网络应用安全

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇网络应用安全范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

网络应用安全范文第1篇

随着计算机信息技术的快速发展，信息网络化已经逐渐成为现代社会发展的重要组成内容。计算机网络技术对于社会的快速发展与进步有着积极作用，因此，随着该技术的快速发展，一定要加强关于计算机网络应用的研究。在计算机网络应用过程中，安全性问题不容忽视。本文主要对计算机网络应用安全性问题进行分析，结合实际情况，提出有效的新对策，促进计算机网络的全面应用，实现社会的和谐、可持续发展。

【关键词】计算机网络安全 新问题 新对策

现阶段，随着互联网的不断发展，计算机网络在社会各个领域中均得到了一定的应用，为人们的生活、学习、工作等均带来了一定的便利。但是，在普遍应用的同时，也出现了私有信息被侵犯以及数据损坏的情况，一旦出现这些情况，就会为相关行业带来非常严重的损失。因此，在应用计算机网络的时候，一定要对其应用安全进行深入的分析，保证各项工作安全可靠地进行。

1 计算机网络应用安全的新问题

1.1 病毒感染

病毒就是一种编码程序，将其植入用户计算机之后，就可以得到用户的一些信息与网络应用情况。在我们日常生活中，最为常见的病毒往往出现在QQ聊天的时候，具有黑屏、计算机无响应等情况。起初，病毒只是一种恶作剧，随着病毒的不断扩展，一些思想不正的人就利用病毒窃取信息。通常情况下，这些人均是利用一些传播速度快、破坏力强、繁殖力强的病毒程序窃取信息，随着技术水平的不断提高，后来又根据不同网络环境设计了一些相应的病毒。病毒的传播方式主要包括：下载文件、QQ聊天、接收文件等，不同病毒程序产生的安全问题不同，对计算机的危害程度也不同。

1.2 木马入侵

随着互联网的不断发展与普及，病毒问题的网络应用安全问题主要表现为木马入侵。以往木马就是一种依靠传递信息进行犯罪的行为，在邮件发送越来越便利的条件下，邮件便成为了木马入侵的主要途径。通常情况下，用户邮箱经常收到一些垃圾邮件，这些垃圾邮件中可能携带木马。如果用户不小心打开了携带木马的邮件，其中含有的木马程序就会立即启动，进而入侵用户的计算机，在不知不觉中窃取用户信息，并且对用户计算机程序进行恶意篡改，导致用户计算机运行出现差错，甚至出现计算机瘫痪的情况。

1.3 黑客攻击

1.3.1 通过传输协议发动攻击

黑客通过特殊协议漏洞，恶意利用超载等形式，对计算机系统进行针对性的攻击，导致系统出现崩溃或者瘫痪的情况。协议攻击的典型实例就是通过TCP/IP协议中的“三次握手”漏洞，对计算机系统进行攻击，通过大量数据包流入的方法，耗尽计算机系统的资源，出现计算机系统瘫痪的现象，影响计算机网络应用安全。

1.3.2 通过操作系统开放端口发动攻击

在系统软件中，存在着一些边界条件、函数指针等漏洞，在地址空间产生错误的时候，就会出现恶意攻击端口服务的情况。黑客利用软件中的特定报文，使软件运行出现异常，导致计算机系统或者软件出现瘫痪的情况。比较典型的实例就是OOB攻击方式，主要就是对Windows系统139端口进行随机发送，展开攻击，导致CPU运行非常繁忙，对计算机系统的正常运行产生一定的影响。

1.3.3 通过伪装技术对主机发动攻击

在黑客攻击中，通过伪装技术对主机发动攻击是最为常用的手段。黑客主要通过对路由、IP、DNS等信息的伪造，让被攻击主机无法明确请求，导致主机系统出现问题。同时，伪装技术的应用，使被攻击的主机系统无法准确判断信息来源，进而无法做出正确的应对行为，使计算机系统出现崩溃或者瘫痪问题。

2 计算机网络应用安全的新对策

2.1 病毒防护技术

在计算机网络应用中，一定要采取相应的病毒防护技术，保证计算机系统的正常、安全运行。病毒防护技术主要包括以下内容：（1）未知病毒的查杀技术，主要是对虚拟执行技术的突破，结合众多防护技术优势，开发出来的一种病毒查杀技术，可以准确查杀病毒。（2）智能引擎技术，主要就是在扫描技术的基础上，对其不足之处进行相应的改进，结合其优势，开发的一种延缓病毒库的病毒技术。（3）病毒免疫技术，此种技术主要就是对病毒进行免疫，通过强化自主访问的方法，对系统进行控制与保护，实现系统的正常、安全运行。（4）压缩智能还原技术，此项技术可以对文件进行还原与压缩，从而使病毒暴露。（5）嵌入式杀毒技术，此项技术主要就是对容易受到攻击的程序进行保护，通过程序接口的方式，降低病毒攻击程度，目前，此项技术应用非常广泛，并且适用性较强，是一种值得推广的病毒防护技术。（6）应用杀毒软件，现阶段，我国普遍应用的杀毒软件有瑞星、毒霸、360、金山等。在安装应用杀毒软件之后，必须对文件进行及时的更新，并且对计算机进行定期的杀毒、木马检测、系统修复等，第一时间处理系统中存在的安全问题。针对新购硬盘与软盘而言，一定要展开杀毒检测，避免病毒感染，及时修复系统漏洞，保证计算机系统的正常、安全运行。

2.2 防火墙技术

防火墙技术就是通过自定义安全规则，对系统展开隔离控制的一种技术。首先，防火墙技术能够对网络通信予以控制，并且根据过滤技术、状态监测技术、应用网关技术等相关技术，对内外网通信予以访问控制。其次，防火墙技术能够分析网络数据的合法性，在网络入口处，对主机和外网交互信息展开过滤，保证信息安全。最后，在防火墙技术基础上，安全管理人员可以制定相应的安全策略，对MAC、文件传输等予以控制，保证网络的安全。

2.3 入侵检测技术

入侵检测技术能够对计算机中没有授权的入侵现象予以检测，并且在出现此类情况的时候，进行及时报告，这是一种检测计算机网络攻击行为的常用方法。在运用入侵检测技术的时候，可以在入侵者没有危害计算机系统的时候，明确入侵者行为，并且利用系统防护技术，进行相应的入侵驱逐。通过入侵检测技术的运用，可以有效降低恶意攻击的危害，并且对入侵行为进行记录，为计算机系统的正常、安全运行提供可靠保障。

2.4 加密保护技术

对于网络传输数据篡改或者窃取问题，可以进行数据加密保护，将相关数据转换成密文，如果没有密钥，即使被篡改或者窃取，也无法对数据进行有效的还原，这样就可以保证数据的安全性，在一定程度上保证了系统的安全运行。其主要包括两种方式：对称加密保护技术、非对称加密保护技术。对称加密保护技术就是指加密与解密密钥是一致的，此种加密方式一般都是利用DES进行计算；非对称加密保护技术就是指加密与解密密钥不同，这样每一位用户都具有一个密钥，具有很好的保密性，可以满足每一位用户的需求，并且保证了数据的安全。

2.5 身份认证技术

身份认证技术主要就是系统对用户身份识别的过程，其本质就是对用户信息展开保护，并且禁止非本机用户进行使用，在一定程度上，可以保护用户的信息。身份认证的手段主要包括指纹认证、密码认证、动态口令等。身份认证的主要特点就是，只有在确认用户身份之后，才可以让用户进行访问，避免了非本机用户对本机用户信息的篡改与窃取，为计算机的正常、安全使用提供了可靠保障。

3 结束语

总而言之，计算机网络安全是一个非常系统的综合问题，涉及了技术、使用、 等方面的知识，在分析计算机网络安全的时候，一定要综合各方面因素进行考虑。在实际工作中，只有建立科学、合理的安全策略，结合先进的技术手段，才可以保证网络信息的完整与安全，为用户使用计算机提供可靠保障。随着互联网技术的不断发展，在人们的生活、学习、工作中得到了普遍的应用，其安全问题已经成为了人们最为关注的问题。在保证网络安全的时候，需要加强每个人的参与，提高网络安全意识，进而加强对自身信息的保护，实现计算机网络应用安全。

参考文献

[1]李玉萍.浅析当前计算机网络应用安全问题及防范策略[J].中国新技术新产品，2012（14）.

[2]董思好，陈立云，刘爱珍.虚拟机技术在《计算机网络》课程教学中的应用研究[J].现代计算机，2011（07）.

[3]石焱辉.浅谈计算机网络安全存在的问题及其对策[J].计算机光盘软件与应用，2012（10）.

[4]庞海静，黄海荣.浅析计算机网络应用安全与策略[J].中小企业管理与科技（下旬刊），2011（06）.

[5]杨新存.计算机网络应用中存在的问题及解决对策[J].赤峰学院学报（自然科学版），2013（07）.

[6]丁华.浅谈计算机网络安全存在的问题及预防措施[J].鄂州大学学报，2011（05）.

作者简介

洪刚（1976-），男，江苏省沛县人。大学本科学历。现为公安消防部队昆明指挥学校副教授。研究方向为计算机教育。

网络应用安全范文第2篇

谋划自主可控的实现路径

目前，物联网、云计算和移动互联网衍生出的复杂安全问题，让国家、政府、企业、个人陷入了比以往任何时候更为严重的网络威胁包围圈。对此，中国电子信息产业发展研究院副院长卢山认为，我国信息安全企业所要做的不仅是赶上国际领先企业，实现技术发展的同步，还要认清形势、积极调整技术发展的方向，谋划中国信息安全产业自主可控的实现路径。同时，IT企业之间也应该增强协作，通过构建安全生态系统为技术创新给养，以促进产业走上良性发展轨道。

国家网络信息安全技术研究所所长杜跃进认为，当前我国互联网安全领域的制度建设比较薄弱，行业研究的商业转化程度也相对较低，走出国门的中国的互联网安全企业数量还远远不足。作为一个拥有庞大互联网产业潜在市场的国家，中国对互联网安全的重视将是产业蓬勃发展的基础，中国的信息安全企业应该抓住机遇、注重创新，积极走上国际舞台。

网络数据面临着三个挑战

来自企业技术专家代表福禄克网络公司中国区业务发展经理Andy Li认为，目前大型企业机构在全国各地的分支机构众多，业务量巨大且网络结构复杂，每分钟都会发生大量并发业务操作，产生海量网络数据。他们主要面临着三个挑战：安全监控与性能优化并重、无线与有线网络兼顾、在故障现场快速解决问题，尽管不少网络监控解决方案都可以掌握分布于各地的分支机构网络情况，但很多时候，想要快速解决问题，还需要总部与故障现场的技术人员通力合作。

企业级信息安全解决之道

伴随着大数据时代的到来，企业的生产网络日益复杂且业务对于网络的依存度日益增加，某些行业，如用户对生产及办公环境的网络安全又有极高要求。对于这样的客户，日常的网络安全风险监控及主动的故障的排除就显得尤为重要。福禄克网络为此推出了将监控网络安全与保障网络应用性能相结合的企业级信息安全解决方案。

解决方案具有诸多优势，像可以同时兼顾有线和无线网络，并对它们进行统一的管理和监控，不仅可以有效地避免安全漏洞、防止信息泄露、阻止黑客攻击，还有可以为优化网络性能提供帮助；整体监控与现场检测的点面结合，使得解决方案具备了全面、快速解决网络问题的能力。同时，部署简单且可扩展性好，易用性、灵活性具佳；软件与硬件结合，使得解决方案以较低的部署成本获得理想的投资回报。解决方案的功能特色在于7×24小时实时监护无线、有线网络，并对有线和无线的非法设备抑制，快速、精准地对非法设备进行检测、分类与定位，而对异常流量实现监控、端口攻击检测、敏感信息泄露追踪，上网行为管控、内外网访问管理，以及非法网站访问记录与回放、无线攻击检测与多种通知告警功能、安全事件取证、现场安全攻击检测，智能专家系统指导用户解决复杂的安全问题。

网络安全与性能监控

解决方案将应用的网络划分为四个大区，即网管监控区、数据中心、无线办公接入区和有线办公接入区，如图所示。

网管监控区 网络运维人员将在此区域中通过Network Time Machine（简称为NTM）和AirMagnet Enterprise（简称为AME）控制台来管理和操作NTM和AME探针，了解网络运行状态，获取问题告警信息并下发防御策略。

数据中心 将NTM部署在数据中心或客户网络的关键位置，如果存在对数据中心中应用的非法访问行为和黑客攻击行为，NTM将会实时检测到并向控制台发出警告，运维人员可以快速地远程定位该问题。同时NTM还可以最大10G的速率无丢包的记录对关键应用的全部访问，以便运维人员日后调用、分析和取证。

网络应用安全范文第3篇

关键词：无线网络；AP；安全；安全问题

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)12-2697-02

Security Problems of Wireless Network Application

LIN Hong

（Fuzhou Polytechnic, Fuzhou 350108, China）

Abstract：Wireless network has been inseparable to our daily life, safety problems in wireless network such as illegal AP access, improperly encryption settings, free AP trap, counterfeit AP threat and AP intrude protection are threatening our wireless network applications. How to protect the security of our wireless network applications, avoid existing security threats and risks to the application have become popular security problems for wireless network users.

Key word：wireless network; AP; security; security problems

随着无线网络的普及，应用范围的日益扩大，无线网络已成为我们日常工作和个人生活中不可或缺的组成部分。当你在企业内，在校园中，在家庭里，在机场、酒店、咖啡厅等地方使用笔记本、3G手机，平板电脑等移动设备，享受着无线网络带来的便捷时，是否意识到你的通信可能被监听，你的敏感信息可能被窃取，你的终端设备可能受到攻击。由于无线网络开放性传输的特性，较之传统有线网络隐含有更多潜在的漏洞和风险，如何防范无线网络应用中的安全威胁，已成为无线网络用户关注和讨论的热门问题。

1问题一：非法AP接入

非法AP（Access Point，访问接入点）接入，这是许多企业网络管理员面对的令人头痛的安全问题。一个别有用心的员工可能会悄悄地连接一个非法的AP进入企业网络；一些部门或个人未经授权，使用AP自建WLAN（无线局域网），这是在众多企业中常见的情景。一条普通的双绞线将AP连接到企业内网的交换端口，并启用DHCP（动态主机配置协议）服务功能，在办公室及周边一定范围内的拥有无线网卡的移动终端设备不需要进行任何设置都可以自动连接，通过AP共享上网。这些非法AP安装在企业防火墙内，为了联网方便，不进行任何的安全设置；或只进行了简单的默认设置，使得AP在不加密或弱加密条件下工作。不论这些非法AP点是别有用心的恶意接入还是未经授权的善意连接，都使得企业的内部网络暴露给外界，给入侵者盗取企业信息和敏感数据敞开了一扇未加任何保护措施的后门。

防止恶意和未经授权非法AP接入，企业网络管理员应通过对网络中未经授权无线接入点的检测扫描，及时发现这类非法AP接入，并采取措施防范网络安全事故的发生。有条件的企业可通过安装和配置WIPS（无线入侵防御系统）对企业网络的安全进行监控和防范。

2问题二：不当加密设置

无线AP支持多种安全技术设置。目前常见安全设置主要有三种：WEP（Wired Equivalent Privacy，有线等效保密）、WPA（WiFi Protected Access，无线网络保护连接）和WPA2（WPA加密的升级版），这些安全技术都是采用加密手段来防止通过无线传输的信息被截取和破译。

由于无线AP接入设置相对简单，许多没有经过培训的非IT人员都可以轻松按照操作说明完成无线AP组网设置，或仍旧保持出厂时的默认配置，或者没有进行恰当的安全设置，众多AP选用默认的WEP加密和使用原厂提供的默认密钥。WEP是一种已被证实的不安全的加密方式，攻击者可以利用无线数据传输的开放特性，使用任何无线分析仪在AP无线信号覆盖范围内不受任何阻碍地对传输无线数据信息进行监听和拦截，常用的64位WEP加密和128位WEP加密，业余级攻击者可以非常容易使用Airsnort、WEPcrack一类的工具软件进行破译解密，使用户的安全加密防护形同虚设，存在极大的安全隐患。

WPA/WPA2可为无线网络提供更强大的数据加密安全保护。使用WPA+PSK（预共享密钥）或者WPA2+PSK模式对无线网络传输数据进行加密，是家庭无线局域网用户无线AP主要使用的安全加密方式。对于商务或者企业环境下无线网络，应选择使用带802.1X身份识别的WPA2，即802.11i，安装一台RADDIU/AAA服务器以进行802.1X身份识别和认证。

3问题三：免费AP陷阱

当你在公共场所通过免费AP联接上网时，是否意识到你可能已经落入黑客精心布置的免费AP接入陷阱，恶意的AP蜜罐，这绝对不是耸人听闻，危言耸听。天涯论坛有位自称“业余黑客”的网友发帖，称在公共场所搭建一个不设密码的免费AP热点吸引他人连接后，只需15分钟即可获取联网用户的账号、密码，包括网银账号密码、股票账号密码等隐私信息。近日，报刊、电视等媒体有关无线网络免费AP接入陷阱的报道，更是引发了公众对于公共场所免费AP接入安全性问题的热议。

公共场合使用免费AP接入点应该注意什么问题，才能避免被骗，避免落入黑客设计的免费AP陷阱？使用者自身必须要提高警惕，认真识别AP接入点的真假，不要见免费AP接入点就想蹭，不要启动自动连接AP功能，而是要先通过移动设备自带的“查询可用无线网络”进行甄别，仔细核对接入点的名称后再手动连接。还要特别提醒常在公共场合使用智能手机或平板电脑通过无线AP接入点上网的用户，为保证在这类移动设备上使用账号密码等敏感信息的安全，必须为智能手机和平板电脑安装杀毒软件，以防木马、蠕虫等病毒攻击。令人担忧的是，目前意识到这种安全威胁的用户并不多，已经在这类移动设备上安装杀毒软件的用户还仅是少数。

4问题四：仿冒AP的威胁

无线网络中的AP通过发送信标或叫探测信标宣告他们的存在。这些信标中包含有无线AP的MAC地址（AP的身份标识）和SSID（AP的连接标识）。无线移动终端用户通过搜索周边无线AP发出的信标，并进行连接。通常情况下，笔记本、3G手机或平板电脑这些客户端会与预先存储的SSID且信标信号最强的无线AP接入点自动建立连接。

市场上销售的部分AP产品MAC地址和SSID可以允许通过软件工具被修改，这些软件工具在一些网站中可以很容易找到和下载，这些AP产品都允许将AP的MAC地址和SSID修改成任何值。

攻击者通过伪造MAC地址和SSID，复制一个与遭复制的AP身份信息相同，发送同样信标的无线AP接入点。在多个无线网络AP接入点共存在同一个空间里，用户可以连接到任何可用的网络，而无从识别其自动接入的无线AP是自己所属的可信网络还是攻击者设置的仿冒AP。攻击者只要在筹划入侵企业的无线网络附近：街上、停车场或是驾驶的汽车内，架设一个信号比企业无线网更强的仿冒AP接入点，就可以诱惑企业无线局域网的合法无线用户与其自动建立连接，从而盗取其授权的账号密码等机密信息，利用盗取的合法账号和密码，攻击者再通过企业的无线局域网系统合法进入企业内部网络窃取企业敏感数据和信息。可怕的是，这种高手级的网络攻击来无影去无踪，网络安全授权体系设置不完善的甚至无法察觉遭到入侵，企业可能由此潜伏下巨大的不可控的安全危机和风险。同样，在公共场所，仿冒AP也会吸引普通的移动终端用户自动接入，用户在网络中使用的各种账号和密码将被攻击者窃取、破译、盗用，个人用户可能将蒙受重大财产和经济损失。

这种经过攻击者精心设置的仿冒AP，比起免费AP接入陷阱，具有更大的欺骗性，对于普通的终端用户而言更难以防范。

5问题五：AP入侵保护

WLAN（无线局域网）中，由于传送的数据是利用无线电波在空中辐射传播，AP点发出的无线电波可以穿透天花板、地板和墙壁，发射的无线信号只要在覆盖范围区域内，入侵者可以通过高灵敏度天线从公路边、楼宇中或其他任何地方侵入AP而不需要任何物理方式的联接。

一度在国内市场流行的蹭网卡或蹭网软件，其实质就是利用AP在安全设置上的漏洞通过窃取AP的密码，对AP实施入侵。互联网上流传着大量如何破解AP密码的信息，在百度上搜索“AP密码破解”、“AP密码破解软件”、“AP密码破解教程”等关键词，可以搜到几十万条相关信息。出现这种现象说明如果没有正确进行AP的安全保护设置，WALN将非常容易被入侵。

这是家庭和SOHO用户应用AP构建WLAN所面对的安全风险。因为可能在你毫不知情的情况下，你的AP被入侵，你网络中存储的重要信息被盗走，你有限的无线带宽被占用，更有甚者你的AP可能被侵入者利用作为攻击他人的跳板，……。

正确对AP进行一些必要保护设置，抵御入侵，防范无线AP成为入侵者的猎取目标，使你的无线AP所面对的安全风险降到最低程度。常用的保护无线AP安全设置有：

1)关闭SSID广播，隐藏SSID。这样，你AP点发出的信号就不会在正常使用的移动设备“无线网络搜索”中被查询到。

2)启用MAC地址过滤。这将对你的无线AP接入实施访问控制，只有在AP的访问控制列表中存在的MAC地址视为授权的合法机器，才被允许接入。

3)禁止使用DHCP功能。这样可以防止入侵者轻易获得你网络中使用的合法IP地址。

4)禁用远程管理设置服务。远程管理设置服务使得AP可以使用TELNET功能远程登录对AP进行配置和管理，这是非常危险的。

5)使用WPA/WPA2加密，不要使用WEP加密。前面已提及WEP加密方式存在安全漏洞，可以被轻松破解。

如果你的无线AP启用了SSID广播功能，并选用了WEP加密模式，则该无线AP一定是蹭网者蹭网首选的最佳目标，也会成为入门级黑客首选的尝试攻击目标。不妨做个测试，在你居住的住宅小区或在你工作的办公室中，启动笔记本无线热点搜索功能，就可以搜到若干个无线AP接入点，只要细心观察，就可以发现有的AP接入没有设置安全保护或选择了WEP加密保护的。因此对家庭和SOHO用户而言，强调无线AP入侵保护的安全设置问题，其重要意义非同一般。

网络的方便使用和安全使用总是一对矛与盾的关系。无线AP进行了上述的安全配置后，将可能牺牲你使用无线AP接入时的便利性，让你觉得联接无线AP需要事先完成配置，增加了麻烦。但由此换来AP接入的安全保障，有效防御入侵威胁，这样牺牲应该是完全值得的，切不可为图便捷而丢弃安全。

6结束语

3G网络、WLAN，笔记本、3G手机、平板电脑，没有人还会质疑移动信息化这一发展趋势，无线网络已经溶入我们日常工作和生活。与此同时，我们必须清楚地认识到，无线网络和有线网络一样，病毒、黑客、间谍软件随时也都在威胁着我们的应用，并且无线网络因其开放性特点比有线网络更容易遭到攻击。保护无线网络，保护自己的无线网络应用免受安全威胁，有效地规避各种安全风险，当我们每天享受自由、可移动、随时随地无线上网所带来无限空间之时，时刻需要提醒自己切莫忘记“安全”二字。

参考文献：

[1] [美]Wayne Lewis，PH.D. LAN交换与无线[M].北京:人民邮电出版社,2009.

网络应用安全范文第4篇

关键词:WEB应用程序;网络攻击;漏洞;安全对策

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-5716-04

Research and Exploration on the Threats to WEB Application Security and the Countermeasures

QING Yu-hua

(School of Foreign Languages and Public Foundation Education, Xuzhou Institute of Architectural Technology, Xuzhou 221116, China)

Abstract: From the point of view of the WEB application vulnerabilities, threats and attacks, this paper analyses the security and precautionary measures, to make the Internet and WEB applications have more defensive attack ability. And this paper is from the attacker's point of view to think and understand the attacker's system vulnerabilities and possible attack methods, to enhance their safety and prevention during the course of early planning of the application, design implementation and deployment process , which help better prevent attackers attacking the system.

Key words: WEB applications; network attack; vulnerabilities; security countermeasure

当我们谈到网络的安全时,往往认为网络的安全是指网络基础架构的问题,是网络防火墙应主要承担的防护措施,或者认为是系统管理员通过锁定主机来处理的安全问题,而忽视了应用程序设计时的安全漏洞。WEB应用程序架构设计师和开发人员认为应用程序的安全是一个要事后或者是在时间允许的情况下或者通常在解决了程序的应用性能后再去考虑安全性问题,然而网络攻击是可以穿过网络防御直接破坏应用程序,虽然防火墙可以限制HTTP业务流,但是HTTP业务流可以包含利用应用程序缺陷的命令,从而为攻击者提供攻击的机会。完全依赖于锁定主机的方法无法保障WEB应用程序的安全。尽管一些威胁可以在主机层得到有效的反击,但是应用程序攻击是一种日益增加的严重安全性问题。出现安全性问题的另外一个方面是应用程序设计和部署阶段,当应用程序在锁定的生产环境中进行部署时出现故障,管理员就会降低安全性的设置,从而导致新的安全性缺陷。因此,在缺乏安全性策略和应用程序需求与策略不符时也会增加WEB应用程序的不安全性。随机的安全性是不够的,为了使应用程序能抵抗攻击,需要一种全面系统的设计方法保护网络、主机和应用程序。安全性问题分布在程序周期的各个阶段和角色中,它不是一个目的地,而是一个有始无终的旅程。

1 对WEB应用程序攻击的剖析

网络的安全性通常包括:保护网络、保护主机和保护应用程序,网络的攻击常常是从外而对内进行。Web 应用程序只是网络安全的一个组成部分,也是攻击者最终要实施攻击的目标,Web 应用程序的漏洞通常又为网络服务器和数据库服务器的安全带来威胁,因此网络的安全应该是多层保护的安全策略。任何一层的某个弱点都会使应用程序成为易受攻击的对象[1]。对于允许公众在 Internet 上访问的服务器,通常每天都会攻击者探测是否存在安全漏洞,如果未知用户可以访问Web 应用程序,则可以确定恶意用户将获取对应用程序的未经授权的访问。网络、主机和WEB应用程序三者之间的关系如图1所示。

2 WEB应用程序设计中漏洞的种类

分析应用程序级别威胁的较好方法是将其按照应用程序的漏洞类型来划分,如表 1 所示。

针对互联网上日益猖獗攻击,WEB应用程序在论证设计初期就应将安全策略作为设计的重要部分,本文主要从WEB应用程序的输入验证、身份验证和应用程序配置三个方面进行研究和探讨。

3 输入验证

如果攻击者发现应用程序对输入的类型、长度、格式或范围等验证数据,可以进行任意的假设,则输入验证就成为一个安全问题。攻击者便可用精心设计的输入来攻击WEB应用程序,从而危及应用程序的安全。当网络和主机的入口点确保安全后,应用程序所暴露的公共接口则成为攻击的目标。

3.1 缓冲区溢出漏洞及安全对策

缓冲区溢出漏洞会导致拒绝服务攻击或代码插入。拒绝服务攻击会引起进程崩溃;代码插入则会更改程序执行地址以运行攻击者插入的代码。下面的代码片段演示了缓冲区溢出漏洞的典型示例:

void MyFunction( char *MyPsInput )

{

char BufferSize [10];

// 当不执行类型检查时,输入将直接复制到缓冲区内;

StrCopy(BufferSize, MyPsInput)

……

}

托管的.NET 代码不容易受到此问题的影响,因为不论何时访问数组时,都会自动检查数组界限,使得缓冲区溢出攻击对托管代码并不构成很大的威胁,但当托管代码调用非托管的 API 或 COM 对象时,它仍存在安全隐患。

防止缓冲区溢出的安全对策有:设计完善的输入验证规则。尽管应用程序可能存在缺陷,如期望的输入可能超出容器的界限,而不期望的输入仍将成为产生这种漏洞的主要原因,通过验证输入的类型、长度、格式和范围来限制输入,可以有效的防止缓冲区溢出的安全漏洞。限制应用程序对非托管代码的使用,并彻底检查非托管的 API,以确保输入数据是已通过验证的正确数据,同时检查调用非托管的 API 代码,以确保正确的值作为参数传递给非托管的 API。另外在编译WEB应用程序时使用/gs系统参数,它能在编译应用程序代码时插入安全检查,确保代码免受缓冲区溢出所带来的攻击[2]。

3.2 通过缓冲区溢出插入代码

攻击者利用缓冲区溢出漏洞来插入恶意代码,并在进程中利用未经检查的缓冲区,攻击者用精心设计的输入值来覆盖程序的堆栈,更改函数返回地址并执行攻击者插入的恶意代码。防止攻击者通过缓冲区溢出插入恶意代码的方法是使用最低特权的进程帐户执行应用程序。

3.3 跨站点脚本攻击XSS分析及对策

当客户端连接到受信任的网站时,XSS 攻击会导致任意代码在用户浏览器中运行,此攻击是以应用程序的用户而非应用程序本身为攻击目标,但它是使用应用程序作为工具实施攻击。脚本代码是从受信任站点上通过浏览器下载的,所以浏览器无法判断此代码是否非法,IE 安全区域未提供任何防御。攻击者使用访问存储在本地计算机上受信任站点的Cookie对象启动攻击,攻击者必须使用户单击一个精心设计的超链接,如通过在发送给用户的电子邮件中嵌入链接或在新闻组公告中添加恶意链接指向应用程序中易受攻击的页面,该页面以 HTML 输出流形式将未经验证的输入发送回浏览器,从而实施攻击[3]。下面两个链接表示合法和非法链接:

合法链接: /login.aspx?username=qyh

恶意链接: /login.aspx? username= alert('恶意代码')

如果Web应用程序提取了查询字符串,无法对其进行正确验证并返回浏览器,则脚本代码将在浏览器中执行,攻击者使用自己设计的脚本轻松提取用户的身份验证cookie信息,并将其复制到自己的站点,然后作为合法的用户向目标网站发出请求并实施攻击。

防止 XSS 攻击的对策有:设计完善的输入验证规则。应用程序必须确保客户端输入的查询字符串、表格字段和 Cookie 值有效性,把用户输入的全部数据信息进行筛选和清洁,拒绝所有非法的输入值,使用正则表达式来验证通过 HTML传递的表格字段、Cookie 和查询字符串数据,并使用 HTMLEncode 和 URLEncode 函数来对用户输入和输出数据进行编码,将可执行脚本转换为无害的 HTML。

3.4 SQL注入攻击及对策

SQL 注入攻击是利用输入验证中的漏洞在WEB应用程序的后台数据库中运行恶意代码程序,产生SQL注入攻击的漏洞有:当应用程序使用输入方式构造动态 SQL 语句访问数据库时;应用程序在调用存储过程时使用参数传递包含未经筛选的用户输入字符串时;应用程序使用越权帐户连接数据库时。在最后一种情况下,攻击者使用数据库服务器运行操作系统命令,会直接危及其他服务器的安全,而且还会检索、操纵和损坏数据。

SQL 注入示例:在数据库的SQL语句中如包括未经验证的用户输入时,应用程序可能很容易受到 SQL 注入攻击,特别是用未筛选的用户输入构造动态 SQL 语句的代码时。分析以下代码:

SqlDataAdapter myCommand = new SqlDataAdapter("SELECT * FROM Users WHERE UserName ='" + UserIDTxt.Text + "'", conn);

攻击者可以通过终止特定的 SQL 语句,插入恶意的SQL语句,方法是使用单引号加分号字符的方法开始一个新命令,然后执行攻击者自定义的SQL命令,如当攻击者在UserIDTxt文本框中输入如下的字符串:

MyName';DROP TABLE Customers

数据库的执行结果为:

SELECT * FROM Users WHERE UserName='MyName'; DROP TABLE Users

假定应用程序的登录具有足够的数据库权限,则此语句会删除Users表,所以在数据库中应用使用最低特权的用户。再如将以下内容输入到UserIDTxt字段中:’OR 1=1,

数据库将执行命令:SELECT * FROM Users WHERE UserName='' OR 1=1,因为 1=1 恒成立,攻击者将检索 Users 表格中的每一行数据。

防止 SQL 注入的对策有:设计完善的输入验证规则,添加应用程序向数据库发送请求之前验证输入信息的功能,确保输入的字符串中不包含可执行的SQL语句;使用参数化的存储过程访问数据库,如不能使用存储过程,那么在建立SQL 命令时请使用SQL参数;最后请使用最低特权的帐户来连接数据库。

3.5 数据资源标准化的安全漏洞及对策

将多种形式WEB资源的输入数据解析为相同类型的标准名称,称为资源数据标准化。如果WEB应用程序把WEB资源数据作为输入传递给应用程序,那么WEB应用程序就存在资源数据标准化的漏洞。作为参数传递的文件、文件名、路径和URL地址等数据信息中都容易产生标准化资源数据漏洞,原因是这些资源类型都能用不同的方法来表示相同的名称。例如下面列出的五种形式都表示一个文件myfile.dat:

c:\myweb\myfile.dat

myfile.dat

c:\myweb\subdir\..\myfile.dat

c:\myweb\ myfile.dat

..\ myfile.dat

解决标准化漏洞的对策有:尽可能避免输入文件名而使用最终用户无法更改的绝对文件路径。在理论设计上,应用程序代码不接受输入的文件名,如因需要而无法避免则应在作出安全决策之前将名称转变为标准形式并检查它们是否在应用程序的目录层次结构中,否则拒绝对指定文件的访问;确保字符编码设置正确,以限制表示输入的方法,检查应用程序的 Web.config配置文件,并在元素上设置 requestEncoding 和 responseEncoding 属性。

4 身份验证

WEB应用程序身份验证机制常用的有四种:FORMS、WINDOWS、PASSPORT和自定义身份验证,根据WEB应用程序的需要,应选择更为安全的身份验证机制。如果未能正确选择和实现身份验证机制,则攻击者会利用该机制的漏洞来获取系统的访问权,从而对WEB应用程序的安全构成威胁[4]。

4.1 网络偷听及安全对策

从客户端向服务器以纯文本形式传递身份验证凭证,具有初级网络监测软件的攻击者利用同一网络内的其它主机就可以捕捉并获得用户名和密码。防止网络偷听的对策包括:使用不通过网络传输密码的身份验证机制,如 Kerberos 协议或 Windows 身份验证。如果必须通过网络传输密码,则需确保密码已加密,或使用已加密的通讯通道,如 SSL。

4.2 字典攻击及安全对策

在字典攻击中,攻击者使用程序来重述字典中的所有词或采用多种语言的多个字典,并计算每个词的哈希值,对生成的哈希与数据存储区中的值进行比较,如“qyhymch”或“Mustang”,而较强密码如“?You'LlNeinxuZHou_MYeye!”被破解的可能性较小,微软官方推荐使用Hashed算法存储用户密码。一旦攻击者获得了密码哈希列表,则可以脱机执行字典攻击,而且并不要求与应用程序交互。防止字典攻击的对策包括:使用强密码,强密码应该复杂,不是常规字母,而应包括混用大写、小写、数字和特殊字符的密码;在用户存储区中存储不可还原的哈希密码,还要在哈希密码中包含一个 Salt 值[5]。

4.3 Cookie 重播攻击及安全对策

攻击者使用监测软件捕捉用户的身份验证 Cookie 值,并将其重播给应用程序,使用虚假身份获取访问权。防止 Cookie 重播的对策包括:传输身份验证 Cookie 时,应使用系统提供的 SSL 加密通道,并将 Cookie 超时设置为一个较小的值,在经过相对短的时间间隔后强制进行身份验证。

4.4 凭证偷窃及安全对策

浏览器历史记录和缓存中存储用户登录信息,以备将来之用。如果登录用户以外的他人使用终端并且点击了相同的页面,则保存的登录变成可用[6]。防止凭证偷窃的对策有:强制使用强密码,用添加 Salt 的单向哈希的方式存储密码验证符,在重试一定次数后,对最终用户帐户进行强制锁定;为防止浏览器缓存登录访问的可能性,应允许用户创建选择不保存凭证的功能,或强制此功能作为默认策略。

5 WEB应用程序的配置安全及对策

WEB应用程序支持配置界面和系统功能,允许操作员和管理员更改系统参数和更新网站内容,并执行常规维护。最常见的配置威胁有:对界面的未授权访问、对配置存储区的未授权访问和越权的应用程序及服务帐户。

5.1 对界面的未授权访问及安全对策

管理界面是通过附加的网页或单独的 Web 应用程序提供,该网页或 Web 应用程序允许管理员、操作员和内部开发人员管理网站内容和参数配置,仅限于经过授权的用户使用。访问配置管理功能的恶意用户可能会破坏网站或访问下游系统和数据库,或终止应用程序操作并破坏配置数据。防止对管理界面的未授权访问的对策有:使管理界面的数量最小化;使用强身份验证,如使用证书;使用加密通道(如带有 VPN 技术或 SSL);使用 IPSec 策略来将远程管理限制在内部网络中的计算机。

5.2 对配置存储区的未授权访问

配置在存储区中的数据应具有很强的保密性,应该确保存储区安全性,保护配置存储区的对策有:在配置文件 Machine.config和Web.config中配置受限制的 ACL;在 Web 空间外保存自定义配置存储区,避免用户下载 Web 服务器配置文件并利用其漏洞的可能性;限制对配置存储区的访问,作为一种重要防御机制,应该对敏感数据(如密码和连接字符串)加密,以防止外部攻击者获取敏感的配置数据和访问其他系统的数据库连接字符串和帐户凭证。

5.3 越权的应用程序和服务帐户

如果向WEB应用程序和服务帐户授予访问权以更改系统中的配置信息,则攻击者可能操纵它们来执行此操作。安全对策有:通过使用最低特权的服务和应用程序帐户;除非设计明确要求,否则不要允许帐户修改其配置信息。

6 结束语

本文就攻击者对WEB应用程序常用的攻击方法、攻击目标及应用程序本身存在的漏洞进行分类,在WEB应用程序的设计过程中应用更加有效的防御对策,把应用程序设计者的精力集中在用于减少危害的常用方法上,而不是集中在识别每种可能的攻击上,从而为应用程序的建模和设计过程提供必要的安全保障。

参考文献:

[1] 石磊,赵慧然.网络安全与管理[M].北京:清华大学出版社,2009.

[2] 王群.非常网管网络安全[M].北京:人民邮电出版社,2007.

[3] 钟乐海.网络安全技术[M].2版.北京:电子工业出版社,2007.12.

[4] 易美超.浅析计算机网络安全技术与防范策略[J].内蒙古科技与经济,2008(6).

[5] 吴子勤,魏自力,张巍.网络安全防范与加密技术的实现[J].网络与信息,2009(2).

网络应用安全范文第5篇

关键词：计算机网络应用；安全；防范措施

中图分类号：TP393.08 文献标识码：A

因为计算机网络技术的快速发展，人们对于计算机网络的应用也日益增加。通过仔细的和深入的调查发现，当前人们无论是在生活中，还是在工作中都很难离开计算机网络。计算机网络技术的快速发展给人们的工作和生活带来很多的便利，使人们在平时的工作中节省了大量的时间，并提高了工作的效率。也因为计算机网络已经在众多的领域都有所应用，这使得相应的计算机网络安全防护技术也随之在不断的升级和变革。

当今的社会已然成为一个信息化的社会，计算机网络在社会中发挥的作用也越来越重要和不可替代。人们已经在很多基础设施和传输、交换信息时都要借助网络平台。但随着而来也因为网络的自由性与开放性，产生了一些问题，比如数据遭到破坏、一些个人的隐私信息被公开。计算机网络受到的损害可以包括两个方面：一是，计算机系统的一些硬件设施很容易受到自然环境和人为的损害，其二，计算机网络的终端分布不均匀和网络的开放性等特点也给恶意软件和不法黑客的攻击留下了漏洞。由此可见，计算机网络的安全问题已经被社会各个领域所重视，提高计算机网络系统的安全性也已经成为关系到国家安全和社会稳定的决定性因素。

首先我们必须清楚一个概念，所谓计算机网络安全主要是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括物理安全和逻辑安全两个方面的内容。计算机网络安全具有以下五个特征：第一，保密性。主要是指信息不能泄露给未经授权的用户；第二，完整性。信息在传输或是存储的过程中要保持不会被随意的修改；第三，可用性。即可被授权实体访问并按需求使用的特性；第四，可控性。多要进行传播的信息及其内容具有一定的控制能力；第五，可审查性。在出现网络安全问题时能够及时的提供相关依据和解决手段。本文主要是从一下几个方面对计算机网络应用安全问题进行了探讨，并提出了一些防范的措施。

1 计算机网络信息面临的威胁和攻击

在当今社会，有很多的因素可以使计算机网络信息受到威胁和攻击，其主要包括以下几点：第一，自然的威胁。这种威胁最大的特点是其具有不可避免和不可抗拒性。自然威胁包括各种恶劣的自然环境因素的影响，这些因素主要是使网络系统的硬件设备遭到损害；第二，软件中存在的漏洞。由于计算机系统中的网络存在有大量的通信数据，这会使得计算机网络负担过重，并出现数据的一致性与安全性等问题；第三，人为攻击的威胁。这是计算机网络安全中最常见的一种威胁，很多网络黑客可以通过网络对其他的计算机进行恶意的攻击。而作为一种安全防护策略的数据备份，则可以保护计算机的网络安全。通常备份的内容包括用户的数据库和系统数据库内容。我们通常使用的是日志备份和差异备份两种方法。与此同时，我们还应当积极做好备份规划，并对数据进行合理的周期性存档。

2 计算机网络安全产生的主要原因

第一，计算机网络的脆弱性。计算机网络是对全世界都开放的网络，在全球的任何地方的单位或个人都可以在网上方便地传输和获取各种信息，也正是因为互联网具有广泛的开放性和共享性等这些特点，也正是这些特点对计算机网络的安全提出了严峻的挑战。

第二，使用者本身缺乏安全意识。由于人们在平时的计算机网络应用中普遍缺少相应的安全意识，这就让网络设置的安密技术成为了计算机网络安全保护的有效方法之一。但是人们常常为了避开防火墙服务器的额外认证，通常会直接进行PPP的连接，这就导致自身计算机网络不会在防火墙的保护下。

第三，计算机网络结构不安全。互联网是由很多局域网连接组成的大网络。所以当信息传输时，即当一个电脑通过局域网和另一个电脑连接进行信息数据的传输过程是需要经过很多中间网络来相互转发的，这就使得攻击者可以截获用户的数据信息，并将电脑病毒或是恶意软件通过数据包传递给用户，同时也可以利用一台电脑的恶意数据将其传递给其他多台主机。

3 计算机网络的防范措施

第一，计算机技术层面的相应策略。计算机网络安全技术主要包括实时扫描技术、实时监测技术、防火墙和病毒情况分析报告技术等。总体看来，针对技术层面的一些特点可以采取以下几点措施：首先，适度控制网络访问。其次，建立健全相应的网络安全管理制度。再次，在计算机网络安全中可以广泛的应用密码技术。第四，利用现代的科学技术积极研发并努力完善提高计算机网络系统自身的安全性能。第五，提高计算机网络自身的反病毒能力。最后，在计算机网络应用中做好相应的数据备份和数据的恢复工作。

第二，计算机网络安全管理层面的策略。计算机网络的安全管理，主要包含相应计算机网络安全管理机构的建立，计算机网络管理功能的不断完善和加强，以及计算机网络立法和执法力度的不断加强等方面的内容。对于计算机网络安全的保障，不仅仅要重视技术措施，同时也要加强对网络安全的管理，科学的制定相关管理制度，以确保计算机网络的安全运行。同时也要提醒用户加强网络使用的安全意识，让用户学会使用防火墙技术和加密技术等常用的网络安全措施。

第三，计算机物理安全层面的措施。为了计算机的网络系统能够安全可靠的运行，还必须有一个相对安全和稳定的物理环境条件。这样的条件主要是指机房及其内部的设施条件，主要包括：第一，机房的安全防护。为了做到能有一个相对安全的机房条件有以下几点措施：首先，通过物理访问来识别用户的身份；其次，在计算机系统的中心设备周围设立多重保护措施，并建立相应的防御自然灾害的措施。第二，计算机系统需要一个舒适的安全环境条件。这些条件包括温度，空气湿度和洁净度，电气干扰等很多方面。第三，场地的选择。机房场地的选择是十分重要的，因为它直接影响着计算机系统的安全性和稳定性。计算机系统场地的选择需要注意外部环境的安全性和地质的稳定性等等。

第四，限制系统功能。这一措施主要是用来减少黑客利用计算机的服务功能对用户的系统进行恶意的攻击。我们可以采取对个人的数据进行加密的措施，也就是根据准确的密码算法对较为简单敏感的数据转化为很难识破的密文数据，并在数据传输结束后，可以通过密钥对文件进行无损还原。也正因为互联网的开放性，对其中容易被截取的数据进行加密，可以保证信息的通信不被他人获取。

参考文献

[1]王世伦,林江莉,杨小平.计算机网络安全问题与对策探讨[J].西南民族大学学报（自然科学版），2005（06）.