前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇互联网安全技术措施范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、指导思想
以科学发展观为统领,以创新虚拟社会综合管控机制为目标,以国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和公安部《互联网安全保护技术措施规定》等有关法律、法规为依据,进一步加强我县互联网专线接入单位落实安全保护技术措施工作,夯实互联网基础管理,防范和减少各类违法犯罪活动,维护我县虚拟社会稳定和经济发展。
二、工作步骤
(一)自查排摸阶段(2011年8月10日-8月31日)。各互联网专线用户单位要依法落实互联网用户备案工作。未向公安机关备案联网使用情况的单位,确定专人向县公安局网络警察大队报备本单位联网使用情况(见附件一);已备案单位的网络情况如有变更,需及时向公安机关报备更新信息。各互联网专线用户单位要积极开展信息安全保护措施自查工作。仔细对照《方案》要求迅速开展自查和整改工作,认真填写自查回执(见附件二),于8月15日前将自查回执书面材料加盖单位公章后反馈至县公安局网络警察大队。
(二)组织实施阶段(2011年9月1日-2011年10月31日)。全县各互联网专线用户(含政府、企事业联网单位、社区、学校、宾馆酒店、休闲会所、餐厅、电子阅览室、图书馆)要于今年10月底前落实安全保护技术措施各项工作:1、建立安全管理组织,落实专门人员负责网络安全管理工作;2、建立和落实各项安全保护管理制度,建立完善网络安全事故应急处置和责任追究机制、涉网违法事件和网络安全事故通报机制;3、安装安全保护技术措施设备。各专线用户应在本单位网络与互联网的出入口加装前端监测系统并必须符合《互联网安全保护技术措施规定》的要求:(1)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的安全审计技术措施;(2)记录并留存用户注册信息并向报警处置中心上传数据;(3)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(4)具有至少60天的记录备份功能。按统一平台、统一标准、统一接口的要求,各非经营性互联网上网服务单位必须选择安装经省公安厅认证通过的网络安全产品(杭州迪普科技有限公司的UMC管理平台、上海新网程信息技术有限公司的网络警察V7.5、上海汉景信息科技有限公司的网路盔甲V7.5)。全县政府部门、事业单位的安全建设由县政府统一进行技术谈判,确定安全技术产品后供各建设单位选购安装。其他互联网专线用户单位要按本方案要求,落实专项建设资金,自主采购相关产品,确保按时、按要求完成建设任务。
(三)检查验收阶段(2011年11月1日-11月30日)。领导小组办公室对各镇(街道)、各部门工作进展情况进行检查验收,按完成的百分比进行排名并通报,并对安全责任和安全保护技术措施不落实的单位,要及时提出整改意见,限期整改。
三、工作要求
(一)加强领导。落实安全技术措施是防范网上有害信息传播,净化境内互联网环境的一项重要的基础工作,是加强互联网管理的一项重要任务。为加强组织领导,成立县互联网专线用户安全保护措施建设工作领导小组,由县委常委、常务副县长陈建良担任组长,县府办、县纪委、县委宣传部、县委政法委、县公安局、县财政局、县信息办为成员单位,领导小组下设办公室,地点设在县公安局。各级各部门要统一认识,高度重视,按照县政府的统一部署,结合工作实际,制定具体的实施方案,成立由主要负责人担任组长的领导小组和相关组织机构,切实加强组织领导和协调配合,认真开展安全保护技术措施建设工作。
(二)强化协作。各单位要迅速组织开展本单位落实安全保护技术措施情况的调查摸底和专项整改工作,依法履行安全保护职责,加强与县领导小组、县各电信运营商协调,研究本单位建设模式。同时要参照“谁主管、谁负责,谁使用、谁负责”的原则,根据方案要求,建立安全管理审计制度,建立完善安全保护技术措施。
目前来说,互联网普遍存在网络安全隐患的问题。互联网信息的来源渠道较广,因此在实现信息共享的同时也会带来网络安全问题。而互联网网络结构体系开放的特性已经决定了网络安全问题的存在,计算机的TCP/IP框架结构几乎不设置安全防范措施。互联网网络存在特洛伊木马病毒攻击、计算机端口扫描类攻击等安全问题,主要在计算机网络漏洞以及网络应用薄弱的部位进行攻击,并对计算机网络中的重要信息进行窃取,从而控制整个网络系统,极大的影响了计算机网络的系统安全。针对这些安全问题最开始主要是采用防火墙技术对入侵病毒与攻击进行防御,随着互联网的快速发展,已经开始采用入侵检测技术以及入侵防御技术或者是各个技术互相结合进行防御,从而提升互联网安全系数。
1几种网络安全技术简介
1.1防火墙技术
对于IPv4网络主要采用防火墙技术抵御外来病毒入侵网络内部信息资源,从而保障计算机内部网络安全。在IPv6网络协议逐步取代IPv4,防火墙技术仍然占据着重要的地位。防火墙根据技术的不同可以分为以下几种类型:包过滤型、型和监测型、网络地址转换NAT。
1.2入侵检测技术
随着互联网信息技术的快速发展,已经开始采用入侵检测技术抵御外来入侵病毒,该技术最早资源于军方。入侵检测简言之即对入侵网络的行为进行安全检测。通过对电脑系统的关键信息进行分析,从而检测电脑系统中出现的安全问题,一旦检测出木马入侵行为或者病毒入侵时,能够及时反馈给网络管理员,从而管理员能够快速的采取补救措施,并立即断开网络连接,并给予入侵者发出严厉的警告。
1.3数据加密技术
数据加密技术能够对互联网系统进行管理和控制,因此网络管理者可以创建主要的管理策略并对计算机系统进行管理。针对不同区域采用相应的策略进行管理,就能够更好的保证网络的安全。该种管理方式较为灵活,能够极大的提高计算机系统的统一性。数据加密技术主要采取拓扑管理模块管理网络系统,能够详细的查询到设备的实际情况。对于特定用户给予相应级别的管理员权限,并对角色进行管理,从而保证不同级别的管理员执行的权限和责任,此种角色管理方法能够根据数据加密技术的预定角色的方法展示出来,同时还能够根据计算机系统中分配的任务创建出不同的角色。
1.4入侵防御技术
网络入侵防御系统主要是根据网络IDS误报、漏报以及无法主动保护网络等问题,并结合防火墙概念从而衍生的事物,入侵防御系统不仅能够及时的检测木马或病毒入侵的状况,同时还能采取相应的举措对入侵行为进行管理,从而有效的保护了计算机系统的重要信息。入侵防护系统主要将入侵检测技术与防火墙技术进行有效融合,从而衍生出的综合性入侵管理技术。
2几种网络安全技术的缺陷分析
2.1防火墙技术缺陷
对防火墙技术存在的缺陷进行分析:第一,能够有效阻止外来病毒攻击,但是无法彻底消灭病毒攻击源;第二,对于没有设置策略的外来攻击完全没有抵御能力;第三,当外来入侵病毒攻击合法开放的服务器端口时,防火墙技术无法进行阻止;第四,防火墙技术自身存在的漏洞导致出现其他攻击问题;第五,不能完全消除病毒。
2.2数据加密技术缺陷
对数据加密技术存在的缺陷进行细致分析:第一,加密的公钥密码计算方法十分复杂,而且加密数据的速率相对低;第二,进行链路加密时需要不断进行同步,极容易产生丢失和泄露的现象。
2.3入侵检测技术缺陷
入侵检测技术能够及时的检测外来入侵病毒,并能及时的反馈给管理员,但是其仍然存在以下几种缺陷:
(1)误警率相对较高:入侵检测技术容易把良性信息误认为是恶性信息,甚至对于IDS用户极其不关心的事件进行报警反馈。
(2)IDS产品适应能力相对较差:最初开发IDS产品时没有认识到互联网网络的安全性问题,产品性能以及设备相对落后。伴随着互联网信息技术的发展,应当对IDS产品进行适当的调整,从而保证符合互联网环境的标准要求。除此之外,还应当更新设备配置从而提高产品适应能力。
(3)对于攻击缺乏防御功能:入侵检测技术严重缺乏防御功能,所以,完善IDS产品的防御功能才能保证网络系统的安全性。
(4)入侵检测系统无统一标准:目前入侵检测系统暂时没有统一的评价标准,使得入侵检测系统互联较为困难。
(5)处理速度较低:互联网技术更新速度较快,因此,提高网络处理速度是完善入侵检测系统亟待解决的问题。
2.4入侵防御技术缺陷
入侵防御能够及时的检测外来攻击,并采取相应的举措对入侵行为进行管理,但依然存在以下几种缺陷:
(1)网络IDS误报、漏报率相对较高。入侵防御系统对于外来攻击进行及时检测,一定程度上能够减少漏报率,但是在实际上不能完全解决漏报现象。入侵检测技术与入侵防御系统采用的基础检测技术相同,因此,入侵检测系统中产生的虚警问题,在入侵防御系统中同样存在。
(2)入侵防御技术具有主动防御功能,因此精确的检测结果能够极大的提高主动防御能力。但是如果系统检测的结果不够精确,就有可能执行主动防御功能,从而对电脑系统造成不良的影响。
(3)网络性能与入侵检测存在较大矛盾。当特征库不断膨胀时,入侵防御系统容易影响网络性能,进而影响网络传输速率。
3网络安全技术整合对策及发展趋势分析
3.1网络安全技术整合对策
(1)为了提高网络系统的安全性,对入侵防护技术进行了有效整合。防火墙技术结合入侵检测技术共同防护。防火墙系统与入侵检测系统整合的方式主要有两种,①将入侵检测系统置入防火墙系统中;②在防火墙系统或入侵检测系统中展开一个接口,并将防火墙技术与入侵检测技术连接。第一种整合方式中的数据主要是来源于流经防火墙的数据源流。第二种整合方式实现了两种技术的外部连接,具备较强的灵活性。防火墙技术与入侵检测系统实现了技术上的整合。(2)完善IDS与防火墙技术互相结合的安全抵御体系。防火墙技术结合入侵检测技术能够提高网络安全性。防火墙技术组合入侵检测技术操作步骤为:①建立防火墙系统,避免外来入侵信息的干扰,进一步提升网络安全的防护。②建立入侵检测系统,避免外来黑客入侵,从而形成安全防护防线。当不良信息突破防火墙防火进行入侵检测系统时,入侵检测系统能够对外来黑客进行检测并及时进行报警,极大的减少了安全隐患问题。
3.2网络安全技术发展趋势
未来网络安全技术的运用将更为灵活与多样化,而且安全需求方面也会得到较大的提升。首先,客户要明确自己所需要的安全需要,相关技术人员才能够依据客户的需要进行个性化安全结构设置,这样就能在较大程度上有效保证客户的特点网络安全需要。与此同时,相关部门的网络安全评估措施也要跟进,才能实现有效的安全评估,以了解网络环境中的缺陷以及制定针对性的安全技术措施。其次,要开发组合型的安全防御技术,根据不同的入侵情况,结合不同的防御技术防护外来病毒入侵。这种组合型的防御功能要比单一的防御技术拦截与处理入侵病毒或信息的能力强,针对性地进行开发,有利于安全防御。最后,互联网防护技术发展应当注重各类新技术的研究,如加密技术以及识别技术。这类技术能够有效识别新型病毒,并进行积极拦截,较大程度上保证电脑的安全性,未来应该更多的注重这类技术的开发与应用。
4结语
总之,随着计算机网络的迅猛发展,计算机网络系统提供了资源共享性,系统的可靠性和可扩充性,然而正是这些特点增加了计算机网络系统安全的脆弱性和复杂性。互联网网络安全问题是当今社会重视的问题之一,分析计算机系统网络安全问题的原因能够极大的提高网络安全性。伴随着互联网网络技术的提高,及时掌握并了解网络变化,分析各类入侵病毒并采取相应的防护手段,从而降低网络风险系数。
参考文献
[1]王家兰,郑京香,朱金录.中小型企业局域网网络安全设计及应用技术的探讨[J]电脑知识与技术,2011.
[2]郭籽蔚,唐伟,王耀民,周木良,陈震.企业局域网防范ARP欺骗的解决方案[J].中国新技术新产品,2011.
【关键词】 计算机网络安全 管理 技术 研究
随着网络在人们生活当中被应用的越来越广泛,人们开始体会到计算机网络给予的娱乐、提供的信息等等,俗话说:“科技是把双刃剑。”这就意味着互联网也面临着十分严重的安全威胁,并且引发了不可忽略的风险。
一、计算机网络安全中存在的问题
1.1没有进行授权访问
没有进行授权访问具体指的就是拥有熟练编写、调试计算机程序的能力,但是却使用这些能力来获取非法的,或者是没有进行授权的网络,或者是文件进行访问,侵入到他方内部网的行为[2]。
网络入侵的目的主要是为了取得使用系统的存储权限、写权限,以及访问其他存储内容的权限等,也有可能是将这一网络入侵当做是进入其他系统的跳板,或者是恶意的破坏这个系统,从而使电脑丧失了服务能力。
1.2后门和木马程序
从最早的计算机入侵开始,黑客们就已经发展了一门走后门的技术,黑客们可以利用这门技术进入系统当中,后门的主要功能有:管理员是没有办法阻止种植者第二次在进入系统内部;而当种植者进入到系统内部的时候是不容易被发现的;这个“后门”的开设使得种植者可以快速的进入系统内部[3]。
特洛伊木马简称木马,是属于一种特殊的后门程序,木马是一般有两个程序,一个是服务器程序,一个是控制器程序。当一台电脑被安装了木马服务器程序的时候,这个黑客就可以利用木马控制器程序进入这台电脑,并且通过命令服务器程序,从而达到控制其他电脑的目的。
1.3计算机病毒
计算机病毒指的就是编制,或者是插入一些破坏计算机功能和数据到计算机程序当中,从而严重影响到计算机使用功能,以及能够自我复制一组计算机指令,或者是程序代码。例如:蠕虫病毒,指的就是以计算机为载体,从而利用操作系统,以及应用程序的漏洞主动攻击,属于一种利用网络传播的恶性病毒。计算机病毒与其他一些病毒是一样的都是具有:传播性、隐蔽性、破坏性、潜伏性等,同时也具有其他病毒没有的特性例如:只存在于内存中,给网络带来的危害是网络不在进行服务,或者是与黑客技术相结合等。其他常见的破坏性病毒有宏病毒、意大利香肠等[4]。
二、计算机网络安全管理的技术研究
2.1物理隔离网闸
使用多种控制功能的固态开关读写介质,并且连接两个独立主机系统的信息安全设备就是物理隔离网闸。从物理隔离网闸连接的两个独立主机系统中可以知道,通信的物理连接、逻辑连接、信息传输命令、信息传输协议等的都是不存在的,当然也不存在依据协议的信息包转发。有的只是对数据文件的无协议“摆渡”,并且对于固态存储介质的命令只有“读”和“写”。这就意味着,物理隔离网闸从将具有潜在攻击的一切连接进行物理上的隔离、阻断,从而使得“黑客”是无法入侵、无法攻击、无法破坏的,从而实现了真正的安全。
2.2防火墙技术
防火墙指的就是计算机与防火墙所连接的网络之间的软件。这个计算机流入流出的所有网络通信都要经过这个防火墙。防火墙对通过它网络通信进行扫描,这样就可以将所用的攻击过滤掉,从而最大化的避免防火墙在目标计算机上被执行。防火墙能够关闭不使用端口,并且它还能禁止通信从特定的端口流出,从而封锁了特洛伊木马的入侵。防火墙还可以阻止来自特殊站点的访问,对于来自不明入侵者的所有通信进行阻止,从而最大化的保护了网络的安全性。
2.3加密技术
加密技术指的就是加密主要就是一把系统安全钥匙,是实现网络安全的一个重要手段,这就说明了只要使用正确的加密技术,从而可以使得信息安全的以确保。数据加密的基本过程指的就是在原有的明文文件,或者是按照某种算法进行处理,从而使得其成为一种不能读的代码,也就是人们通常所说的“密文”,只有输入相对应的密钥之后才能将密文转变成为明文,从而最大化的保护了数据不被别人窃取。
三、结束语
总而言之,要解决互联网安全方面的问题,还要做很多的工作,仅仅依靠技术,或者是单方面的措施是很难解决问题的,这就意味着必须多方面的进行配合,从而使得网络更加的可靠。
参 考 文 献
[1]唐垒,冯浩,封宇华. 计算机网络管理及相关安全技术分析[J]. 电子世界,2012,No.39505:136-137+139.
[2]李传金. 浅谈计算机网络安全的管理及其技术措施[J]. 黑龙江科技信息,2011,26:95.
关键词:计算机网络安全;影响因素;防范技术
中图分类号:TP393
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,网络系统的软件、硬件及其系统中运行的所有数据受到安全保护,不因偶然或恶意的原因而遭到破坏、更改和泄漏。计算机网络安全有两个方面的安全―逻辑安全和物理安全。逻辑安全包括信息的完整性、保密性和可用性。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
1 计算机网络安全的内涵
所谓的计算机网络安全其实就是其信息的安全,所以,计算机网络安全主要包含了对计算机软件、硬件的维护以及对网络系统安全方面的维护,通过一定的计算机安全方面的技术,来实现网络的抗攻击性和安全性,使得计算机网络不会轻易被破坏和攻击,确保计算机网络安全、有序、健康的运行。在计算机网络安全之中,通常涵盖了两个方面的内容:其一是管理,其二是技术。一个完整的计算机网络安全系统包括了安全技术和安全管理两个方面,控制和管理的对象有软件、硬件以及网络信息,从而达到网络安全环境的最终目的。
2 计算机网络安全的影响因素
2.1 系统漏洞的威胁。所谓的系统漏洞,指的就是系统软、硬件以及协议在正常的使用过程中,在安全方面存在缺点,黑客和非法攻击者将会抓住这些缺点进行病毒和木马的植入,从而达到窃取信息或破坏系统的目的,造成信息的丢失和系统的瘫痪等问题。在计算机网络安全中,系统漏洞出现的破坏几率非常之大,同时带给计算机的损害也是不可忽视的。计算机系统漏洞所涉及到的范围很广,大体上包含了系统自身、系统软件、路由器、服务器以及系统用户等。计算机系统的漏洞会经常性的出现,这就需要我们从根本上去进行漏洞的修补,以便更好的去保障计算机网络的畅通无阻。
2.2 计算机病毒的威胁。所谓的计算机病毒指的就是操作者向计算机程序中加入一段代码或指令,这段代码或指令具有无限复制的特点,从而达到破坏计算机数据和功能的目的,其主要的特点就是无限制的复制。作为计算机网络安全中不可忽视和极其重要的破坏者之一,计算机病毒存在长时间的隐藏性和潜伏期,并且还具有寄生性和传染性,其破坏性不言而喻。计算机病毒的出现,会在很大程度上造成网络运行速度变慢,更有甚者会出现网络瘫痪的现象,对计算机网络安全的影响十分恶劣。所以,我们应当将探索和应对计算机病毒作为一项主要的工作,有效的进行计算机网络保护将是一件非常紧迫的事。
2.3 网络黑客的威胁。网络黑客是随着互联网技术的不断发展和进步而得以出现的,所谓的网络黑客实质上就是在互联网上违法犯罪的人,这些不法分子一般都具有熟练的计算机技能,专门针对网络和计算机系统进行非法破坏。网络黑客通常在没有得到允许的情形下,经过非法手段登录别人计算机,然后进行一系列的操作,比如进行数据的修改、破坏和非法窃取等。除此之外,网络黑客还能够向目标计算机释放木马、病毒以及对其进行非法控制,最终实现破坏数据和控制计算机的目的。
2.4 恶意攻击的威胁。所谓的恶意攻击指的就是一种人为的、有意的破坏活动,对计算机网络安全的威胁非常之大。恶意攻击通常可以分为主动攻击和被动攻击两个类别。主动攻击重点是针对信息进行仿造、篡改以及中断。仿造指的是非法攻击者对信息进行伪造,然后放在网络环境中进行传输;篡改指的是非法攻击者对报文进行改动;中断指的就是非法攻击者故意打断在网络上传输的信息。而被动攻击通常重点是进行信息的半路打劫,也就是说非法攻击者通过窃听和窥探而获得网络上传输的信息。非法攻击者只对网络上传输的信息进行窃取,而不会造成信息的中断以及网络的瘫痪。不论是主动攻击,还是被动攻击,对于互联网安全都有着很大的影响,极有可能导致相关机密信息的丢失,进而带给信息使用者特别大的损伤。
3 计算机网络安全防范技术
3.1 虚拟专网(VPN)技术。作为这些年来特别流行的一种网络技术,VPN技术针对网络安全问题推出了一个可行性的解决方案,VPN并不是一种单独存在的物理网络,而是逻辑方面的一个专用网络,隶属于公共网络,建立在相关的通信协议基础之上,通过互联网技术在企业内网与客户端之间形成一条虚拟专线,此虚拟专线是多协议的,并且是秘密的,因此又被称之为虚拟专用网络。比如:通过互联网络,建立在IP协议之上,进行IPVPN的创建。VPN技术的投入使用,使得企业内部网络与客户端数据传输得到了安全保障,实现了秘密通信的基本要求。信息加密技术、安全隧道技术、访问控制技术以及用户验证技术共同作为其重要技术的组成部分。
3.2 防火墙技术。防火墙在种类上大体可以分为:双层网关、过滤路由器、过滤主机网关、吊带式结构以及过滤子网等防火墙。一切通信都必须要通过防火墙、防火墙可以承受必要的攻击以及只有通过授权之后的流量才可以通过防火墙,此三点作为防火墙的基本特征。各不相同的网络或者各不相同的网络安全域,它们之间的安全保障就是防火墙。针对非法端口,防火墙进行有效的甄别,进行选择性的拒绝和通过,只有有效、符合规定的TCP/IP数据流才可以通过防火墙。这样一来,企业内网之中的信息和数据将不会被非法获取。防火墙的安全防护方式一般是通过电路级网关、包过滤、规则检查以及应用级网关等组成的。
3.3 网络访问控制技术
访问控制是应对网络安全的重要措施、策略,也是比较通用的做法,具有很明显的效果。它包括网络权限管理、入网访问管理、网络监控、属性安全管理、目录级安全管理、网络服务器安全管理、网络和节点和端口的监控、防火墙控制管理等等。这些方法都可以为网络安全提供一些保障,也是必须的基本的保障措施。
3.4 数据的加密与传输安全。所谓加密是将一个信息明文经过加密钥匙及加密函数转换,变成无意义的密文,而接受方则将此密文通过一个解密函数、解密钥匙还原成明文。加密技术是网络安全技术的基石。数据加密技术可分为三类:对称型加密、不对称型加密和不可逆加密。应用加密技术不仅可以提供信息的保密性和数据完整性,而且能够保证通信双方身份的真实性。
3.5 严格的安全管理。计算机网络的安全管理,不但要看使用的相关技术和管理措施,而且要不断加强宣传、执行计算机网络安全保护法律、法规的力度。只有将两方面结合起来,才可以使得计算机网络安全得到保障。要加强全社会的宣传教育,对计算机用户不断进行法制教育,包括计算机犯罪法、计算机安全法等,做到知法、懂法,自觉遵守相关法律法规,自觉保护计算机网络安全。
4 结束语
随着互联网的日益发展和壮大,计算机网络安全将是一个不可忽视的问题,因为计算机网络在很大程度上都是对外开放的,所以就极易遭到不法分子的破坏和攻击。由此看来,我们必须要强化计算机网络安全的建设力度,加强其安全方面的知识教育和专业培训,进行监管水平的迅速提升,打造一流、高效、健康、安全的网络氛围,并达到服务于社会和人们目的,促进社会和谐进步和经济持续又好又快的发展。
参考文献:
[1]王新峰.计算机网络安全防范技术初探[J].网络安全技术与应用,2011,04:17-19.
[2]徐囡囡.关于计算机网络安全防范技术的研究和应用[J].信息与电脑(理论版),2011,06:43-44.
[3]千一男.关于计算机网络安全风险的分析与防范对策的研究[J].电脑知识与技术,2011,29:7131-7132.
[4]郑平.浅谈计算机网络安全漏洞及防范措施[J].计算机光盘软件与应用,2012,03:31-32+46.
关键词:Web应用程序;Web安全;安全弱点;安全漏洞;Web开发
中图分类号:TP393.08
进入二十一世纪以来,互联网以惊人的速度在中国应用和普及。互联网已经成为一项重要的社会基础设施,Web应用也逐渐成为软件开发的主流之一[1]。Web页面是所有互联网应用的主要界面和入口,各行业信息化过程中的应用几乎都架设在Web平台上,关键业务也通过Web网站来实现。经过调查发现:目前,传统的大多数企事业网站通常采用防火墙、入侵检测/漏洞扫描等技术作为网站边界的防护[2]。尽管防火墙、入侵检测等技术已经比较成熟,Web应用的特殊性往往导致防范各类安全性问题的难度很大,因为Web应用攻击通常来自应用层,并且可能来自任何在线用户,甚至包括已经通过认证的用户[3]。同时,对Web应用程序的攻击也可以说是形形、种类繁多,常见的有挂马、SQL注入、缓冲区溢出等。正是因为这样,Web应用程序最容易遭受攻击,Web应用程序的安全性变得越来越重要。
1 Web应用的安全弱点
Web应用本身具有一些安全弱点,归纳起来有以下几点:
(1)TCP/IP协议本身的缺陷。
(2)网络结构的不安全性。
(3)数据窃听。
(4)验证手段的有效性问题。
(5)人为因素。
2 Web应用程序的安全漏洞
根据Symantec的《SymantecInternetSecurItythreatreport》,60%以上的软件安全漏洞是关于Web应用的[4]。开放式Web应用程序安全项目(openWebapplIcatIonSecurItyproject,OWASP)在2010年公布的Web应用十大安全漏洞中[5]:
(1)注入漏洞。
(2)跨站脚本漏洞。
(3)失败的认证和会话管理。
(4)直接对象引用隐患。
(5)CSRF跨站点请求伪造。
(6)安全配置错误。
(7)限制URL访问失败。
(8)尚未验证的访问重定向。
(9)不安全的密码存储。
(10)传输层保护不足。
另外还值得一提的是,很多程序员常使用网上一些公开免费的源码模版来开发Web应用程序,公开的源码的安全性低,非常容易让黑客找到源码的漏洞,从而威胁到Web应用程序的安全。
3 Web应用程序开发中的安全对策
一个Web系统由Web服务器系统、Web客户端系统和Internet网络组成[6]。这三个系统都会产生Web应用程序的安全问题,所以Web应用程序的安全问题是一个复杂的综合问题。在Web应用程序开发阶段就应对于安全问题予以重视,下面分别从数据库设计、程序设计、服务器等三个层面去考虑如何加强Web应用程序的安全性。
3.1 数据库设计层面
数据库存放着Web应用程序最重要的部分:数据。在开发过程中的数据库设计阶段就应该考虑好安全问题,以下建议有助于提高其安全性。
(1)在设计数据库时如果涉及跨库操作,应尽量使用视图来实现。
视图可以让用户或者程序开发人员只看到他们所需要的数据,而不需要把表中的所有信息与字段暴露出来,这样增强了数据的安全性。
(2)对数据库的操作使用存储过程。
(3)注意使用数据库建表时的字段类型,不要用可能被修改的字段做主键,否则会给相关记录的更新带来隐患。
(4)尽量避免大事务的处理。
(5)尽量避免使用游标。
3.2 程序设计层面
目前大多数的网络攻击和互联网安全事件源于应用软件自身的脆弱性,而其根源来自程序开发者在网页程序编制过程中缺乏相关的安全意识和知识,并且开发完成后也缺乏相应的代码检测机制和手段。这些脆弱性在日后就成为了黑客用来发动攻击、进行页面篡改、以及布放和传播网页木马的最有效途径[7]。
Web应用系统形式多样,但其内在特征基本一致,即具有较强的交互性并且使用数据库系统。由于SQL注入使用SQL语法,从技术上讲,凡是Web 应用中构造SQL语句的步骤均存在潜在的攻击风险。因此,如果对用户的输入不做合法性验证,就不能避免SQL注入的发生[8]。
作为Web应用程序的开发者,决不能假定用户不会有恶意行为,也不能假定用户输入的数据都是安全的。对恶意的用户来说,从客户端向Web应用程序发送具有潜在危险的数据是很容易的。程序也可能有未被检查出的错误和漏洞,会成为攻击者下手的对象。
对此开发者在设计和开发Web应用程序时应采取必要的安全设计措施:
(1)对用户输入的数据进行客户端验证和服务器端验证,严禁非法数据进入数据库。
Web应用存在的漏洞和安全隐患很大程度上是由于对用户的某些输入数据缺乏相应的校验或异常处理机制造成的[9]。非法输入问题是最常见的Web应用程序安全漏洞。正确的输入验证是防御目前针对Web应用程序的攻击最有效的方法之一,是防止XSS、SQL注入、缓冲区溢出和其他输入攻击的有效手段,合适的输入验证能减少大量软件的弱点。
验证应尽量放在客户端进行,这样可以减轻服务器的压力,界面更友好,缺点则是它并不能保证所有的攻击被阻止,因为当攻击者了解了它的规则后可以轻易的变换攻击脚本来绕道过它的防御[10]。所以,服务器端验证绝不能省略
(2)启用验证码,防止黑客用程序穷举账户密码,同时防止垃圾信息。
(3)注意文件上传。如果一定要设计文件上传功能,要限制可上传的文件类型和大小,规定好上传文件的权限,且不能让用户自行定义存储路径和文件名,可以考虑其他的设计方法,例如:让应用程序为用户确定文件名,用户输入的文件名为别名。对于图像上传功能,需要验证上传图像的格式及大小是否合乎要求。
(4)采用安全编码标准。为开发语言和平台指定安全编码标准,并采用这些标准。程序只应实现指定的功能,代码保持简单性、规范性。复杂的设计既提高了编码时错误的机率,也更易产生安全漏洞。尽可能使用安全函数进行编码,必须考虑意外情况并进行处理。
(5)不要回显未经筛选的数据。不要将敏感信息,例如隐藏域或Cookie存储在可从浏览器访问的位置,更不要将密码存储在Cookie中。
(6)及时关闭已不用的对象。例如:在使用开发时,DataReader对象需要及时关闭。
(7)尽量使用简单SQL,避免两表以及多表联查。
(8)留意编译器警告,编译代码时使用编译器的最高警告级别,通过修改代码来减少警告。
(9)Web应用程序开发采用分层架构,且分层应该清晰。
(10)使用有效的安全质量保证技术。好的质量保证技术能有效的发现和消除弱点。渗透测试、Fuzz测试,以及源代码审计都能作为一种有效的质量保证措施,独立的安全审查能够建立更安全的系统。
(11)不要试图在发现错误后继续执行Web应用程序。
3.3 服务器层面
Web应用系统涉及的服务器主要是Web服务器和数据库服务器。服务器的安全功能要求包括运行安全和数据安全[11]。服务器的安全首先来自操作系统的安全,因为操作系统管理和控制着软硬件资源和网络资源,是防护入侵的第一道防线,只有操作系统安全了,整个系统才会安全。
为保证Web应用程序的安全运行,在服务器架设和配置时可采取的如下措施:
(1)保证服务器的物理安全。
(2)定期对Web应用程序及数据库进行备份,并将备份存放在安全的地方。
(3)使用安全的文件系统(如NTFS),正确设置网站物理目录的访问权限,实行权限最小化原则。
(4)关闭服务器上的不使用的端口和服务。
(5)运行监视入站和出站通信的病毒检查程序。
(6)数据库服务器一定要放在防火墙内,保证和万维网隔离开。
(7)Web服务器采用纵深防御。这是一个通用的安全原则,从多个防御策略中规避风险,如果一层防御失效,则另一层防御还在发挥作用。
(8)经常检查日志,查找可疑活动,包括服务器日志和SQL日志等。
(9)及时安装操作系统或其他应用软件供应商提供的最新安全补丁程序。
(10)Web服务器管理员应常对服务器的安全风险进行检查,例如使用端口扫描程序进行系统风险分析等。
(11)架设Web应用防火墙。
Web应用防火墙(Web Application Firewall,WAF)作为一种专业的Web 安全防护工具,可深入检测Injection、CSS、CSRF及分布式拒绝服务(Distributed Denial of Service,DDoS)等应用层攻击行为,充分保障Web应用的高可用性和可靠性,很好地完成传统IDS无法完成的任务[12]。目前主要的软硬件产品有ModSecurity、WebKnight、WebDefend、BigIP、iwall、冰之眼等[13]。
总的来说,实施安全,要达到好的效果,必须要完成两个目标:①安全方案正确、可靠。②能够发现所有可能存在的安全问题,不出现遗漏[14]。
4 结束语
Web应用程序的开放性、易用性使其安全问题日益突出。如果只想着将Web应用程序开发出来,而不认真考虑安全运行是极为错误的。不管是做什么Web应用程序,安全是首先要考虑的,因为用户最不能容忍的问题就是安全问题。
Web应用本身具有一些天生的安全弱点,其安全漏洞常被利用来攻击。在设计和开发Web应用程序时必须采取各种安全技术措施和手段以加强其安全性,以保证其在开放的互联网环境中能正确安全地运行,而最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想开发的Web应用程序。
参考文献:
[1]于莉莉,杜蒙杉,张平,纪玲利.Web安全性测试技术综述[J].计算机应用研究,2012(11):4001-4005.
[2]薛辉,邓军,叶柏龙.一种分布式网站安全防护系统[J].计算机系统应用,2012(03):42-45.
[3]TIPTON H F,KRAUSE M.InformatIon SecurIty management handbook[M].6th ed.NeW York:Auerbach PublIctIonS,2006.
[4]Symantec CorporatIon.SymatecInternet SecurIty threat report.trendS for January-June 07,Volume XII[R].2007.
[5]Open Web ApplIcatIon SecurIty Project.OWASP top 10-2010:the ten moSt crItIcal Web applIcatIon SecurIty rISkS[R].2010.
[6]罗福强.Web应用程序设计实用教程[M].北京:清华大学出版社,2010.
[7]徐竹冰.网站应用层安全防护体系[J].计算机系统应用,2012(01):81-84.
[8]马凯,蔡皖东,姚烨.Web2.0环境下SQL注入漏洞注入点提取方法[J].计算机技术与发展,2013(03):121-124.
[9]HUANG Yao-Wen,HUANG S K,LINTP,et al.Web applIcatIon SecurIty aSSeSSment by fault InjectIon and behave Ior monItorIng[C]//Proc of the 12th InternatIonal World WIde Web Conference.NeWYorK:ACM PreSS,2003:148-159.
[10]王溢,李舟军,郭涛.防御代码注入式攻击的字面值污染方法[J].计算机研究与发展,2012(11):2414-2423.
[11]陈伟东,王超,张力,徐峥,邢希双.服务器系统安全内核研究与实现[J].计算机应用与软件,2013(03):304-307.
[12]Becher M. Web Application Firewalls: Applied Web Application Security[M].[S. l.]:VDM Verlag,2007.
[13]姚琳琳,何倩倩,王勇,赵帮.基于分布式对等架构的Web应用防火墙[J].计算机工程,2012(22):114-118.
[14]吴翰清.白帽子讲Web安全[M].北京:电子工业出版社,2012:280.