什么是对策研究(Web 安全对策研究)
1概述 随着互联网的广泛普及和应用以及信息技术的发展,越来越多的基于网络应用的产品出现,各种网站的数量急剧增加。互联网的基础设施建设导致互联网用户数量迅速增加,随之而来的安全威胁也迅速增长。不可预知的安全问题,如漏洞层出不穷、黑洞恶意攻击、蠕虫在互联网上肆意爬行、病毒迅速传播、盗取他人的虚拟金融木马等。使人终日恐慌。有必要研究对的网络安全政策。目前和相当长一段时间以来,国内外都是从安全协议的制定、安全产品的研发、网络服务器的安全控制和系统平台的安全等方面入手。2网络安全概述
随着互联网的广泛普及和应用以及信息技术的发展,越来越多的基于网络应用的产品出现,各种网站的数量急剧增加。互联网的基础设施建设导致互联网用户数量迅速增加,随之而来的安全威胁也迅速增长。不可预知的安全问题,如漏洞层出不穷、黑洞恶意攻击、蠕虫在互联网上肆意爬行、病毒迅速传播、盗取他人的虚拟金融木马等。使人终日恐慌。有必要研究对的网络安全政策。目前和相当长一段时间以来,国内外都是从安全协议的制定、安全产品的研发、网络服务器的安全控制和系统平台的安全等方面入手。2网络安全概述
2.1网络安全的定义网络是基于互联网的应用程序。网络安全的内涵和外延可以看作是网络安全和信息安全的子集。网络安全是指网络系统的硬件和软件
保护系统中的数据不因意外或恶意原因而被破坏、更改或泄露,系统持续、可靠、正常运行,网络服务不间断。[1]对信息安全国家重点实验室对信息安全的定义是:“信息安全涉及信息的保密性、完整性、可用性和可控性。总之,必须确保电子信息的有效性。”因此,我们可以对网络安全进行定义:网络安全是指信息在网络传输过程中不被篡改、丢失和仅被授权用户使用,包括系统安全、数据安全、程序安全和通信安全。2.2网络安全问题
首先是网络服务器的安全性,这是最基本也是最困难的,具体表现在以下几个方面:服务器程序编写不当导致远程代码执行;应用程序编程不当和过滤不严会导致诸如代码注入、信息泄露、未经授权下载文件等问题。第二是网络客户端的安全性。当用户使用浏览器查看或编辑内容时,Java Applet、Cookie、ActiveX和其他应用程序可以自动下载并在客户端运行。如果这些程序被恶意使用,它们可以窃取、修改和删除客户端上的信息。另一种是跨站点脚本被动攻击,不容易使用。
三是网络传播的网络安全论文。对网络通道的威胁是网络嗅探、针对拥塞通道的拒绝服务攻击和消耗资源。我们需要注意的是,许多针对网络应用的攻击不仅针对对,而且还全面利用了各种安全漏洞。2.3对网络安全政策
首先是物理安全策略。目的是保护硬件实体和通信链路免受损坏;验证用户的身份并使用权限以避免用户的未经授权的操作等等。物理安全策略的主要问题之一是抑制和防止电磁泄漏。有两种防护措施,一种是对对,传导辐射的防护,另一种是对对辐射的防护。访问控制策略的主要任务是保证网络资源不被非法访问和使用,是保护网络资源和维护网络系统安全的重要手段。它包括网络访问控制、目录级安全控制、网络权限控制、属性安全控制、网络监控和锁定控制、网络服务器安全控制、防火墙控制和网络端口节点安全控制。
第三,信息加密策略。信息加密的目的是保护网络服务的数据、文件、控制信息和密码,保护在互联网上传输的数据。网络加密有三种方法,一种是链路加密,另一种是端点加密,第三种是节点加密。第四,安全管理策略。在网络安全方面,应采取上述技术措施,加强网络安全管理,制定相关制度。网络安全管理策略包括:确定安全管理的级别和范围;网络运行管理制度的建立
ASP.NET是一种服务器端脚本技术,它使嵌入在网页中的脚本能够由互联网服务器执行。当通过超文本传输协议请求文档时,它可以在网络服务器上动态地创建文档。[2]ASP。Net安全和IIS安全协同工作,包括认证和授权服务,实现ASP.Net安全模型。身份验证是一个识别应用程序客户端的过程,它依赖于IIS对用户进行身份验证,并创建一个Windows访问令牌来表示经过身份验证的身份。IIS提供了几种身份验证机制,包括基本身份验证、简单身份验证、集成的Windows身份验证、证书身份验证和匿名身份验证。
授权服务在给用户一张票据时采用角色信息的字符串,如“管理员”。当请求到来时,它可以验证用户认证授权。在ASP.NET有一个特殊的事件叫做Application _ Authenticate Request,在这个事件中,只有这个角色所表达的角色需要被重建给用户。3.2 PHP程序
超文本预处理器是一种开源脚本语言。语法吸收了C语言、Java和Perl的特点,有利于学习和广泛应用,主要适用于网络开发领域。[3]以PHP5.01为例,支持它的网络服务器有Apache、Microsoft个人网络服务器、Microsoft互联网信息服务器,
服务器、网景企业等。PHP有许多设置选项来控制行为,它的配置与php.int有关。需要注意的问题如下:1)关闭错错误提示
在php.ini配置文件中将display_errors=On设置为off以关闭错错误显示。关闭后,执行错的php函数的错误信息将不会显示,这在一定程度上阻止了攻击者通过错的错误信息获取脚本的物理位置和其他一些有用的信息,至少给攻击者的黑盒检测造成了一定的障碍。如果一些错错误信息对是有用的,你可以把它写入指定的文件,修改日志错误=关闭到日志错误=打开,并指定文件找到它;错误日志=文件名,删除前面;注释,将文件名改为指定的文件,错误日志=/usr/local/Apache/logs/php_error.log,这样错就会被错误地写入PHP _ error . log文件。2)打开安全模式
php的安全模式功能限制或禁用了许多功能,这在很大程度上解决了php的安全问题。在安全模式部分,将安全模式=关闭更改为安全模式=打开,安全模式功能打开。某些执行系统命令的函数,如shell_exec()和`,是被禁止的,而另一些函数,如exec()、system()、passthru()和popen()是被限制的,并且只能执行由safe_mode_exec_dir指定的目录中的程序。3.3 SQL注入
所谓的SQL注入就是通过在Web表单中插入SQL命令来提交或输入域名或页面请求的查询字符串,从而欺骗服务器执行恶意的SQL命令。[4]它使用现有的应用程序将SQL命令注入到后台数据库引擎的执行中。注入SQL有两种方法,一种是猜测表名:And(从表名中选择计数(*))0或列名:And(从表名中选择计数(列名))0,这种方法速度慢,但效果最好,而且范围广。其次,后台认证绕过了泄露
洞,即“或”=“或”后台绕过漏洞,利用“与”和“或”的运算规则,导致后台脚本的逻辑错错误。如何防止SQL注入?有以下几种方法:
1)输入身份验证。检查用户输入的合法性,以确保输入的数据是合法的。应该在客户端和服务器端执行数据检查。2)错错误信息处理。标准输入验证机制用于验证输入数据的长度、语句和类型。
3)加密处理。加密并保存用户的登录名和密码。4)使用存储过程执行所有查询。参数传递用于防止攻击,因此权限数据库只允许执行特定的存储过程。
5)使用漏洞扫描工具。一个完美的漏洞扫描器可以发现SQL注入漏洞。4程序安全性的应用
网上超市“学校住宿购买”是对高校建立的OTO电子商务网站,主要通过线下仓储式超市和网上电子商务平台销售学生所需的日用品。为线下学生提供网上订购和即时上门服务。用户可通过电脑或移动终端访问本网站,完成订购功能。该系统分为前台系统和后台系统两部分。前台系统是用户购买商品的系统,后台是保存用户所有数据的管理员系统。数据库设计是“学校住宿购买”购物平台设计的关键之一。我们不仅要保证数据库的安全,还要进行安全审查。首先,你不能太信任用户的输入,用正则表达式对检查用户的输入;其次,不要使用动态汇编SQL,尽量使用存储过程进行数据查询和访问;第三,不要使用管理员的权限进行数据库连接,以便每个应用程序使用单独的权限进行有限的数据库连接;第四,使用辅助软件和网站平台来检测SQL注入,以确保数据库已经被修补到最新的状态,并且在每个阶段都需要不断地检查。
上述安全策略也应在“学校住宿购买”中使用,这样用户就可以放心地在这个平台上购买他们需要的东西。为了保护用户的隐私,我们将不遗余力地改善购物系统的安全问题。5摘要
随着互联网的不断发展,它已经成为人们生活中不可分割的一部分。因此,人们的观念发生了变化,解决安全形势日益紧迫。以上内容只是研究的一小部分,对系统平台安全、数据安全和网络安全的威胁还有很多,需要我们花费精力和时间去探索和解决。Web服务是新一代的应用集成,它带来了一种新的商业模式。在享受的同时,我们也需要学会保护自己的利益不受不必要的损失。