张腾

摘要：在启动和运行web 应用的过程中，应及时发现并妥善处理系统中存在的各种漏洞，以防出现网络安全事件，导致用户蒙受惨重损失。本文首先对web 应用安全现状进行了客观论述，其次对当前应用比较普遍的集中安全防护技术进行了分析，最后针对不同安全事故制定了科学合理的应急预案，希望可以为web 应用的安全防护提供一定参考。

关键词：Web应用;安全防护技术;客户端;服务端;恶意攻击;数据传输

引言

目前，Web应用在互联网中得到了大力推广和积极使用，在整个互联网系统运行中扮演着极其重要的角色，此应用简单来讲是将网络技术和用户服务器进行持续稳定地连接，由此实现数据传输、数据处理等一系列操作。市面上涌现出了各种各样的web 应用软件，质量参差不齐，安全问题日益增多，有必要探寻合理有效的防护措施，以期在增强其应用安全性、稳定性的同时，促进用户获得良好的操作体验。

1 web 应用安全防护技术分析

1.1 web 应用安全现状

现阶段，我国互联网保持着蓬勃发展的良好态势，但是很多软件及网站在运行过程中受到病毒的攻击，用户一旦误点病毒链接就会“中招”，造成大量重要数据被窃取或者篡改。一般来讲，产生安全问题主要是因为web软件存在漏洞，为别有用心的人恶意攻击提供了可乘之机。程序员操作不规范、代码存在漏洞等容易为web 应用埋下安全隐患。很多网络用户会投入大量资金安装安全设备，比如构筑防火墙、购买专用系统防护工具，不过不重视对web 应用软件的安全维护，致其容易造成攻击。

1.2 web 应用的常用安全防护技术

1.2.1客户端安全防护技术

关于电脑操作系统、浏览器所面临的安全威胁，可通过修补补丁、更新浏览器的方式增强其安全性。关于包括Web客户端脚本等在内的一系列威胁，应加强网站网页检测，主要包括两种检测技术，一是静态检测技术，即通过代码走查等措施查看网页代码中有无恶意代码;二是动态检测技术，其检测速度相对较慢，不过识别精准度较高。

1.2.2服务器端安全防护方法

关于服务器端在运行过程中所面临的安全威胁，可通过下述方法进行防护和规避。一是认证授权与安全程序开发机制，比如采用WSDL 访问控制策略、输入验证机制等。二是AJAX 保护机制，它和先前的Web应用保护机制具有异曲同工之妙，主要涉及到参数化查询、完善数据结构体系等。三是输入验证机制，唯有在指定区域输入准确的信息，才能够通过系统检验，继而进入系统展开一系列操作。

1.2.3数据传输安全防护技术

对于基于Web 应用的数据传输，可通过当前应用比较广泛的SSL技术对传输过程中的数据进行加密处理，实现安全快速地数据传输。客户端和服务器端的传输协议主要有HTTP、RTP等，均适用于SSL技术，其相应的安全协议为HTTPS、SRTP协议等。

2 Web应用的应急预案

2.1 安全事故的应急处理预案

2.1.1 恶意攻击应急处理预案

计算机在运行过程中有时会受到网络恶意攻击，若未及时妥善处理，势必会造成计算机用户蒙受较大损失，比如重要数据被窃取、软件瘫痪等。在察觉到个人电脑被恶意攻击之后，首当其冲是准确快速地识别攻击源，根据攻击情况决定有无必要切断web服务器的网络，避免内部数据信息被窃取或者被篡改。其次需要对遭受攻击的计算机进行重新设置，无论是用户名，还是密码，都需要快速修改，弃用之前的账号及密码，若存在泄露内部网数据的风险，应马上对内部网进行重新设置，避免对方继续发起攻击。接下来需要查明攻击人员的IP地址并进行严格过滤，启动防火墙，并着重对此类攻击进行准确有效地过滤，结合具体情节决定是否需要进行报警处理。此外，需要加强对被攻击计算机的动态化、持续化监控，便于随时发现各种异常并进行按照上述流程进行妥善处理。

2.1.2病毒应急处理预案

一旦检测到电脑感染病毒，首先需要马上告知专门的信息安全人员，将电脑进行断网处理，避免病毒破坏范围和破坏程度进一步升级。其次，信息安全人员知悉电脑感染病毒后，需尽快前往现场，对电脑硬盘中的数据进行集中备份。然后运行专门的杀毒软件，对整个电脑进行全面扫描和杀毒处理，一般的病毒都能够被杀毒软件识别和清除，若遇到比较特殊且难以处理的病毒，需将具体情况上报信息小组，由其安排专业人才间调查和处理。

2.2 安全事故后的应急处理

在出现安全事故后，既需要根据事故性质采取针对性处置措施，也需要做好如下工作：第一，保障Web 应用信息安全，事故发生后，需马上发出警报，安全员共同探讨并明确事故成因，制定科学合理的处理方案。第二，需要保证其他接入设备的信息安全，在进行认真仔细地确认后，可上断开网络，避免出现其他安全事故。第三，对网络进行细致全面地研究，通过合适的网络管理工具准确快速地锁定事故源，在明確成因的基础上针对性处理。第四，进行针对性处理后重新连接网络，检查事故源是否清除。第五，针对安全事故进行总结，避免同类问题再次发生。

3 结语

现阶段，Web应用保持着迅猛的发展势头，不过也面临着诸多不容忽视的安全威胁，应在准确全面地明确web 应用安全防护技术的前提下，针对各类不同的安全事故制定合理有效的应急处理方案，对程序稳定运行、维护数据安全大有裨益。

参考文献

[1]陈英杰，李世武.基于安全环的一站式Web 应用安全防范研究[J].计算机与网络，2019，045（006）：69-72.

[2]李冠蕊，刘瑞景，李雪茹.基于云平台的Web应用安全防护[J].电子技术与软件工程，2019.

[3]陈颢蒙.基于虚拟化的Web应用防火墙技术研究[D].南京邮电大学，2020.

[4]张强，徐银玲.WEB云安全防护平台技术架构及原理浅析[J].中国新通信，2019，v.21（16）：145-146.