论文部分内容阅读
摘 要:Web给我们带来便利的同时,也给我们带来了极大地安全隐患,最熟为人知的莫过于SQL注入漏洞、目录遍历漏洞、敏感信息泄露、未过滤HTML代码漏洞、数据库运行出错、后台弱口令漏洞、文件上传漏洞等隐患,这些Web应用中常见的安全漏洞为我们的学习、工作带来了很大的不便,因此,计算计网络安全严重影响了企业的发展,个人学习、生活的便利,家庭信息隐私等。本文从网络安全定义、影响网络安全的原因等方面探讨了Web安全漏洞以及防范措施。
关键词:Web;安全漏洞;网络安全
在互联网大众化和基于Web的互联网应用飞速发展的今天,社会已逐步步入信息化,社会上的各行各业都在利用信息资源、物联网飞速发展,物联网技术、网络资源已经渗入到生活的方方面面。随着企业规模的不断扩大,相应的网络应用范围也在不断扩大,做好网络运行维护与安全管理工作已经占据到了互联网建设的战略性地位。近年来网络安全事件频频发生,人们对外部入侵和网络安全日益重视,但是网络的攻击、Web安全漏洞也在近几年来频繁发生,网络安全漏洞也随之成为企业管理的隐患。生产资料被非法泄露,拷贝,篡改,给企业带来了极其重大的损失,这种事件频频出现。
网络安全(Network Security)就是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、系统连续、可靠、正常地运行,网络服务不中断,它是一门涉及面非常广的综合性学科,它涉及计算机科学与技术,网络技术,信息安全技术,通信技术,密码技术,信息论,应用数学,软件工程,指令保护,统计学等多种学科。它的主要特性有保密性,完整性,可控性,可用性,可审查性。网络安全最突出的重要性在于保护用户的隐私,控制对网络资源的访问,保证企业秘密在网络上传输的保密性,完整性,真实性。控制危害社会稳定的言论和不健康的信息传入社会,引起社会不安稳。
网络安全在信息传递方面主要需要防止不健康软件的攻击,个人隐私信息额外泄,防止病毒入侵,有效保护用户信息的私密性,有效地屏蔽掉恶意攻击他人、危害社会稳定的言论。各企业都有其内部的杀毒软件,这些杀毒软件都有一个共同目标,就是其可以在各个网络层次都能提供最佳的安全解决方案,保护用户信息不外泄,有效保护用户在办公时不受到外网及内网的恶意软件及病毒攻击。网络防火墙同样也能够有效的防止木马入侵,保护个人资料安全性。
最常见的网络安全漏洞主要为SQL注入漏洞、目录遍历漏洞、敏感信息泄露、未过滤HTML代码漏洞、数据库运行出错、后台弱口令漏洞、文件上传漏洞等隐患。
SQL注入漏洞非常危险,属于高危漏洞,它之所以广泛出现在网络中,是因为网站应用程序员在编写程序时没有对用户提交到服务器的数据进行合法效验,不但没有过滤有效的特殊字符,而且还导致了网址服务器存在各种风险,这就形成了我们说的SQL注入漏洞。它会导致系统机密数据被黑客盗取,核心业务被有意篡改,网页被篡改,数据库所在的服务器被攻击,进而导致整个内网被黑客入侵。因此,需要程序员在编写网络代码中,应该对用户输入的数据严格过滤,采用SQL语句预编译和绑定变量,且部署Web应用防火墙,实时监控数据库操作指令。
常见的Web安全漏洞还有目录遍历漏洞,它属于中危漏洞,它是一种可以获取系统文件及服务器的配置的程序,它是通过服务器API以及文件标准权限进行攻击的。目录遍历漏洞可以使攻击者获取服务器的文件目录结构,进而获取敏感文件,导致数据泄露。因此,我们需要通过修改配置文件,去除一些中间件的文件目录索引功能,设置目录权限,为每一个目录创建一个空的索引页面,从而达到加固服务器的目的。
敏感信息泄露也是我们常见的一种安全漏洞,它是由于网站后台运维人员粗心导致的,一旦存放敏感信息的文件被泄露或者由于网站运行出错而导致敏感信息泄露,攻击者可以直接下载用户的隐私信息,包括各类用户名、密码、以及个人隐私信息。攻击者是通过制造一个个性化URL地质,从而触发系统Web应用程序报错,在返回的内容中截获对其有用的敏感信息。黑客可以利用这些敏感信息获取网站服务器路径,从而可以更猛烈的攻击,这些行为导致的后果都会给企业带来难以估測的损失。因此,针对这些行为,我们可以对网站错误信息进行统一返回,模糊化处理。对一些存放敏感信息的文件进行加密存储,防治泄露。
网络安全对于我们的工作,生活都非常重要,和我们的衣食住行息息相关,但是我们在使用网络时也同样面临着许多隐患,综合分析影响网络安全性的主要因素有以下几个方面。
第一,网络结构因素,众所周知,网络基本拓扑结构有星型,环型,总线型。每个企业都包括若干个子公司,每个子公司又有自己不同的企业部门,每个部门有自己的局域网,他们所采用的的拓扑结构也不可能完全一样,在建造和维护内网时,我们应该尽可能实现异构网络间的信息通信,这就为我们提出了更高的网络开放性要求。
第二,网络地域因素。各企业的内部网有可能是局域网,也有可能是广域网,可以跨城际,也可以跨国际,这其中所涉及的地域位置比较复杂,所以它们之间的通信质量也就难以确认完好,在信息的传送过程中必定会造成部分信息的损失或者损坏,影响远距离的通信质量,让一些黑客有机可乘。
第三,网络使用者自身因素。每个企业都有自己的内网,企业建立内网是为了方便员工的使用,加快信息的传递,提高工作效率。但是随着企业的扩大,企业的员工,客户也会相应地增加,这些对于网络来说就是使用者即用户的增加,这必然会给网络的安全性带来一定的威胁,因为这其中就有可能会有黑客,它必然会窃取企业的信息及机密。因此,用户在使用电脑时,应该设置稍微复杂的开机口令,在使用网络时注意减少进入与工作不相关网页的次数,对隐私文件要设置加密,这些基本的常识能有效的保护信息安全。
第四,网络主机因素。在建立内往后,由于企业的需求和使用网络量大,原来的局域网必然不能满足日益扩大的企业的需求,这就会增加一些譬如服务器,中型机,小型机,工作站等。这就会造成若干个操作系统的不同,这其中任意一台主机有操作系统漏洞都会导致整个网络的瘫痪。所以,需要我们全面规划网络平台的安全策略,使用防火墙,使用有效的杀毒软件,同时也要注意到网络设备的无力保护。
经过多次实践证明,大部分的网络安全问题都是由网络内部引起的,因此企业应该对自己企业的内网安全性高度重视,一定要制定出相关的网络管理制度,并有专人管理监督,这就需要我们有专门的网络管理员,专门的网络安全员。要培养专门的网络管理员,专门的网络安全员,而且要求网络程序员编程严密,符合国际主流的协议规定,这就要求企业首先要选拔具有计算机基础知识,尤其是具有网络安全知识的专业技术人员,再对他们进行专业的网络安全学习,网络安全教育,网络安全培训,培养出高技术人才从事网络安全管理工作,这样能有效提高企业的网络使用安全。
因此,先进的技术手段,能够有效地防护信息安全,譬如杀毒软件,防火墙,但是网络自身的隐患无法根除,这就要求我们作为信息安全的维护人员,应该养成良好的程序编写习惯,提高网络安全意识,建立好网络管理制度、方法,增强日常网络管理、维护。有效防止病毒及黑客的入侵。
关键词:Web;安全漏洞;网络安全
在互联网大众化和基于Web的互联网应用飞速发展的今天,社会已逐步步入信息化,社会上的各行各业都在利用信息资源、物联网飞速发展,物联网技术、网络资源已经渗入到生活的方方面面。随着企业规模的不断扩大,相应的网络应用范围也在不断扩大,做好网络运行维护与安全管理工作已经占据到了互联网建设的战略性地位。近年来网络安全事件频频发生,人们对外部入侵和网络安全日益重视,但是网络的攻击、Web安全漏洞也在近几年来频繁发生,网络安全漏洞也随之成为企业管理的隐患。生产资料被非法泄露,拷贝,篡改,给企业带来了极其重大的损失,这种事件频频出现。
网络安全(Network Security)就是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、系统连续、可靠、正常地运行,网络服务不中断,它是一门涉及面非常广的综合性学科,它涉及计算机科学与技术,网络技术,信息安全技术,通信技术,密码技术,信息论,应用数学,软件工程,指令保护,统计学等多种学科。它的主要特性有保密性,完整性,可控性,可用性,可审查性。网络安全最突出的重要性在于保护用户的隐私,控制对网络资源的访问,保证企业秘密在网络上传输的保密性,完整性,真实性。控制危害社会稳定的言论和不健康的信息传入社会,引起社会不安稳。
网络安全在信息传递方面主要需要防止不健康软件的攻击,个人隐私信息额外泄,防止病毒入侵,有效保护用户信息的私密性,有效地屏蔽掉恶意攻击他人、危害社会稳定的言论。各企业都有其内部的杀毒软件,这些杀毒软件都有一个共同目标,就是其可以在各个网络层次都能提供最佳的安全解决方案,保护用户信息不外泄,有效保护用户在办公时不受到外网及内网的恶意软件及病毒攻击。网络防火墙同样也能够有效的防止木马入侵,保护个人资料安全性。
最常见的网络安全漏洞主要为SQL注入漏洞、目录遍历漏洞、敏感信息泄露、未过滤HTML代码漏洞、数据库运行出错、后台弱口令漏洞、文件上传漏洞等隐患。
SQL注入漏洞非常危险,属于高危漏洞,它之所以广泛出现在网络中,是因为网站应用程序员在编写程序时没有对用户提交到服务器的数据进行合法效验,不但没有过滤有效的特殊字符,而且还导致了网址服务器存在各种风险,这就形成了我们说的SQL注入漏洞。它会导致系统机密数据被黑客盗取,核心业务被有意篡改,网页被篡改,数据库所在的服务器被攻击,进而导致整个内网被黑客入侵。因此,需要程序员在编写网络代码中,应该对用户输入的数据严格过滤,采用SQL语句预编译和绑定变量,且部署Web应用防火墙,实时监控数据库操作指令。
常见的Web安全漏洞还有目录遍历漏洞,它属于中危漏洞,它是一种可以获取系统文件及服务器的配置的程序,它是通过服务器API以及文件标准权限进行攻击的。目录遍历漏洞可以使攻击者获取服务器的文件目录结构,进而获取敏感文件,导致数据泄露。因此,我们需要通过修改配置文件,去除一些中间件的文件目录索引功能,设置目录权限,为每一个目录创建一个空的索引页面,从而达到加固服务器的目的。
敏感信息泄露也是我们常见的一种安全漏洞,它是由于网站后台运维人员粗心导致的,一旦存放敏感信息的文件被泄露或者由于网站运行出错而导致敏感信息泄露,攻击者可以直接下载用户的隐私信息,包括各类用户名、密码、以及个人隐私信息。攻击者是通过制造一个个性化URL地质,从而触发系统Web应用程序报错,在返回的内容中截获对其有用的敏感信息。黑客可以利用这些敏感信息获取网站服务器路径,从而可以更猛烈的攻击,这些行为导致的后果都会给企业带来难以估測的损失。因此,针对这些行为,我们可以对网站错误信息进行统一返回,模糊化处理。对一些存放敏感信息的文件进行加密存储,防治泄露。
网络安全对于我们的工作,生活都非常重要,和我们的衣食住行息息相关,但是我们在使用网络时也同样面临着许多隐患,综合分析影响网络安全性的主要因素有以下几个方面。
第一,网络结构因素,众所周知,网络基本拓扑结构有星型,环型,总线型。每个企业都包括若干个子公司,每个子公司又有自己不同的企业部门,每个部门有自己的局域网,他们所采用的的拓扑结构也不可能完全一样,在建造和维护内网时,我们应该尽可能实现异构网络间的信息通信,这就为我们提出了更高的网络开放性要求。
第二,网络地域因素。各企业的内部网有可能是局域网,也有可能是广域网,可以跨城际,也可以跨国际,这其中所涉及的地域位置比较复杂,所以它们之间的通信质量也就难以确认完好,在信息的传送过程中必定会造成部分信息的损失或者损坏,影响远距离的通信质量,让一些黑客有机可乘。
第三,网络使用者自身因素。每个企业都有自己的内网,企业建立内网是为了方便员工的使用,加快信息的传递,提高工作效率。但是随着企业的扩大,企业的员工,客户也会相应地增加,这些对于网络来说就是使用者即用户的增加,这必然会给网络的安全性带来一定的威胁,因为这其中就有可能会有黑客,它必然会窃取企业的信息及机密。因此,用户在使用电脑时,应该设置稍微复杂的开机口令,在使用网络时注意减少进入与工作不相关网页的次数,对隐私文件要设置加密,这些基本的常识能有效的保护信息安全。
第四,网络主机因素。在建立内往后,由于企业的需求和使用网络量大,原来的局域网必然不能满足日益扩大的企业的需求,这就会增加一些譬如服务器,中型机,小型机,工作站等。这就会造成若干个操作系统的不同,这其中任意一台主机有操作系统漏洞都会导致整个网络的瘫痪。所以,需要我们全面规划网络平台的安全策略,使用防火墙,使用有效的杀毒软件,同时也要注意到网络设备的无力保护。
经过多次实践证明,大部分的网络安全问题都是由网络内部引起的,因此企业应该对自己企业的内网安全性高度重视,一定要制定出相关的网络管理制度,并有专人管理监督,这就需要我们有专门的网络管理员,专门的网络安全员。要培养专门的网络管理员,专门的网络安全员,而且要求网络程序员编程严密,符合国际主流的协议规定,这就要求企业首先要选拔具有计算机基础知识,尤其是具有网络安全知识的专业技术人员,再对他们进行专业的网络安全学习,网络安全教育,网络安全培训,培养出高技术人才从事网络安全管理工作,这样能有效提高企业的网络使用安全。
因此,先进的技术手段,能够有效地防护信息安全,譬如杀毒软件,防火墙,但是网络自身的隐患无法根除,这就要求我们作为信息安全的维护人员,应该养成良好的程序编写习惯,提高网络安全意识,建立好网络管理制度、方法,增强日常网络管理、维护。有效防止病毒及黑客的入侵。