，就會觸發(fā)這些代碼，然后引發(fā)網(wǎng)絡攻擊?？缯灸_本攻擊經(jīng)常發(fā)生于論壇、博客和郵箱中，其目的是盜取用戶個人信息，用于各種不法行為，追求不法收益。目前，在開發(fā)計算機軟件的過程中，設計人員為了給用戶提供更好的使用體驗，往往會在網(wǎng)絡中插入一些動態(tài)的內(nèi)容，而這些動態(tài)的內(nèi)容就是利用用戶端腳本完成設計的，這一設計要點被黑客利用，通過攻擊腳本，引發(fā)Web網(wǎng)絡安全漏洞。

2.2 SQL注入攻擊

作為一種新型的Web網(wǎng)絡攻擊方式， SQL主要攻擊的對象就是數(shù)據(jù)庫。不同的程序員在編寫程序的時候具有不同的習慣，因為程序編寫過程十分復雜，難免會產(chǎn)生各種漏洞。Web網(wǎng)絡攻擊者將SQL注入這些漏洞中，盜取用戶信息。

2.3 Cookie欺騙漏洞

為了避免用戶在同一個瀏覽器中不斷的登錄賬號和密碼，給用戶提供瀏覽方面，儲存在用戶本地終端上的Cookie具有記住用戶密碼的功能。攻擊者利用服務器更改用戶的Cookie空檔，然后進入到Web系統(tǒng)獲得控制權(quán)限，盜取用戶的各類信息和數(shù)據(jù)。就目前來看，Cookie欺騙漏洞的侵入方式有很多，比如修改瀏覽器，賦予瀏覽器假的域名等。不管是那種Cookie欺騙，都會導致用戶的個人數(shù)據(jù)和信息的泄漏。

2.4 偽造跨站請求

偽造跨站請求攻擊方式的主要表現(xiàn)是，非法用戶偽造或者模擬合法用戶以合法、合規(guī)的形式登錄到Web網(wǎng)絡中，盜取網(wǎng)絡中其他用戶的信息，或者破壞Web網(wǎng)絡。很多網(wǎng)站的運營過程中，為了增加網(wǎng)站用戶的瀏覽量，往往會設計較為簡單的訪問請求，這個非法用戶的供給提供了方便。和其他供給方式相比，網(wǎng)頁式的攻擊方式極具破壞力，可以導致用戶信息的嚴重泄漏。

2.5 緩沖區(qū)溢出漏洞

用戶應用Web網(wǎng)絡的時候，難免會出現(xiàn)一些較為復雜的請求，當用戶將其輸入到Web網(wǎng)絡后，系統(tǒng)接收到相應的數(shù)據(jù)，然后嘗試將其放到某一個位置進行處理，但是該位置沒有足夠的空間容納這些數(shù)據(jù)，就形成了緩沖區(qū)，在緩沖區(qū)內(nèi)所出現(xiàn)的漏洞就被稱為緩沖區(qū)溢出漏洞。在Web網(wǎng)絡應用過程中，緩沖區(qū)溢出漏洞的現(xiàn)象非常普遍，加強系統(tǒng)更新可以有效地避免緩沖期漏洞的發(fā)生。

3 Web網(wǎng)絡安全應對措施

3.1 跨站腳本攻擊應對措施

在開發(fā)Web前端的過程中，開發(fā)者很少會過濾或限制用戶所提交的信息，導致用戶在瀏覽網(wǎng)絡頁面的過程中，攻擊者在網(wǎng)頁中植入惡意代碼，劫持用戶和網(wǎng)絡之間的互動，強制頁面跳轉(zhuǎn)，導致頁面或者站點遭到破壞。比如，XSS就是非常典型的跨站腳本攻擊，攻擊者將其嵌入在JavaScript中，盜取用戶Cookie中的授權(quán)信息，或者冒充用戶和Web服務端進行對話，同時將惡意代碼存儲到Web應用關(guān)聯(lián)的數(shù)據(jù)庫中，為持久性的攻擊做準備。應對畫展腳本攻擊的主要方法為嚴格進行輸入驗證與輸出編碼，就目前來說，該方法是跨站腳本攻擊最為有效的防護方法，通過多對輸入數(shù)據(jù)進行檢測和鍋爐，達到提高Web系統(tǒng)應用安全的目的。

3.2 SQL注入攻擊應對措施

SQL注入主要包含兩種形式：代碼層注入;平臺層注入。有效的防護SQL注入攻擊的方式主要有以下幾種：

1）參數(shù)化查詢;SQL注入的過程中通常會繞過系統(tǒng)認證，數(shù)據(jù)庫系統(tǒng)按照用戶所輸入的指令執(zhí)行命令，導致安全問題的發(fā)生。最為有效的用對措施就是應用預編譯語句集。首先翻譯SQL語句，然后將用戶輸入的指令作為參數(shù)輸入，避免系統(tǒng)將其作為用戶輸入指令來執(zhí)行，這樣一來，Web網(wǎng)絡應用過程中的安全性就會得到大幅度的提升。

2）使用正則表達式;利用正則表達過濾用戶輸入，具體來說，就是包含單引號、雙“-”轉(zhuǎn)換字符以及SQL保留字符的用戶輸入指令過濾掉。通過正則表式進行檢測，判斷字符串是否符合正則表達方式。

3）非法字符過濾;利用相應的函數(shù)過濾用戶輸入中的非法字符或者非法字符串，從而提高Web網(wǎng)絡應用過程中的安全性。常見的比如：*、insert等。

3.3 Cookie欺騙漏洞應對措施

Cookie欺騙漏洞最為有效的應對措施就是使用HttpOnly，避免用戶和系統(tǒng)之間的Cookie會話被劫持，具體的操作是，設置Cookie中的HttpOnly屬性為Ture，避免Cookie會話被劫持，保護Cookie信息免受竊取，進而提高Web網(wǎng)絡運行過程中的安全性。

3.4 偽造跨站請求應對措施

偽造跨站請用攻擊往往以網(wǎng)頁形式存在，攻擊者以權(quán)限用戶進入網(wǎng)絡，獲得系統(tǒng)的操控權(quán)限，盜取系統(tǒng)中的用戶信息。針對偽造跨站情景攻擊可以采取的應對措施有：

1）加強文件上傳管理;禁止應用asp、jsp、php等腳本語言編寫的文件上傳到Web網(wǎng)絡上。應用白名單管理策略對文件上傳的過程進行管理，所有不在白名單范圍內(nèi)的IP或用戶禁止進行文件上傳操作。

2）加強服務器權(quán)限管理;充分發(fā)揮訪問控制列表的作用，對所有的操作進行嚴格的控制，所有的Web應用都不能在超級用戶下運行，同一個服務其內(nèi)部的不同站點之間，需要設置不同的用戶權(quán)限。對于Web網(wǎng)絡中的匿名賬戶，只賦予其讀取文件的權(quán)限，限制其上傳或者其他更改操作。

3）其他安全防范措施;開啟必要的認證方式認證所有登錄到Web網(wǎng)絡中的用戶身份，禁止任何的匿名訪問。使積極應用D盾、360主機衛(wèi)士等專業(yè)工具進行檢測查殺。

3.5 緩沖區(qū)溢出漏洞應對措施

針對緩沖器溢出漏洞，最為有效的防護應對措施就是應用正則達表式對URL參數(shù)過濾scan、echo、nmap等特殊字符，在nginx.conf中限制客戶端可用緩沖區(qū)的大小，避免緩沖區(qū)溢出攻擊的發(fā)生，保障Web使用安全。另外，如果配合應用黑白名單，可以很好地防范DDoS攻擊。

4 結(jié)語

總而言之，隨著科技的不斷發(fā)展，Web網(wǎng)絡的發(fā)展規(guī)模越來越大，內(nèi)部結(jié)構(gòu)越來越復雜，所包含的數(shù)據(jù)也越來越龐大，這給Web網(wǎng)絡安全管理工作提出了更高的要求。Web網(wǎng)絡在運行過程中一旦發(fā)生安全事件，就會給人們的財產(chǎn)安全帶來巨大的影響，所以，采取必要的措施加控制是非常有必要的。本文對Web網(wǎng)絡及應用運維安全問題進行了全面的分析，然后分別提出了應對建議，希望可以給相關(guān)人士以參考和借鑒。

參考文獻：

[1] 沈子雷.基于Web應用的網(wǎng)絡安全漏洞發(fā)現(xiàn)與研究[J].無線互聯(lián)科技，202017（5）：19-20.

[2] 譚志超.Web應用的安全形勢與防護策略研究[J].網(wǎng)絡安全技術(shù)與應用，2019（12）：21-24.

[3] 滕云，于勃.基于Web管理技術(shù)的安全網(wǎng)絡管理系統(tǒng)[J].電子技術(shù)與軟件工程，2019（17）：205-206.

[4] 張引，陳敏，廖小飛.大數(shù)據(jù)應用的現(xiàn)狀與展望[J].計算機研究與發(fā)展，2013（S2）：216-233.

【通聯(lián)編輯：張薇】