前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)應(yīng)用安全范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)應(yīng)用安全范文第1篇

隨著計算機信息技術(shù)的快速發(fā)展，信息網(wǎng)絡(luò)化已經(jīng)逐漸成為現(xiàn)代社會發(fā)展的重要組成內(nèi)容。計算機網(wǎng)絡(luò)技術(shù)對于社會的快速發(fā)展與進步有著積極作用，因此，隨著該技術(shù)的快速發(fā)展，一定要加強關(guān)于計算機網(wǎng)絡(luò)應(yīng)用的研究。在計算機網(wǎng)絡(luò)應(yīng)用過程中，安全性問題不容忽視。本文主要對計算機網(wǎng)絡(luò)應(yīng)用安全性問題進行分析，結(jié)合實際情況，提出有效的新對策，促進計算機網(wǎng)絡(luò)的全面應(yīng)用，實現(xiàn)社會的和諧、可持續(xù)發(fā)展。

【關(guān)鍵詞】計算機網(wǎng)絡(luò)安全 新問題 新對策

現(xiàn)階段，隨著互聯(lián)網(wǎng)的不斷發(fā)展，計算機網(wǎng)絡(luò)在社會各個領(lǐng)域中均得到了一定的應(yīng)用，為人們的生活、學(xué)習(xí)、工作等均帶來了一定的便利。但是，在普遍應(yīng)用的同時，也出現(xiàn)了私有信息被侵犯以及數(shù)據(jù)損壞的情況，一旦出現(xiàn)這些情況，就會為相關(guān)行業(yè)帶來非常嚴(yán)重的損失。因此，在應(yīng)用計算機網(wǎng)絡(luò)的時候，一定要對其應(yīng)用安全進行深入的分析，保證各項工作安全可靠地進行。

1 計算機網(wǎng)絡(luò)應(yīng)用安全的新問題

1.1 病毒感染

病毒就是一種編碼程序，將其植入用戶計算機之后，就可以得到用戶的一些信息與網(wǎng)絡(luò)應(yīng)用情況。在我們?nèi)粘Ｉ钪校顬槌Ｒ姷牟《就霈F(xiàn)在QQ聊天的時候，具有黑屏、計算機無響應(yīng)等情況。起初，病毒只是一種惡作劇，隨著病毒的不斷擴展，一些思想不正的人就利用病毒竊取信息。通常情況下，這些人均是利用一些傳播速度快、破壞力強、繁殖力強的病毒程序竊取信息，隨著技術(shù)水平的不斷提高，后來又根據(jù)不同網(wǎng)絡(luò)環(huán)境設(shè)計了一些相應(yīng)的病毒。病毒的傳播方式主要包括：下載文件、QQ聊天、接收文件等，不同病毒程序產(chǎn)生的安全問題不同，對計算機的危害程度也不同。

1.2 木馬入侵

隨著互聯(lián)網(wǎng)的不斷發(fā)展與普及，病毒問題的網(wǎng)絡(luò)應(yīng)用安全問題主要表現(xiàn)為木馬入侵。以往木馬就是一種依靠傳遞信息進行犯罪的行為，在郵件發(fā)送越來越便利的條件下，郵件便成為了木馬入侵的主要途徑。通常情況下，用戶郵箱經(jīng)常收到一些垃圾郵件，這些垃圾郵件中可能攜帶木馬。如果用戶不小心打開了攜帶木馬的郵件，其中含有的木馬程序就會立即啟動，進而入侵用戶的計算機，在不知不覺中竊取用戶信息，并且對用戶計算機程序進行惡意篡改，導(dǎo)致用戶計算機運行出現(xiàn)差錯，甚至出現(xiàn)計算機癱瘓的情況。

1.3 黑客攻擊

1.3.1 通過傳輸協(xié)議發(fā)動攻擊

黑客通過特殊協(xié)議漏洞，惡意利用超載等形式，對計算機系統(tǒng)進行針對性的攻擊，導(dǎo)致系統(tǒng)出現(xiàn)崩潰或者癱瘓的情況。協(xié)議攻擊的典型實例就是通過TCP/IP協(xié)議中的“三次握手”漏洞，對計算機系統(tǒng)進行攻擊，通過大量數(shù)據(jù)包流入的方法，耗盡計算機系統(tǒng)的資源，出現(xiàn)計算機系統(tǒng)癱瘓的現(xiàn)象，影響計算機網(wǎng)絡(luò)應(yīng)用安全。

1.3.2 通過操作系統(tǒng)開放端口發(fā)動攻擊

在系統(tǒng)軟件中，存在著一些邊界條件、函數(shù)指針等漏洞，在地址空間產(chǎn)生錯誤的時候，就會出現(xiàn)惡意攻擊端口服務(wù)的情況。黑客利用軟件中的特定報文，使軟件運行出現(xiàn)異常，導(dǎo)致計算機系統(tǒng)或者軟件出現(xiàn)癱瘓的情況。比較典型的實例就是OOB攻擊方式，主要就是對Windows系統(tǒng)139端口進行隨機發(fā)送，展開攻擊，導(dǎo)致CPU運行非常繁忙，對計算機系統(tǒng)的正常運行產(chǎn)生一定的影響。

1.3.3 通過偽裝技術(shù)對主機發(fā)動攻擊

在黑客攻擊中，通過偽裝技術(shù)對主機發(fā)動攻擊是最為常用的手段。黑客主要通過對路由、IP、DNS等信息的偽造，讓被攻擊主機無法明確請求，導(dǎo)致主機系統(tǒng)出現(xiàn)問題。同時，偽裝技術(shù)的應(yīng)用，使被攻擊的主機系統(tǒng)無法準(zhǔn)確判斷信息來源，進而無法做出正確的應(yīng)對行為，使計算機系統(tǒng)出現(xiàn)崩潰或者癱瘓問題。

2 計算機網(wǎng)絡(luò)應(yīng)用安全的新對策

2.1 病毒防護技術(shù)

在計算機網(wǎng)絡(luò)應(yīng)用中，一定要采取相應(yīng)的病毒防護技術(shù)，保證計算機系統(tǒng)的正常、安全運行。病毒防護技術(shù)主要包括以下內(nèi)容：（1）未知病毒的查殺技術(shù)，主要是對虛擬執(zhí)行技術(shù)的突破，結(jié)合眾多防護技術(shù)優(yōu)勢，開發(fā)出來的一種病毒查殺技術(shù)，可以準(zhǔn)確查殺病毒。（2）智能引擎技術(shù)，主要就是在掃描技術(shù)的基礎(chǔ)上，對其不足之處進行相應(yīng)的改進，結(jié)合其優(yōu)勢，開發(fā)的一種延緩病毒庫的病毒技術(shù)。（3）病毒免疫技術(shù)，此種技術(shù)主要就是對病毒進行免疫，通過強化自主訪問的方法，對系統(tǒng)進行控制與保護，實現(xiàn)系統(tǒng)的正常、安全運行。（4）壓縮智能還原技術(shù)，此項技術(shù)可以對文件進行還原與壓縮，從而使病毒暴露。（5）嵌入式殺毒技術(shù)，此項技術(shù)主要就是對容易受到攻擊的程序進行保護，通過程序接口的方式，降低病毒攻擊程度，目前，此項技術(shù)應(yīng)用非常廣泛，并且適用性較強，是一種值得推廣的病毒防護技術(shù)。（6）應(yīng)用殺毒軟件，現(xiàn)階段，我國普遍應(yīng)用的殺毒軟件有瑞星、毒霸、360、金山等。在安裝應(yīng)用殺毒軟件之后，必須對文件進行及時的更新，并且對計算機進行定期的殺毒、木馬檢測、系統(tǒng)修復(fù)等，第一時間處理系統(tǒng)中存在的安全問題。針對新購硬盤與軟盤而言，一定要展開殺毒檢測，避免病毒感染，及時修復(fù)系統(tǒng)漏洞，保證計算機系統(tǒng)的正常、安全運行。

2.2 防火墻技術(shù)

防火墻技術(shù)就是通過自定義安全規(guī)則，對系統(tǒng)展開隔離控制的一種技術(shù)。首先，防火墻技術(shù)能夠?qū)W(wǎng)絡(luò)通信予以控制，并且根據(jù)過濾技術(shù)、狀態(tài)監(jiān)測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)等相關(guān)技術(shù)，對內(nèi)外網(wǎng)通信予以訪問控制。其次，防火墻技術(shù)能夠分析網(wǎng)絡(luò)數(shù)據(jù)的合法性，在網(wǎng)絡(luò)入口處，對主機和外網(wǎng)交互信息展開過濾，保證信息安全。最后，在防火墻技術(shù)基礎(chǔ)上，安全管理人員可以制定相應(yīng)的安全策略，對MAC、文件傳輸?shù)扔枰钥刂疲ＷC網(wǎng)絡(luò)的安全。

2.3 入侵檢測技術(shù)

入侵檢測技術(shù)能夠?qū)τ嬎銠C中沒有授權(quán)的入侵現(xiàn)象予以檢測，并且在出現(xiàn)此類情況的時候，進行及時報告，這是一種檢測計算機網(wǎng)絡(luò)攻擊行為的常用方法。在運用入侵檢測技術(shù)的時候，可以在入侵者沒有危害計算機系統(tǒng)的時候，明確入侵者行為，并且利用系統(tǒng)防護技術(shù)，進行相應(yīng)的入侵驅(qū)逐。通過入侵檢測技術(shù)的運用，可以有效降低惡意攻擊的危害，并且對入侵行為進行記錄，為計算機系統(tǒng)的正常、安全運行提供可靠保障。

2.4 加密保護技術(shù)

對于網(wǎng)絡(luò)傳輸數(shù)據(jù)篡改或者竊取問題，可以進行數(shù)據(jù)加密保護，將相關(guān)數(shù)據(jù)轉(zhuǎn)換成密文，如果沒有密鑰，即使被篡改或者竊取，也無法對數(shù)據(jù)進行有效的還原，這樣就可以保證數(shù)據(jù)的安全性，在一定程度上保證了系統(tǒng)的安全運行。其主要包括兩種方式：對稱加密保護技術(shù)、非對稱加密保護技術(shù)。對稱加密保護技術(shù)就是指加密與解密密鑰是一致的，此種加密方式一般都是利用DES進行計算；非對稱加密保護技術(shù)就是指加密與解密密鑰不同，這樣每一位用戶都具有一個密鑰，具有很好的保密性，可以滿足每一位用戶的需求，并且保證了數(shù)據(jù)的安全。

2.5 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)主要就是系統(tǒng)對用戶身份識別的過程，其本質(zhì)就是對用戶信息展開保護，并且禁止非本機用戶進行使用，在一定程度上，可以保護用戶的信息。身份認(rèn)證的手段主要包括指紋認(rèn)證、密碼認(rèn)證、動態(tài)口令等。身份認(rèn)證的主要特點就是，只有在確認(rèn)用戶身份之后，才可以讓用戶進行訪問，避免了非本機用戶對本機用戶信息的篡改與竊取，為計算機的正常、安全使用提供了可靠保障。

3 結(jié)束語

總而言之，計算機網(wǎng)絡(luò)安全是一個非常系統(tǒng)的綜合問題，涉及了技術(shù)、使用、 等方面的知識，在分析計算機網(wǎng)絡(luò)安全的時候，一定要綜合各方面因素進行考慮。在實際工作中，只有建立科學(xué)、合理的安全策略，結(jié)合先進的技術(shù)手段，才可以保證網(wǎng)絡(luò)信息的完整與安全，為用戶使用計算機提供可靠保障。隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，在人們的生活、學(xué)習(xí)、工作中得到了普遍的應(yīng)用，其安全問題已經(jīng)成為了人們最為關(guān)注的問題。在保證網(wǎng)絡(luò)安全的時候，需要加強每個人的參與，提高網(wǎng)絡(luò)安全意識，進而加強對自身信息的保護，實現(xiàn)計算機網(wǎng)絡(luò)應(yīng)用安全。

參考文獻

[1]李玉萍.淺析當(dāng)前計算機網(wǎng)絡(luò)應(yīng)用安全問題及防范策略[J].中國新技術(shù)新產(chǎn)品，2012（14）.

[2]董思好，陳立云，劉愛珍.虛擬機技術(shù)在《計算機網(wǎng)絡(luò)》課程教學(xué)中的應(yīng)用研究[J].現(xiàn)代計算機，2011（07）.

[3]石焱輝.淺談計算機網(wǎng)絡(luò)安全存在的問題及其對策[J].計算機光盤軟件與應(yīng)用，2012（10）.

[4]龐海靜，黃海榮.淺析計算機網(wǎng)絡(luò)應(yīng)用安全與策略[J].中小企業(yè)管理與科技（下旬刊），2011（06）.

[5]楊新存.計算機網(wǎng)絡(luò)應(yīng)用中存在的問題及解決對策[J].赤峰學(xué)院學(xué)報（自然科學(xué)版），2013（07）.

[6]丁華.淺談計算機網(wǎng)絡(luò)安全存在的問題及預(yù)防措施[J].鄂州大學(xué)學(xué)報，2011（05）.

作者簡介

洪剛（1976-），男，江蘇省沛縣人。大學(xué)本科學(xué)歷。現(xiàn)為公安消防部隊昆明指揮學(xué)校副教授。研究方向為計算機教育。

網(wǎng)絡(luò)應(yīng)用安全范文第2篇

謀劃自主可控的實現(xiàn)路徑

目前，物聯(lián)網(wǎng)、云計算和移動互聯(lián)網(wǎng)衍生出的復(fù)雜安全問題，讓國家、政府、企業(yè)、個人陷入了比以往任何時候更為嚴(yán)重的網(wǎng)絡(luò)威脅包圍圈。對此，中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長盧山認(rèn)為，我國信息安全企業(yè)所要做的不僅是趕上國際領(lǐng)先企業(yè)，實現(xiàn)技術(shù)發(fā)展的同步，還要認(rèn)清形勢、積極調(diào)整技術(shù)發(fā)展的方向，謀劃中國信息安全產(chǎn)業(yè)自主可控的實現(xiàn)路徑。同時，IT企業(yè)之間也應(yīng)該增強協(xié)作，通過構(gòu)建安全生態(tài)系統(tǒng)為技術(shù)創(chuàng)新給養(yǎng)，以促進產(chǎn)業(yè)走上良性發(fā)展軌道。

國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進認(rèn)為，當(dāng)前我國互聯(lián)網(wǎng)安全領(lǐng)域的制度建設(shè)比較薄弱，行業(yè)研究的商業(yè)轉(zhuǎn)化程度也相對較低，走出國門的中國的互聯(lián)網(wǎng)安全企業(yè)數(shù)量還遠(yuǎn)遠(yuǎn)不足。作為一個擁有龐大互聯(lián)網(wǎng)產(chǎn)業(yè)潛在市場的國家，中國對互聯(lián)網(wǎng)安全的重視將是產(chǎn)業(yè)蓬勃發(fā)展的基礎(chǔ)，中國的信息安全企業(yè)應(yīng)該抓住機遇、注重創(chuàng)新，積極走上國際舞臺。

網(wǎng)絡(luò)數(shù)據(jù)面臨著三個挑戰(zhàn)

來自企業(yè)技術(shù)專家代表福祿克網(wǎng)絡(luò)公司中國區(qū)業(yè)務(wù)發(fā)展經(jīng)理Andy Li認(rèn)為，目前大型企業(yè)機構(gòu)在全國各地的分支機構(gòu)眾多，業(yè)務(wù)量巨大且網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，每分鐘都會發(fā)生大量并發(fā)業(yè)務(wù)操作，產(chǎn)生海量網(wǎng)絡(luò)數(shù)據(jù)。他們主要面臨著三個挑戰(zhàn)：安全監(jiān)控與性能優(yōu)化并重、無線與有線網(wǎng)絡(luò)兼顧、在故障現(xiàn)場快速解決問題，盡管不少網(wǎng)絡(luò)監(jiān)控解決方案都可以掌握分布于各地的分支機構(gòu)網(wǎng)絡(luò)情況，但很多時候，想要快速解決問題，還需要總部與故障現(xiàn)場的技術(shù)人員通力合作。

企業(yè)級信息安全解決之道

伴隨著大數(shù)據(jù)時代的到來，企業(yè)的生產(chǎn)網(wǎng)絡(luò)日益復(fù)雜且業(yè)務(wù)對于網(wǎng)絡(luò)的依存度日益增加，某些行業(yè)，如用戶對生產(chǎn)及辦公環(huán)境的網(wǎng)絡(luò)安全又有極高要求。對于這樣的客戶，日常的網(wǎng)絡(luò)安全風(fēng)險監(jiān)控及主動的故障的排除就顯得尤為重要。福祿克網(wǎng)絡(luò)為此推出了將監(jiān)控網(wǎng)絡(luò)安全與保障網(wǎng)絡(luò)應(yīng)用性能相結(jié)合的企業(yè)級信息安全解決方案。

解決方案具有諸多優(yōu)勢，像可以同時兼顧有線和無線網(wǎng)絡(luò)，并對它們進行統(tǒng)一的管理和監(jiān)控，不僅可以有效地避免安全漏洞、防止信息泄露、阻止黑客攻擊，還有可以為優(yōu)化網(wǎng)絡(luò)性能提供幫助；整體監(jiān)控與現(xiàn)場檢測的點面結(jié)合，使得解決方案具備了全面、快速解決網(wǎng)絡(luò)問題的能力。同時，部署簡單且可擴展性好，易用性、靈活性具佳；軟件與硬件結(jié)合，使得解決方案以較低的部署成本獲得理想的投資回報。解決方案的功能特色在于7×24小時實時監(jiān)護無線、有線網(wǎng)絡(luò)，并對有線和無線的非法設(shè)備抑制，快速、精準(zhǔn)地對非法設(shè)備進行檢測、分類與定位，而對異常流量實現(xiàn)監(jiān)控、端口攻擊檢測、敏感信息泄露追蹤，上網(wǎng)行為管控、內(nèi)外網(wǎng)訪問管理，以及非法網(wǎng)站訪問記錄與回放、無線攻擊檢測與多種通知告警功能、安全事件取證、現(xiàn)場安全攻擊檢測，智能專家系統(tǒng)指導(dǎo)用戶解決復(fù)雜的安全問題。

網(wǎng)絡(luò)安全與性能監(jiān)控

解決方案將應(yīng)用的網(wǎng)絡(luò)劃分為四個大區(qū)，即網(wǎng)管監(jiān)控區(qū)、數(shù)據(jù)中心、無線辦公接入?yún)^(qū)和有線辦公接入?yún)^(qū)，如圖所示。

網(wǎng)管監(jiān)控區(qū) 網(wǎng)絡(luò)運維人員將在此區(qū)域中通過Network Time Machine（簡稱為NTM）和AirMagnet Enterprise（簡稱為AME）控制臺來管理和操作NTM和AME探針，了解網(wǎng)絡(luò)運行狀態(tài)，獲取問題告警信息并下發(fā)防御策略。

數(shù)據(jù)中心 將NTM部署在數(shù)據(jù)中心或客戶網(wǎng)絡(luò)的關(guān)鍵位置，如果存在對數(shù)據(jù)中心中應(yīng)用的非法訪問行為和黑客攻擊行為，NTM將會實時檢測到并向控制臺發(fā)出警告，運維人員可以快速地遠(yuǎn)程定位該問題。同時NTM還可以最大10G的速率無丟包的記錄對關(guān)鍵應(yīng)用的全部訪問，以便運維人員日后調(diào)用、分析和取證。

網(wǎng)絡(luò)應(yīng)用安全范文第3篇

關(guān)鍵詞：無線網(wǎng)絡(luò)；AP；安全；安全問題

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2012)12-2697-02

Security Problems of Wireless Network Application

LIN Hong

（Fuzhou Polytechnic, Fuzhou 350108, China）

Abstract：Wireless network has been inseparable to our daily life, safety problems in wireless network such as illegal AP access, improperly encryption settings, free AP trap, counterfeit AP threat and AP intrude protection are threatening our wireless network applications. How to protect the security of our wireless network applications, avoid existing security threats and risks to the application have become popular security problems for wireless network users.

Key word：wireless network; AP; security; security problems

隨著無線網(wǎng)絡(luò)的普及，應(yīng)用范圍的日益擴大，無線網(wǎng)絡(luò)已成為我們?nèi)粘９ぷ骱蛡€人生活中不可或缺的組成部分。當(dāng)你在企業(yè)內(nèi)，在校園中，在家庭里，在機場、酒店、咖啡廳等地方使用筆記本、3G手機，平板電腦等移動設(shè)備，享受著無線網(wǎng)絡(luò)帶來的便捷時，是否意識到你的通信可能被監(jiān)聽，你的敏感信息可能被竊取，你的終端設(shè)備可能受到攻擊。由于無線網(wǎng)絡(luò)開放性傳輸?shù)奶匦裕^之傳統(tǒng)有線網(wǎng)絡(luò)隱含有更多潛在的漏洞和風(fēng)險，如何防范無線網(wǎng)絡(luò)應(yīng)用中的安全威脅，已成為無線網(wǎng)絡(luò)用戶關(guān)注和討論的熱門問題。

1問題一：非法AP接入

非法AP（Access Point，訪問接入點）接入，這是許多企業(yè)網(wǎng)絡(luò)管理員面對的令人頭痛的安全問題。一個別有用心的員工可能會悄悄地連接一個非法的AP進入企業(yè)網(wǎng)絡(luò)；一些部門或個人未經(jīng)授權(quán)，使用AP自建WLAN（無線局域網(wǎng)），這是在眾多企業(yè)中常見的情景。一條普通的雙絞線將AP連接到企業(yè)內(nèi)網(wǎng)的交換端口，并啟用DHCP（動態(tài)主機配置協(xié)議）服務(wù)功能，在辦公室及周邊一定范圍內(nèi)的擁有無線網(wǎng)卡的移動終端設(shè)備不需要進行任何設(shè)置都可以自動連接，通過AP共享上網(wǎng)。這些非法AP安裝在企業(yè)防火墻內(nèi)，為了聯(lián)網(wǎng)方便，不進行任何的安全設(shè)置；或只進行了簡單的默認(rèn)設(shè)置，使得AP在不加密或弱加密條件下工作。不論這些非法AP點是別有用心的惡意接入還是未經(jīng)授權(quán)的善意連接，都使得企業(yè)的內(nèi)部網(wǎng)絡(luò)暴露給外界，給入侵者盜取企業(yè)信息和敏感數(shù)據(jù)敞開了一扇未加任何保護措施的后門。

防止惡意和未經(jīng)授權(quán)非法AP接入，企業(yè)網(wǎng)絡(luò)管理員應(yīng)通過對網(wǎng)絡(luò)中未經(jīng)授權(quán)無線接入點的檢測掃描，及時發(fā)現(xiàn)這類非法AP接入，并采取措施防范網(wǎng)絡(luò)安全事故的發(fā)生。有條件的企業(yè)可通過安裝和配置WIPS（無線入侵防御系統(tǒng)）對企業(yè)網(wǎng)絡(luò)的安全進行監(jiān)控和防范。

2問題二：不當(dāng)加密設(shè)置

無線AP支持多種安全技術(shù)設(shè)置。目前常見安全設(shè)置主要有三種：WEP（Wired Equivalent Privacy，有線等效保密）、WPA（WiFi Protected Access，無線網(wǎng)絡(luò)保護連接）和WPA2（WPA加密的升級版），這些安全技術(shù)都是采用加密手段來防止通過無線傳輸?shù)男畔⒈唤厝『推谱g。

由于無線AP接入設(shè)置相對簡單，許多沒有經(jīng)過培訓(xùn)的非IT人員都可以輕松按照操作說明完成無線AP組網(wǎng)設(shè)置，或仍舊保持出廠時的默認(rèn)配置，或者沒有進行恰當(dāng)?shù)陌踩O(shè)置，眾多AP選用默認(rèn)的WEP加密和使用原廠提供的默認(rèn)密鑰。WEP是一種已被證實的不安全的加密方式，攻擊者可以利用無線數(shù)據(jù)傳輸?shù)拈_放特性，使用任何無線分析儀在AP無線信號覆蓋范圍內(nèi)不受任何阻礙地對傳輸無線數(shù)據(jù)信息進行監(jiān)聽和攔截，常用的64位WEP加密和128位WEP加密，業(yè)余級攻擊者可以非常容易使用Airsnort、WEPcrack一類的工具軟件進行破譯解密，使用戶的安全加密防護形同虛設(shè)，存在極大的安全隱患。

WPA/WPA2可為無線網(wǎng)絡(luò)提供更強大的數(shù)據(jù)加密安全保護。使用WPA+PSK（預(yù)共享密鑰）或者WPA2+PSK模式對無線網(wǎng)絡(luò)傳輸數(shù)據(jù)進行加密，是家庭無線局域網(wǎng)用戶無線AP主要使用的安全加密方式。對于商務(wù)或者企業(yè)環(huán)境下無線網(wǎng)絡(luò)，應(yīng)選擇使用帶802.1X身份識別的WPA2，即802.11i，安裝一臺RADDIU/AAA服務(wù)器以進行802.1X身份識別和認(rèn)證。

3問題三：免費AP陷阱

當(dāng)你在公共場所通過免費AP聯(lián)接上網(wǎng)時，是否意識到你可能已經(jīng)落入黑客精心布置的免費AP接入陷阱，惡意的AP蜜罐，這絕對不是聳人聽聞，危言聳聽。天涯論壇有位自稱“業(yè)余黑客”的網(wǎng)友發(fā)帖，稱在公共場所搭建一個不設(shè)密碼的免費AP熱點吸引他人連接后，只需15分鐘即可獲取聯(lián)網(wǎng)用戶的賬號、密碼，包括網(wǎng)銀賬號密碼、股票賬號密碼等隱私信息。近日，報刊、電視等媒體有關(guān)無線網(wǎng)絡(luò)免費AP接入陷阱的報道，更是引發(fā)了公眾對于公共場所免費AP接入安全性問題的熱議。

公共場合使用免費AP接入點應(yīng)該注意什么問題，才能避免被騙，避免落入黑客設(shè)計的免費AP陷阱？使用者自身必須要提高警惕，認(rèn)真識別AP接入點的真假，不要見免費AP接入點就想蹭，不要啟動自動連接AP功能，而是要先通過移動設(shè)備自帶的“查詢可用無線網(wǎng)絡(luò)”進行甄別，仔細(xì)核對接入點的名稱后再手動連接。還要特別提醒常在公共場合使用智能手機或平板電腦通過無線AP接入點上網(wǎng)的用戶，為保證在這類移動設(shè)備上使用賬號密碼等敏感信息的安全，必須為智能手機和平板電腦安裝殺毒軟件，以防木馬、蠕蟲等病毒攻擊。令人擔(dān)憂的是，目前意識到這種安全威脅的用戶并不多，已經(jīng)在這類移動設(shè)備上安裝殺毒軟件的用戶還僅是少數(shù)。

4問題四：仿冒AP的威脅

無線網(wǎng)絡(luò)中的AP通過發(fā)送信標(biāo)或叫探測信標(biāo)宣告他們的存在。這些信標(biāo)中包含有無線AP的MAC地址（AP的身份標(biāo)識）和SSID（AP的連接標(biāo)識）。無線移動終端用戶通過搜索周邊無線AP發(fā)出的信標(biāo)，并進行連接。通常情況下，筆記本、3G手機或平板電腦這些客戶端會與預(yù)先存儲的SSID且信標(biāo)信號最強的無線AP接入點自動建立連接。

市場上銷售的部分AP產(chǎn)品MAC地址和SSID可以允許通過軟件工具被修改，這些軟件工具在一些網(wǎng)站中可以很容易找到和下載，這些AP產(chǎn)品都允許將AP的MAC地址和SSID修改成任何值。

攻擊者通過偽造MAC地址和SSID，復(fù)制一個與遭復(fù)制的AP身份信息相同，發(fā)送同樣信標(biāo)的無線AP接入點。在多個無線網(wǎng)絡(luò)AP接入點共存在同一個空間里，用戶可以連接到任何可用的網(wǎng)絡(luò)，而無從識別其自動接入的無線AP是自己所屬的可信網(wǎng)絡(luò)還是攻擊者設(shè)置的仿冒AP。攻擊者只要在籌劃入侵企業(yè)的無線網(wǎng)絡(luò)附近：街上、停車場或是駕駛的汽車內(nèi)，架設(shè)一個信號比企業(yè)無線網(wǎng)更強的仿冒AP接入點，就可以誘惑企業(yè)無線局域網(wǎng)的合法無線用戶與其自動建立連接，從而盜取其授權(quán)的賬號密碼等機密信息，利用盜取的合法賬號和密碼，攻擊者再通過企業(yè)的無線局域網(wǎng)系統(tǒng)合法進入企業(yè)內(nèi)部網(wǎng)絡(luò)竊取企業(yè)敏感數(shù)據(jù)和信息。可怕的是，這種高手級的網(wǎng)絡(luò)攻擊來無影去無蹤，網(wǎng)絡(luò)安全授權(quán)體系設(shè)置不完善的甚至無法察覺遭到入侵，企業(yè)可能由此潛伏下巨大的不可控的安全危機和風(fēng)險。同樣，在公共場所，仿冒AP也會吸引普通的移動終端用戶自動接入，用戶在網(wǎng)絡(luò)中使用的各種賬號和密碼將被攻擊者竊取、破譯、盜用，個人用戶可能將蒙受重大財產(chǎn)和經(jīng)濟損失。

這種經(jīng)過攻擊者精心設(shè)置的仿冒AP，比起免費AP接入陷阱，具有更大的欺騙性，對于普通的終端用戶而言更難以防范。

5問題五：AP入侵保護

WLAN（無線局域網(wǎng)）中，由于傳送的數(shù)據(jù)是利用無線電波在空中輻射傳播，AP點發(fā)出的無線電波可以穿透天花板、地板和墻壁，發(fā)射的無線信號只要在覆蓋范圍區(qū)域內(nèi)，入侵者可以通過高靈敏度天線從公路邊、樓宇中或其他任何地方侵入AP而不需要任何物理方式的聯(lián)接。

一度在國內(nèi)市場流行的蹭網(wǎng)卡或蹭網(wǎng)軟件，其實質(zhì)就是利用AP在安全設(shè)置上的漏洞通過竊取AP的密碼，對AP實施入侵。互聯(lián)網(wǎng)上流傳著大量如何破解AP密碼的信息，在百度上搜索“AP密碼破解”、“AP密碼破解軟件”、“AP密碼破解教程”等關(guān)鍵詞，可以搜到幾十萬條相關(guān)信息。出現(xiàn)這種現(xiàn)象說明如果沒有正確進行AP的安全保護設(shè)置，WALN將非常容易被入侵。

這是家庭和SOHO用戶應(yīng)用AP構(gòu)建WLAN所面對的安全風(fēng)險。因為可能在你毫不知情的情況下，你的AP被入侵，你網(wǎng)絡(luò)中存儲的重要信息被盜走，你有限的無線帶寬被占用，更有甚者你的AP可能被侵入者利用作為攻擊他人的跳板，……。

正確對AP進行一些必要保護設(shè)置，抵御入侵，防范無線AP成為入侵者的獵取目標(biāo)，使你的無線AP所面對的安全風(fēng)險降到最低程度。常用的保護無線AP安全設(shè)置有：

1)關(guān)閉SSID廣播，隱藏SSID。這樣，你AP點發(fā)出的信號就不會在正常使用的移動設(shè)備“無線網(wǎng)絡(luò)搜索”中被查詢到。

2)啟用MAC地址過濾。這將對你的無線AP接入實施訪問控制，只有在AP的訪問控制列表中存在的MAC地址視為授權(quán)的合法機器，才被允許接入。

3)禁止使用DHCP功能。這樣可以防止入侵者輕易獲得你網(wǎng)絡(luò)中使用的合法IP地址。

4)禁用遠(yuǎn)程管理設(shè)置服務(wù)。遠(yuǎn)程管理設(shè)置服務(wù)使得AP可以使用TELNET功能遠(yuǎn)程登錄對AP進行配置和管理，這是非常危險的。

5)使用WPA/WPA2加密，不要使用WEP加密。前面已提及WEP加密方式存在安全漏洞，可以被輕松破解。

如果你的無線AP啟用了SSID廣播功能，并選用了WEP加密模式，則該無線AP一定是蹭網(wǎng)者蹭網(wǎng)首選的最佳目標(biāo)，也會成為入門級黑客首選的嘗試攻擊目標(biāo)。不妨做個測試，在你居住的住宅小區(qū)或在你工作的辦公室中，啟動筆記本無線熱點搜索功能，就可以搜到若干個無線AP接入點，只要細(xì)心觀察，就可以發(fā)現(xiàn)有的AP接入沒有設(shè)置安全保護或選擇了WEP加密保護的。因此對家庭和SOHO用戶而言，強調(diào)無線AP入侵保護的安全設(shè)置問題，其重要意義非同一般。

網(wǎng)絡(luò)的方便使用和安全使用總是一對矛與盾的關(guān)系。無線AP進行了上述的安全配置后，將可能犧牲你使用無線AP接入時的便利性，讓你覺得聯(lián)接無線AP需要事先完成配置，增加了麻煩。但由此換來AP接入的安全保障，有效防御入侵威脅，這樣犧牲應(yīng)該是完全值得的，切不可為圖便捷而丟棄安全。

6結(jié)束語

3G網(wǎng)絡(luò)、WLAN，筆記本、3G手機、平板電腦，沒有人還會質(zhì)疑移動信息化這一發(fā)展趨勢，無線網(wǎng)絡(luò)已經(jīng)溶入我們?nèi)粘９ぷ骱蜕睢Ｅc此同時，我們必須清楚地認(rèn)識到，無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)一樣，病毒、黑客、間諜軟件隨時也都在威脅著我們的應(yīng)用，并且無線網(wǎng)絡(luò)因其開放性特點比有線網(wǎng)絡(luò)更容易遭到攻擊。保護無線網(wǎng)絡(luò)，保護自己的無線網(wǎng)絡(luò)應(yīng)用免受安全威脅，有效地規(guī)避各種安全風(fēng)險，當(dāng)我們每天享受自由、可移動、隨時隨地?zé)o線上網(wǎng)所帶來無限空間之時，時刻需要提醒自己切莫忘記“安全”二字。

參考文獻：

[1] [美]Wayne Lewis，PH.D. LAN交換與無線[M].北京:人民郵電出版社,2009.

網(wǎng)絡(luò)應(yīng)用安全范文第4篇

關(guān)鍵詞:WEB應(yīng)用程序;網(wǎng)絡(luò)攻擊;漏洞;安全對策

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2010)21-5716-04

Research and Exploration on the Threats to WEB Application Security and the Countermeasures

QING Yu-hua

(School of Foreign Languages and Public Foundation Education, Xuzhou Institute of Architectural Technology, Xuzhou 221116, China)

Abstract: From the point of view of the WEB application vulnerabilities, threats and attacks, this paper analyses the security and precautionary measures, to make the Internet and WEB applications have more defensive attack ability. And this paper is from the attacker's point of view to think and understand the attacker's system vulnerabilities and possible attack methods, to enhance their safety and prevention during the course of early planning of the application, design implementation and deployment process , which help better prevent attackers attacking the system.

Key words: WEB applications; network attack; vulnerabilities; security countermeasure

當(dāng)我們談到網(wǎng)絡(luò)的安全時,往往認(rèn)為網(wǎng)絡(luò)的安全是指網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的問題,是網(wǎng)絡(luò)防火墻應(yīng)主要承擔(dān)的防護措施,或者認(rèn)為是系統(tǒng)管理員通過鎖定主機來處理的安全問題,而忽視了應(yīng)用程序設(shè)計時的安全漏洞。WEB應(yīng)用程序架構(gòu)設(shè)計師和開發(fā)人員認(rèn)為應(yīng)用程序的安全是一個要事后或者是在時間允許的情況下或者通常在解決了程序的應(yīng)用性能后再去考慮安全性問題,然而網(wǎng)絡(luò)攻擊是可以穿過網(wǎng)絡(luò)防御直接破壞應(yīng)用程序,雖然防火墻可以限制HTTP業(yè)務(wù)流,但是HTTP業(yè)務(wù)流可以包含利用應(yīng)用程序缺陷的命令,從而為攻擊者提供攻擊的機會。完全依賴于鎖定主機的方法無法保障WEB應(yīng)用程序的安全。盡管一些威脅可以在主機層得到有效的反擊,但是應(yīng)用程序攻擊是一種日益增加的嚴(yán)重安全性問題。出現(xiàn)安全性問題的另外一個方面是應(yīng)用程序設(shè)計和部署階段,當(dāng)應(yīng)用程序在鎖定的生產(chǎn)環(huán)境中進行部署時出現(xiàn)故障,管理員就會降低安全性的設(shè)置,從而導(dǎo)致新的安全性缺陷。因此,在缺乏安全性策略和應(yīng)用程序需求與策略不符時也會增加WEB應(yīng)用程序的不安全性。隨機的安全性是不夠的,為了使應(yīng)用程序能抵抗攻擊,需要一種全面系統(tǒng)的設(shè)計方法保護網(wǎng)絡(luò)、主機和應(yīng)用程序。安全性問題分布在程序周期的各個階段和角色中,它不是一個目的地,而是一個有始無終的旅程。

1 對WEB應(yīng)用程序攻擊的剖析

網(wǎng)絡(luò)的安全性通常包括:保護網(wǎng)絡(luò)、保護主機和保護應(yīng)用程序,網(wǎng)絡(luò)的攻擊常常是從外而對內(nèi)進行。Web 應(yīng)用程序只是網(wǎng)絡(luò)安全的一個組成部分,也是攻擊者最終要實施攻擊的目標(biāo),Web 應(yīng)用程序的漏洞通常又為網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫服務(wù)器的安全帶來威脅,因此網(wǎng)絡(luò)的安全應(yīng)該是多層保護的安全策略。任何一層的某個弱點都會使應(yīng)用程序成為易受攻擊的對象[1]。對于允許公眾在 Internet 上訪問的服務(wù)器,通常每天都會攻擊者探測是否存在安全漏洞,如果未知用戶可以訪問Web 應(yīng)用程序,則可以確定惡意用戶將獲取對應(yīng)用程序的未經(jīng)授權(quán)的訪問。網(wǎng)絡(luò)、主機和WEB應(yīng)用程序三者之間的關(guān)系如圖1所示。

2 WEB應(yīng)用程序設(shè)計中漏洞的種類

分析應(yīng)用程序級別威脅的較好方法是將其按照應(yīng)用程序的漏洞類型來劃分,如表 1 所示。

針對互聯(lián)網(wǎng)上日益猖獗攻擊,WEB應(yīng)用程序在論證設(shè)計初期就應(yīng)將安全策略作為設(shè)計的重要部分,本文主要從WEB應(yīng)用程序的輸入驗證、身份驗證和應(yīng)用程序配置三個方面進行研究和探討。

3 輸入驗證

如果攻擊者發(fā)現(xiàn)應(yīng)用程序?qū)斎氲念愋汀㈤L度、格式或范圍等驗證數(shù)據(jù),可以進行任意的假設(shè),則輸入驗證就成為一個安全問題。攻擊者便可用精心設(shè)計的輸入來攻擊WEB應(yīng)用程序,從而危及應(yīng)用程序的安全。當(dāng)網(wǎng)絡(luò)和主機的入口點確保安全后,應(yīng)用程序所暴露的公共接口則成為攻擊的目標(biāo)。

3.1 緩沖區(qū)溢出漏洞及安全對策

緩沖區(qū)溢出漏洞會導(dǎo)致拒絕服務(wù)攻擊或代碼插入。拒絕服務(wù)攻擊會引起進程崩潰;代碼插入則會更改程序執(zhí)行地址以運行攻擊者插入的代碼。下面的代碼片段演示了緩沖區(qū)溢出漏洞的典型示例:

void MyFunction( char *MyPsInput )

{

char BufferSize [10];

// 當(dāng)不執(zhí)行類型檢查時,輸入將直接復(fù)制到緩沖區(qū)內(nèi);

StrCopy(BufferSize, MyPsInput)

……

}

托管的.NET 代碼不容易受到此問題的影響,因為不論何時訪問數(shù)組時,都會自動檢查數(shù)組界限,使得緩沖區(qū)溢出攻擊對托管代碼并不構(gòu)成很大的威脅,但當(dāng)托管代碼調(diào)用非托管的 API 或 COM 對象時,它仍存在安全隱患。

防止緩沖區(qū)溢出的安全對策有:設(shè)計完善的輸入驗證規(guī)則。盡管應(yīng)用程序可能存在缺陷,如期望的輸入可能超出容器的界限,而不期望的輸入仍將成為產(chǎn)生這種漏洞的主要原因,通過驗證輸入的類型、長度、格式和范圍來限制輸入,可以有效的防止緩沖區(qū)溢出的安全漏洞。限制應(yīng)用程序?qū)Ψ峭泄艽a的使用,并徹底檢查非托管的 API,以確保輸入數(shù)據(jù)是已通過驗證的正確數(shù)據(jù),同時檢查調(diào)用非托管的 API 代碼,以確保正確的值作為參數(shù)傳遞給非托管的 API。另外在編譯WEB應(yīng)用程序時使用/gs系統(tǒng)參數(shù),它能在編譯應(yīng)用程序代碼時插入安全檢查,確保代碼免受緩沖區(qū)溢出所帶來的攻擊[2]。

3.2 通過緩沖區(qū)溢出插入代碼

攻擊者利用緩沖區(qū)溢出漏洞來插入惡意代碼,并在進程中利用未經(jīng)檢查的緩沖區(qū),攻擊者用精心設(shè)計的輸入值來覆蓋程序的堆棧,更改函數(shù)返回地址并執(zhí)行攻擊者插入的惡意代碼。防止攻擊者通過緩沖區(qū)溢出插入惡意代碼的方法是使用最低特權(quán)的進程帳戶執(zhí)行應(yīng)用程序。

3.3 跨站點腳本攻擊XSS分析及對策

當(dāng)客戶端連接到受信任的網(wǎng)站時,XSS 攻擊會導(dǎo)致任意代碼在用戶瀏覽器中運行,此攻擊是以應(yīng)用程序的用戶而非應(yīng)用程序本身為攻擊目標(biāo),但它是使用應(yīng)用程序作為工具實施攻擊。腳本代碼是從受信任站點上通過瀏覽器下載的,所以瀏覽器無法判斷此代碼是否非法,IE 安全區(qū)域未提供任何防御。攻擊者使用訪問存儲在本地計算機上受信任站點的Cookie對象啟動攻擊,攻擊者必須使用戶單擊一個精心設(shè)計的超鏈接,如通過在發(fā)送給用戶的電子郵件中嵌入鏈接或在新聞組公告中添加惡意鏈接指向應(yīng)用程序中易受攻擊的頁面,該頁面以 HTML 輸出流形式將未經(jīng)驗證的輸入發(fā)送回瀏覽器,從而實施攻擊[3]。下面兩個鏈接表示合法和非法鏈接:

合法鏈接: /login.aspx?username=qyh

惡意鏈接: /login.aspx? username= alert('惡意代碼')

如果Web應(yīng)用程序提取了查詢字符串,無法對其進行正確驗證并返回瀏覽器,則腳本代碼將在瀏覽器中執(zhí)行,攻擊者使用自己設(shè)計的腳本輕松提取用戶的身份驗證cookie信息,并將其復(fù)制到自己的站點,然后作為合法的用戶向目標(biāo)網(wǎng)站發(fā)出請求并實施攻擊。

防止 XSS 攻擊的對策有:設(shè)計完善的輸入驗證規(guī)則。應(yīng)用程序必須確保客戶端輸入的查詢字符串、表格字段和 Cookie 值有效性,把用戶輸入的全部數(shù)據(jù)信息進行篩選和清潔,拒絕所有非法的輸入值,使用正則表達(dá)式來驗證通過 HTML傳遞的表格字段、Cookie 和查詢字符串?dāng)?shù)據(jù),并使用 HTMLEncode 和 URLEncode 函數(shù)來對用戶輸入和輸出數(shù)據(jù)進行編碼,將可執(zhí)行腳本轉(zhuǎn)換為無害的 HTML。

3.4 SQL注入攻擊及對策

SQL 注入攻擊是利用輸入驗證中的漏洞在WEB應(yīng)用程序的后臺數(shù)據(jù)庫中運行惡意代碼程序,產(chǎn)生SQL注入攻擊的漏洞有:當(dāng)應(yīng)用程序使用輸入方式構(gòu)造動態(tài) SQL 語句訪問數(shù)據(jù)庫時;應(yīng)用程序在調(diào)用存儲過程時使用參數(shù)傳遞包含未經(jīng)篩選的用戶輸入字符串時;應(yīng)用程序使用越權(quán)帳戶連接數(shù)據(jù)庫時。在最后一種情況下,攻擊者使用數(shù)據(jù)庫服務(wù)器運行操作系統(tǒng)命令,會直接危及其他服務(wù)器的安全,而且還會檢索、操縱和損壞數(shù)據(jù)。

SQL 注入示例:在數(shù)據(jù)庫的SQL語句中如包括未經(jīng)驗證的用戶輸入時,應(yīng)用程序可能很容易受到 SQL 注入攻擊,特別是用未篩選的用戶輸入構(gòu)造動態(tài) SQL 語句的代碼時。分析以下代碼:

SqlDataAdapter myCommand = new SqlDataAdapter("SELECT * FROM Users WHERE UserName ='" + UserIDTxt.Text + "'", conn);

攻擊者可以通過終止特定的 SQL 語句,插入惡意的SQL語句,方法是使用單引號加分號字符的方法開始一個新命令,然后執(zhí)行攻擊者自定義的SQL命令,如當(dāng)攻擊者在UserIDTxt文本框中輸入如下的字符串:

MyName';DROP TABLE Customers

數(shù)據(jù)庫的執(zhí)行結(jié)果為:

SELECT * FROM Users WHERE UserName='MyName'; DROP TABLE Users

假定應(yīng)用程序的登錄具有足夠的數(shù)據(jù)庫權(quán)限,則此語句會刪除Users表,所以在數(shù)據(jù)庫中應(yīng)用使用最低特權(quán)的用戶。再如將以下內(nèi)容輸入到UserIDTxt字段中:’OR 1=1,

數(shù)據(jù)庫將執(zhí)行命令:SELECT * FROM Users WHERE UserName='' OR 1=1,因為 1=1 恒成立,攻擊者將檢索 Users 表格中的每一行數(shù)據(jù)。

防止 SQL 注入的對策有:設(shè)計完善的輸入驗證規(guī)則,添加應(yīng)用程序向數(shù)據(jù)庫發(fā)送請求之前驗證輸入信息的功能,確保輸入的字符串中不包含可執(zhí)行的SQL語句;使用參數(shù)化的存儲過程訪問數(shù)據(jù)庫,如不能使用存儲過程,那么在建立SQL 命令時請使用SQL參數(shù);最后請使用最低特權(quán)的帳戶來連接數(shù)據(jù)庫。

3.5 數(shù)據(jù)資源標(biāo)準(zhǔn)化的安全漏洞及對策

將多種形式WEB資源的輸入數(shù)據(jù)解析為相同類型的標(biāo)準(zhǔn)名稱,稱為資源數(shù)據(jù)標(biāo)準(zhǔn)化。如果WEB應(yīng)用程序把WEB資源數(shù)據(jù)作為輸入傳遞給應(yīng)用程序,那么WEB應(yīng)用程序就存在資源數(shù)據(jù)標(biāo)準(zhǔn)化的漏洞。作為參數(shù)傳遞的文件、文件名、路徑和URL地址等數(shù)據(jù)信息中都容易產(chǎn)生標(biāo)準(zhǔn)化資源數(shù)據(jù)漏洞,原因是這些資源類型都能用不同的方法來表示相同的名稱。例如下面列出的五種形式都表示一個文件myfile.dat:

c:\myweb\myfile.dat

myfile.dat

c:\myweb\subdir\..\myfile.dat

c:\myweb\ myfile.dat

..\ myfile.dat

解決標(biāo)準(zhǔn)化漏洞的對策有:盡可能避免輸入文件名而使用最終用戶無法更改的絕對文件路徑。在理論設(shè)計上,應(yīng)用程序代碼不接受輸入的文件名,如因需要而無法避免則應(yīng)在作出安全決策之前將名稱轉(zhuǎn)變?yōu)闃?biāo)準(zhǔn)形式并檢查它們是否在應(yīng)用程序的目錄層次結(jié)構(gòu)中,否則拒絕對指定文件的訪問;確保字符編碼設(shè)置正確,以限制表示輸入的方法,檢查應(yīng)用程序的 Web.config配置文件,并在元素上設(shè)置 requestEncoding 和 responseEncoding 屬性。

4 身份驗證

WEB應(yīng)用程序身份驗證機制常用的有四種:FORMS、WINDOWS、PASSPORT和自定義身份驗證,根據(jù)WEB應(yīng)用程序的需要,應(yīng)選擇更為安全的身份驗證機制。如果未能正確選擇和實現(xiàn)身份驗證機制,則攻擊者會利用該機制的漏洞來獲取系統(tǒng)的訪問權(quán),從而對WEB應(yīng)用程序的安全構(gòu)成威脅[4]。

4.1 網(wǎng)絡(luò)偷聽及安全對策

從客戶端向服務(wù)器以純文本形式傳遞身份驗證憑證,具有初級網(wǎng)絡(luò)監(jiān)測軟件的攻擊者利用同一網(wǎng)絡(luò)內(nèi)的其它主機就可以捕捉并獲得用戶名和密碼。防止網(wǎng)絡(luò)偷聽的對策包括:使用不通過網(wǎng)絡(luò)傳輸密碼的身份驗證機制,如 Kerberos 協(xié)議或 Windows 身份驗證。如果必須通過網(wǎng)絡(luò)傳輸密碼,則需確保密碼已加密,或使用已加密的通訊通道,如 SSL。

4.2 字典攻擊及安全對策

在字典攻擊中,攻擊者使用程序來重述字典中的所有詞或采用多種語言的多個字典,并計算每個詞的哈希值,對生成的哈希與數(shù)據(jù)存儲區(qū)中的值進行比較,如“qyhymch”或“Mustang”,而較強密碼如“?You'LlNeinxuZHou_MYeye!”被破解的可能性較小,微軟官方推薦使用Hashed算法存儲用戶密碼。一旦攻擊者獲得了密碼哈希列表,則可以脫機執(zhí)行字典攻擊,而且并不要求與應(yīng)用程序交互。防止字典攻擊的對策包括:使用強密碼,強密碼應(yīng)該復(fù)雜,不是常規(guī)字母,而應(yīng)包括混用大寫、小寫、數(shù)字和特殊字符的密碼;在用戶存儲區(qū)中存儲不可還原的哈希密碼,還要在哈希密碼中包含一個 Salt 值[5]。

4.3 Cookie 重播攻擊及安全對策

攻擊者使用監(jiān)測軟件捕捉用戶的身份驗證 Cookie 值,并將其重播給應(yīng)用程序,使用虛假身份獲取訪問權(quán)。防止 Cookie 重播的對策包括:傳輸身份驗證 Cookie 時,應(yīng)使用系統(tǒng)提供的 SSL 加密通道,并將 Cookie 超時設(shè)置為一個較小的值,在經(jīng)過相對短的時間間隔后強制進行身份驗證。

4.4 憑證偷竊及安全對策

瀏覽器歷史記錄和緩存中存儲用戶登錄信息,以備將來之用。如果登錄用戶以外的他人使用終端并且點擊了相同的頁面,則保存的登錄變成可用[6]。防止憑證偷竊的對策有:強制使用強密碼,用添加 Salt 的單向哈希的方式存儲密碼驗證符,在重試一定次數(shù)后,對最終用戶帳戶進行強制鎖定;為防止瀏覽器緩存登錄訪問的可能性,應(yīng)允許用戶創(chuàng)建選擇不保存憑證的功能,或強制此功能作為默認(rèn)策略。

5 WEB應(yīng)用程序的配置安全及對策

WEB應(yīng)用程序支持配置界面和系統(tǒng)功能,允許操作員和管理員更改系統(tǒng)參數(shù)和更新網(wǎng)站內(nèi)容,并執(zhí)行常規(guī)維護。最常見的配置威脅有:對界面的未授權(quán)訪問、對配置存儲區(qū)的未授權(quán)訪問和越權(quán)的應(yīng)用程序及服務(wù)帳戶。

5.1 對界面的未授權(quán)訪問及安全對策

管理界面是通過附加的網(wǎng)頁或單獨的 Web 應(yīng)用程序提供,該網(wǎng)頁或 Web 應(yīng)用程序允許管理員、操作員和內(nèi)部開發(fā)人員管理網(wǎng)站內(nèi)容和參數(shù)配置,僅限于經(jīng)過授權(quán)的用戶使用。訪問配置管理功能的惡意用戶可能會破壞網(wǎng)站或訪問下游系統(tǒng)和數(shù)據(jù)庫,或終止應(yīng)用程序操作并破壞配置數(shù)據(jù)。防止對管理界面的未授權(quán)訪問的對策有:使管理界面的數(shù)量最小化;使用強身份驗證,如使用證書;使用加密通道(如帶有 VPN 技術(shù)或 SSL);使用 IPSec 策略來將遠(yuǎn)程管理限制在內(nèi)部網(wǎng)絡(luò)中的計算機。

5.2 對配置存儲區(qū)的未授權(quán)訪問

配置在存儲區(qū)中的數(shù)據(jù)應(yīng)具有很強的保密性,應(yīng)該確保存儲區(qū)安全性,保護配置存儲區(qū)的對策有:在配置文件 Machine.config和Web.config中配置受限制的 ACL;在 Web 空間外保存自定義配置存儲區(qū),避免用戶下載 Web 服務(wù)器配置文件并利用其漏洞的可能性;限制對配置存儲區(qū)的訪問,作為一種重要防御機制,應(yīng)該對敏感數(shù)據(jù)(如密碼和連接字符串)加密,以防止外部攻擊者獲取敏感的配置數(shù)據(jù)和訪問其他系統(tǒng)的數(shù)據(jù)庫連接字符串和帳戶憑證。

5.3 越權(quán)的應(yīng)用程序和服務(wù)帳戶

如果向WEB應(yīng)用程序和服務(wù)帳戶授予訪問權(quán)以更改系統(tǒng)中的配置信息,則攻擊者可能操縱它們來執(zhí)行此操作。安全對策有:通過使用最低特權(quán)的服務(wù)和應(yīng)用程序帳戶;除非設(shè)計明確要求,否則不要允許帳戶修改其配置信息。

6 結(jié)束語

本文就攻擊者對WEB應(yīng)用程序常用的攻擊方法、攻擊目標(biāo)及應(yīng)用程序本身存在的漏洞進行分類,在WEB應(yīng)用程序的設(shè)計過程中應(yīng)用更加有效的防御對策,把應(yīng)用程序設(shè)計者的精力集中在用于減少危害的常用方法上,而不是集中在識別每種可能的攻擊上,從而為應(yīng)用程序的建模和設(shè)計過程提供必要的安全保障。

參考文獻:

[1] 石磊,趙慧然.網(wǎng)絡(luò)安全與管理[M].北京:清華大學(xué)出版社,2009.

[2] 王群.非常網(wǎng)管網(wǎng)絡(luò)安全[M].北京:人民郵電出版社,2007.

[3] 鐘樂海.網(wǎng)絡(luò)安全技術(shù)[M].2版.北京:電子工業(yè)出版社,2007.12.

[4] 易美超.淺析計算機網(wǎng)絡(luò)安全技術(shù)與防范策略[J].內(nèi)蒙古科技與經(jīng)濟,2008(6).

[5] 吳子勤,魏自力,張巍.網(wǎng)絡(luò)安全防范與加密技術(shù)的實現(xiàn)[J].網(wǎng)絡(luò)與信息,2009(2).

網(wǎng)絡(luò)應(yīng)用安全范文第5篇

關(guān)鍵詞：計算機網(wǎng)絡(luò)應(yīng)用；安全；防范措施

中圖分類號：TP393.08 文獻標(biāo)識碼：A

因為計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，人們對于計算機網(wǎng)絡(luò)的應(yīng)用也日益增加。通過仔細(xì)的和深入的調(diào)查發(fā)現(xiàn)，當(dāng)前人們無論是在生活中，還是在工作中都很難離開計算機網(wǎng)絡(luò)。計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展給人們的工作和生活帶來很多的便利，使人們在平時的工作中節(jié)省了大量的時間，并提高了工作的效率。也因為計算機網(wǎng)絡(luò)已經(jīng)在眾多的領(lǐng)域都有所應(yīng)用，這使得相應(yīng)的計算機網(wǎng)絡(luò)安全防護技術(shù)也隨之在不斷的升級和變革。

當(dāng)今的社會已然成為一個信息化的社會，計算機網(wǎng)絡(luò)在社會中發(fā)揮的作用也越來越重要和不可替代。人們已經(jīng)在很多基礎(chǔ)設(shè)施和傳輸、交換信息時都要借助網(wǎng)絡(luò)平臺。但隨著而來也因為網(wǎng)絡(luò)的自由性與開放性，產(chǎn)生了一些問題，比如數(shù)據(jù)遭到破壞、一些個人的隱私信息被公開。計算機網(wǎng)絡(luò)受到的損害可以包括兩個方面：一是，計算機系統(tǒng)的一些硬件設(shè)施很容易受到自然環(huán)境和人為的損害，其二，計算機網(wǎng)絡(luò)的終端分布不均勻和網(wǎng)絡(luò)的開放性等特點也給惡意軟件和不法黑客的攻擊留下了漏洞。由此可見，計算機網(wǎng)絡(luò)的安全問題已經(jīng)被社會各個領(lǐng)域所重視，提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性也已經(jīng)成為關(guān)系到國家安全和社會穩(wěn)定的決定性因素。

首先我們必須清楚一個概念，所謂計算機網(wǎng)絡(luò)安全主要是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡(luò)安全包括物理安全和邏輯安全兩個方面的內(nèi)容。計算機網(wǎng)絡(luò)安全具有以下五個特征：第一，保密性。主要是指信息不能泄露給未經(jīng)授權(quán)的用戶；第二，完整性。信息在傳輸或是存儲的過程中要保持不會被隨意的修改；第三，可用性。即可被授權(quán)實體訪問并按需求使用的特性；第四，可控性。多要進行傳播的信息及其內(nèi)容具有一定的控制能力；第五，可審查性。在出現(xiàn)網(wǎng)絡(luò)安全問題時能夠及時的提供相關(guān)依據(jù)和解決手段。本文主要是從一下幾個方面對計算機網(wǎng)絡(luò)應(yīng)用安全問題進行了探討，并提出了一些防范的措施。

1 計算機網(wǎng)絡(luò)信息面臨的威脅和攻擊

在當(dāng)今社會，有很多的因素可以使計算機網(wǎng)絡(luò)信息受到威脅和攻擊，其主要包括以下幾點：第一，自然的威脅。這種威脅最大的特點是其具有不可避免和不可抗拒性。自然威脅包括各種惡劣的自然環(huán)境因素的影響，這些因素主要是使網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)備遭到損害；第二，軟件中存在的漏洞。由于計算機系統(tǒng)中的網(wǎng)絡(luò)存在有大量的通信數(shù)據(jù)，這會使得計算機網(wǎng)絡(luò)負(fù)擔(dān)過重，并出現(xiàn)數(shù)據(jù)的一致性與安全性等問題；第三，人為攻擊的威脅。這是計算機網(wǎng)絡(luò)安全中最常見的一種威脅，很多網(wǎng)絡(luò)黑客可以通過網(wǎng)絡(luò)對其他的計算機進行惡意的攻擊。而作為一種安全防護策略的數(shù)據(jù)備份，則可以保護計算機的網(wǎng)絡(luò)安全。通常備份的內(nèi)容包括用戶的數(shù)據(jù)庫和系統(tǒng)數(shù)據(jù)庫內(nèi)容。我們通常使用的是日志備份和差異備份兩種方法。與此同時，我們還應(yīng)當(dāng)積極做好備份規(guī)劃，并對數(shù)據(jù)進行合理的周期性存檔。

2 計算機網(wǎng)絡(luò)安全產(chǎn)生的主要原因

第一，計算機網(wǎng)絡(luò)的脆弱性。計算機網(wǎng)絡(luò)是對全世界都開放的網(wǎng)絡(luò)，在全球的任何地方的單位或個人都可以在網(wǎng)上方便地傳輸和獲取各種信息，也正是因為互聯(lián)網(wǎng)具有廣泛的開放性和共享性等這些特點，也正是這些特點對計算機網(wǎng)絡(luò)的安全提出了嚴(yán)峻的挑戰(zhàn)。

第二，使用者本身缺乏安全意識。由于人們在平時的計算機網(wǎng)絡(luò)應(yīng)用中普遍缺少相應(yīng)的安全意識，這就讓網(wǎng)絡(luò)設(shè)置的安密技術(shù)成為了計算機網(wǎng)絡(luò)安全保護的有效方法之一。但是人們常常為了避開防火墻服務(wù)器的額外認(rèn)證，通常會直接進行PPP的連接，這就導(dǎo)致自身計算機網(wǎng)絡(luò)不會在防火墻的保護下。

第三，計算機網(wǎng)絡(luò)結(jié)構(gòu)不安全。互聯(lián)網(wǎng)是由很多局域網(wǎng)連接組成的大網(wǎng)絡(luò)。所以當(dāng)信息傳輸時，即當(dāng)一個電腦通過局域網(wǎng)和另一個電腦連接進行信息數(shù)據(jù)的傳輸過程是需要經(jīng)過很多中間網(wǎng)絡(luò)來相互轉(zhuǎn)發(fā)的，這就使得攻擊者可以截獲用戶的數(shù)據(jù)信息，并將電腦病毒或是惡意軟件通過數(shù)據(jù)包傳遞給用戶，同時也可以利用一臺電腦的惡意數(shù)據(jù)將其傳遞給其他多臺主機。

3 計算機網(wǎng)絡(luò)的防范措施

第一，計算機技術(shù)層面的相應(yīng)策略。計算機網(wǎng)絡(luò)安全技術(shù)主要包括實時掃描技術(shù)、實時監(jiān)測技術(shù)、防火墻和病毒情況分析報告技術(shù)等。總體看來，針對技術(shù)層面的一些特點可以采取以下幾點措施：首先，適度控制網(wǎng)絡(luò)訪問。其次，建立健全相應(yīng)的網(wǎng)絡(luò)安全管理制度。再次，在計算機網(wǎng)絡(luò)安全中可以廣泛的應(yīng)用密碼技術(shù)。第四，利用現(xiàn)代的科學(xué)技術(shù)積極研發(fā)并努力完善提高計算機網(wǎng)絡(luò)系統(tǒng)自身的安全性能。第五，提高計算機網(wǎng)絡(luò)自身的反病毒能力。最后，在計算機網(wǎng)絡(luò)應(yīng)用中做好相應(yīng)的數(shù)據(jù)備份和數(shù)據(jù)的恢復(fù)工作。

第二，計算機網(wǎng)絡(luò)安全管理層面的策略。計算機網(wǎng)絡(luò)的安全管理，主要包含相應(yīng)計算機網(wǎng)絡(luò)安全管理機構(gòu)的建立，計算機網(wǎng)絡(luò)管理功能的不斷完善和加強，以及計算機網(wǎng)絡(luò)立法和執(zhí)法力度的不斷加強等方面的內(nèi)容。對于計算機網(wǎng)絡(luò)安全的保障，不僅僅要重視技術(shù)措施，同時也要加強對網(wǎng)絡(luò)安全的管理，科學(xué)的制定相關(guān)管理制度，以確保計算機網(wǎng)絡(luò)的安全運行。同時也要提醒用戶加強網(wǎng)絡(luò)使用的安全意識，讓用戶學(xué)會使用防火墻技術(shù)和加密技術(shù)等常用的網(wǎng)絡(luò)安全措施。

第三，計算機物理安全層面的措施。為了計算機的網(wǎng)絡(luò)系統(tǒng)能夠安全可靠的運行，還必須有一個相對安全和穩(wěn)定的物理環(huán)境條件。這樣的條件主要是指機房及其內(nèi)部的設(shè)施條件，主要包括：第一，機房的安全防護。為了做到能有一個相對安全的機房條件有以下幾點措施：首先，通過物理訪問來識別用戶的身份；其次，在計算機系統(tǒng)的中心設(shè)備周圍設(shè)立多重保護措施，并建立相應(yīng)的防御自然災(zāi)害的措施。第二，計算機系統(tǒng)需要一個舒適的安全環(huán)境條件。這些條件包括溫度，空氣濕度和潔凈度，電氣干擾等很多方面。第三，場地的選擇。機房場地的選擇是十分重要的，因為它直接影響著計算機系統(tǒng)的安全性和穩(wěn)定性。計算機系統(tǒng)場地的選擇需要注意外部環(huán)境的安全性和地質(zhì)的穩(wěn)定性等等。

第四，限制系統(tǒng)功能。這一措施主要是用來減少黑客利用計算機的服務(wù)功能對用戶的系統(tǒng)進行惡意的攻擊。我們可以采取對個人的數(shù)據(jù)進行加密的措施，也就是根據(jù)準(zhǔn)確的密碼算法對較為簡單敏感的數(shù)據(jù)轉(zhuǎn)化為很難識破的密文數(shù)據(jù)，并在數(shù)據(jù)傳輸結(jié)束后，可以通過密鑰對文件進行無損還原。也正因為互聯(lián)網(wǎng)的開放性，對其中容易被截取的數(shù)據(jù)進行加密，可以保證信息的通信不被他人獲取。

參考文獻

[1]王世倫,林江莉,楊小平.計算機網(wǎng)絡(luò)安全問題與對策探討[J].西南民族大學(xué)學(xué)報（自然科學(xué)版），2005（06）.