刘昉

摘要：随着网络技术的飞速发展，Web网络应用安全日益严峻，Web网络安全问题的发生往往会给人们的财产安全带来巨大的影响。为了提升Web网络的安全性，必须采取有效的Web网络运维管理办法，将网络安全事件的发生概率降到最低。本文全面探讨并介绍了Web网络运维安全问题，然后有针对性地提出了具体的应对措施，仅供参考。

关键词：Web网络;应用运维;安全措施

中图分类号：TP3      文献标识码：A

文章編号：1009-3044（2021）10-0054-03

随着网络信息技术的不断发展，网络发展规模日渐扩大，人们对网络资源的使用需求也呈现出了多元化的特征，在这样的背景下，网络安全问题日益严峻。近年来，随着国内网民人数的不断增加，我国已然成为互联网大国，2014年，针对网络应用和管理，习近平明确提出了“没有网络安全就没有国家安全，没有信息化就没有现代化”的重要论断，给国内网络安全管理工作的开展指明了方向。

1 Web网络大数据的应用现状

1.1 企业内部应用

Web网络大数据在企业内部管理工作中的应用可以说是非常普遍的，其应用不仅可以提高企业管理质量和效率，还能降低企业运营成本，实现企业核心竞争力的有效提升，让企业的激烈的市场竞争中，站稳脚步，赢得发展。具体来说，企业通过Web网络大数据数据分析，就可以更加精准的获得消费者的消费趋势，从而帮助企业挖掘出全新的商机和商业经营模式;在销售规划方面，企业利用Web网络大数据进行分析，优化自身商品价格，提高销售水平;在企业实际运营方面，通过Web网络大数据进行人事数据分析，准确的预测人员配置，优化劳动力投入，避免出现劳动力过剩的问题;在供应链方面，利用Web网络大数据完成库存和物流的优化，强化预算开支，缓和供需矛盾，提高自身服务水平。

1.2 物联网应用

物联网也是Web网络大数据的主要应用市场。在物联网所构成的虚拟世界中，现实世界的所有物体都可以是大数据的产生者和使用者，因为物体的数量和种类是十分庞大的，所以物联网中所包含的大数据也是非常庞大的。Web网络大数据的应用优势，物流企业深有体会，所有的物流车辆上都装有传感器和无线适配器，总部可以利用Web网络大数据随时追踪车辆的位置。另外，物流车辆所安装的这些设备也给司机优化行车线路提供了科学的依据。

1.3 在线社交网络应用

在线社交网络属于典型的社会性结构。Web网络大数据的主要来源有：共享空间、即时消息、现在社区等，可以说，在线社交网络中所包含的大数据可以表示出人的各种活动，所以关于这类数据的分析具有重大的意义。对在线社区中Web网络大数据进行分析往往需要应用过数学、社会学、管理学等多个学科的知识，就当前来看，在线社交网络大数据的主要用应用方面包含了社会化影响、网络舆情分析、在线教育等多个方面。

1.4 医疗健康大数据应用

医疗健康中的Web网络大数据具有复杂、高增长等特性，这些大数据所蕴含的信息价值也是多种多样的。医疗大数据的应用水平会直接影响人类目前以及未来的健康水平。比如，2007年，微软公司所开发的HealthVault，应用医学大数据的效果就是非常成功的，该软件的应用目标主要是更加科学的管理个体或者家庭的健康信息，进而为人们提供更加及时有效的健康服务。

1.5 群智感知

随着科技的发展，智能手机、平板电脑已经成为人们生活和工作不可或缺的设备，这些移动设备集成了越来越多的传感器。在这样的背景下，群智感知愈发成为移动计算领域中的热点内容。越来越多的用户将移动智能设备作为基本节点，然后利用移动互联网、蓝牙等技术，分发感知任务，收集感知数据最终完成社会感知任务，用户只需要拥有一台移动智能设备就可以参与到这个过程中来。

1.6 智能电网

所谓智能电网，其实就是在传统电网中融入现代信息技术从而构成新的电网，通过分析Web网络大数据，得到用户的用电信息，然后利用这些信息优化电能的生产、供给和消耗过程。总结来说，大数据在智能电网中的应用可以解决以下问题：1）更加科学的规划电网;通过分析智能电网中的大数据，得出各个地区的实际用电负荷，预估哪些区域或者线路停电频率过高或者容易出现故障等。可以说，Web网络大数据的应用给电网升级、改造、维护工作带来了极大的便利。2）发电与用电的互动;理想的电网中，发电和用电应该处于平衡的状态，但是传统电网的设计思维为单向思维，不能根据实际应用需求调整发电量，导致电能冗余的问题经常发生，Web网络大数据可以帮助管理者更好的分析，实现发电和用电的平衡。

2 Web网络应用及运维管理中面临的安全问题

2.1 跨站脚本攻击

跨站脚本攻击需要借助超文本标记语言代码，具体就是黑客在Web网页中插入超文本标记语言代码，用户浏览网页的时候，就会触发这些代码，然后引发网络攻击。跨站脚本攻击经常发生于论坛、博客和邮箱中，其目的是盗取用户个人信息，用于各种不法行为，追求不法收益。目前，在开发计算机软件的过程中，设计人员为了给用户提供更好的使用体验，往往会在网络中插入一些动态的内容，而这些动态的内容就是利用用户端脚本完成设计的，这一设计要点被黑客利用，通过攻击脚本，引发Web网络安全漏洞。

2.2 SQL注入攻击

作为一种新型的Web网络攻击方式， SQL主要攻击的对象就是数据库。不同的程序员在编写程序的时候具有不同的习惯，因为程序编写过程十分复杂，难免会产生各种漏洞。Web网络攻击者将SQL注入这些漏洞中，盗取用户信息。

2.3 Cookie欺骗漏洞

为了避免用户在同一个浏览器中不断的登录账号和密码，给用户提供浏览方面，储存在用户本地终端上的Cookie具有记住用户密码的功能。攻击者利用服务器更改用户的Cookie空档，然后进入到Web系统获得控制权限，盗取用户的各类信息和数据。就目前来看，Cookie欺骗漏洞的侵入方式有很多，比如修改浏览器，赋予浏览器假的域名等。不管是那种Cookie欺骗，都会导致用户的个人数据和信息的泄漏。

2.4 伪造跨站请求

伪造跨站请求攻击方式的主要表现是，非法用户伪造或者模拟合法用户以合法、合规的形式登录到Web网络中，盗取网络中其他用户的信息，或者破坏Web网络。很多网站的运营过程中，为了增加网站用户的浏览量，往往会设计较为简单的访问请求，这个非法用户的供给提供了方便。和其他供给方式相比，网页式的攻击方式极具破坏力，可以导致用户信息的严重泄漏。

2.5 缓冲区溢出漏洞

用户应用Web網络的时候，难免会出现一些较为复杂的请求，当用户将其输入到Web网络后，系统接收到相应的数据，然后尝试将其放到某一个位置进行处理，但是该位置没有足够的空间容纳这些数据，就形成了缓冲区，在缓冲区内所出现的漏洞就被称为缓冲区溢出漏洞。在Web网络应用过程中，缓冲区溢出漏洞的现象非常普遍，加强系统更新可以有效地避免缓冲期漏洞的发生。

3 Web网络安全应对措施

3.1 跨站脚本攻击应对措施

在开发Web前端的过程中，开发者很少会过滤或限制用户所提交的信息，导致用户在浏览网络页面的过程中，攻击者在网页中植入恶意代码，劫持用户和网络之间的互动，强制页面跳转，导致页面或者站点遭到破坏。比如，XSS就是非常典型的跨站脚本攻击，攻击者将其嵌入在JavaScript中，盗取用户Cookie中的授权信息，或者冒充用户和Web服务端进行对话，同时将恶意代码存储到Web应用关联的数据库中，为持久性的攻击做准备。应对画展脚本攻击的主要方法为严格进行输入验证与输出编码，就目前来说，该方法是跨站脚本攻击最为有效的防护方法，通过多对输入数据进行检测和锅炉，达到提高Web系统应用安全的目的。

3.2 SQL注入攻击应对措施

SQL注入主要包含两种形式：代码层注入;平台层注入。有效的防护SQL注入攻击的方式主要有以下几种：

1）参数化查询;SQL注入的过程中通常会绕过系统认证，数据库系统按照用户所输入的指令执行命令，导致安全问题的发生。最为有效的用对措施就是应用预编译语句集。首先翻译SQL语句，然后将用户输入的指令作为参数输入，避免系统将其作为用户输入指令来执行，这样一来，Web网络应用过程中的安全性就会得到大幅度的提升。

2）使用正则表达式;利用正则表达过滤用户输入，具体来说，就是包含单引号、双“-”转换字符以及SQL保留字符的用户输入指令过滤掉。通过正则表式进行检测，判断字符串是否符合正则表达方式。

3）非法字符过滤;利用相应的函数过滤用户输入中的非法字符或者非法字符串，从而提高Web网络应用过程中的安全性。常见的比如：*、insert等。

3.3 Cookie欺骗漏洞应对措施

Cookie欺骗漏洞最为有效的应对措施就是使用HttpOnly，避免用户和系统之间的Cookie会话被劫持，具体的操作是，设置Cookie中的HttpOnly属性为Ture，避免Cookie会话被劫持，保护Cookie信息免受窃取，进而提高Web网络运行过程中的安全性。

3.4 伪造跨站请求应对措施

伪造跨站请用攻击往往以网页形式存在，攻击者以权限用户进入网络，获得系统的操控权限，盗取系统中的用户信息。针对伪造跨站情景攻击可以采取的应对措施有：

1）加强文件上传管理;禁止应用asp、jsp、php等脚本语言编写的文件上传到Web网络上。应用白名单管理策略对文件上传的过程进行管理，所有不在白名单范围内的IP或用户禁止进行文件上传操作。

2）加强服务器权限管理;充分发挥访问控制列表的作用，对所有的操作进行严格的控制，所有的Web应用都不能在超级用户下运行，同一个服务其内部的不同站点之间，需要设置不同的用户权限。对于Web网络中的匿名账户，只赋予其读取文件的权限，限制其上传或者其他更改操作。

3）其他安全防范措施;开启必要的认证方式认证所有登录到Web网络中的用户身份，禁止任何的匿名访问。使积极应用D盾、360主机卫士等专业工具进行检测查杀。

3.5 缓冲区溢出漏洞应对措施

针对缓冲器溢出漏洞，最为有效的防护应对措施就是应用正则达表式对URL参数过滤scan、echo、nmap等特殊字符，在nginx.conf中限制客户端可用缓冲区的大小，避免缓冲区溢出攻击的发生，保障Web使用安全。另外，如果配合应用黑白名单，可以很好地防范DDoS攻击。

4 结语

总而言之，随着科技的不断发展，Web网络的发展规模越来越大，内部结构越来越复杂，所包含的数据也越来越庞大，这给Web网络安全管理工作提出了更高的要求。Web网络在运行过程中一旦发生安全事件，就会给人们的财产安全带来巨大的影响，所以，采取必要的措施加控制是非常有必要的。本文对Web网络及应用运维安全问题进行了全面的分析，然后分别提出了应对建议，希望可以给相关人士以参考和借鉴。

参考文献：

[1] 沈子雷.基于Web应用的网络安全漏洞发现与研究[J].无线互联科技，202017（5）：19-20.

[2] 谭志超.Web应用的安全形势与防护策略研究[J].网络安全技术与应用，2019（12）：21-24.

[3] 滕云，于勃.基于Web管理技术的安全网络管理系统[J].电子技术与软件工程，2019（17）：205-206.

[4] 张引，陈敏，廖小飞.大数据应用的现状与展望[J].计算机研究与发展，2013（S2）：216-233.

【通联编辑：张薇】