大数据网络安全漏洞概述

来源 :科学与生活 | 被引量 : 0次 | 上传用户:zhangwenhan05
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:随着大数据、智慧城市、5G等新技术、新应用的发展,我国网络攻击风险日益增加,信息泄露行为让政府形象、企业利益受损。本文结合日常安全检查、整改等相关工作,从常见的网络安全漏洞入手,提高开发人员、安全人员及政府、企业网络管理者安全防护意识,增强网络安全防护水平。
  关键词:网络安全;大数据安全;安全漏洞;漏洞挖掘
  近年来,我国网络安全形势日益严峻,黑客通过非法手段对政府、企业信息系统发动网络攻击,给其声誉、利益带来巨大损失,而电信运营商从维护客户利益和自身信誉角度,也迫切需要进行网络安全漏洞研究和防范,本文从国际知名OWASP Top 10排行阐述漏洞,增强相关人员安全意识,提高技术管网治网能力。
  1、我国大数据网络安全现状
  近年来,随着新技术、新应用发展,政府、企业关键基础设施一直是黑客关注重点,而这些业务大部分通过互联网向用户提供服务,潜在安全威胁巨大。不法分子可以利用注入等安全漏洞获取网络服务器的权限,窃取服务器数据,篡改网页信息,因此,解决网络安全问题迫在眉睫。
  上图所示,OWASP作为世界上最权威网络安全组织之一,每隔四年更新一次网络安全漏洞排行,根据最新2017年公布的十大网络漏洞中,注入攻击漏洞位列第一,失效的身份认证排第二,时至今日,这两类漏洞在日常工作中仍频繁发生,威胁程度较高,是安全人员不能忽略、必须重点检测的目标。
  2、大数据网络安全常见漏洞介绍
  2.1 注入漏洞
  注入攻击是指攻击者在输入数据时向解释器提交一些非法或者未授权的命令来欺骗解释权,使解释器错误的执行了这些代码,向攻击者返回一些本不应该被看见的数据。
  2.2 失效的身份认证
  身份认证最常用于系统登录,形式一般为用户名加密码的登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等。
  2.3 敏感数据泄露
  近年来,敏感数据泄露已经成为了最常见、最具影响力的攻擊,不久前就爆出过Facebook泄露了用户的大量信息,以及12306也多次泄露用户的信息。现在信息泄露已经成为了OWASP top 10中排名第三的漏洞,可想而知敏感信息泄露现在已经成为十分严重的问题。
  2.4 XML外部实体(XXE)
  XXE(XML External Entity)指的是XML外部实体注入,XML用于标识电子文件使其具有结构性的标识语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声名、DTD文档类型定义、文档元素。
  2.5 失效的访问控制
  即保护资源不被非法访问和使用,目前应用最多的是基于角色的访问控制机制。失效的访问控制就是攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
  2.6 安全配置错误
  由于系统管理员的疏忽,可能会产生一些安全配置错误。安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器和存储。可以使用自动扫描器来检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。
  2.7 跨站脚本(XSS)
  XSS(Cross-Site Scripting,实际上应该是CSS,但是这与前端中的CSS重名,因此改名为XSS)简称为跨站脚本攻击,这是一种针对网站的应用程序的安全漏洞攻击技术,是代码注入的一种。它允许用户将恶意代码注入网页,其他用户在访问时就会收到影响。恶意用户利用XSS代码攻击成功后,可以进行重定向、获取cookie值等内容。
  2.8 不安全的反序列化
  有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。
  2.9 使用含有已知漏洞的组件
  由于现在的服务器都需要使用很多的组件,管理员并不能保证所使用的组件都是没有最新的,因此可能会存在一些版本是存在已知漏洞的(实际上比较新的版本的组件也是会存在漏洞的),攻击者可以使用这些已知的漏洞来进行攻击,甚至获得管理员权限。
  2.10 不足的日志记录和监控
  日志记录是一个系统的最重要的功能之一。日志记录包括登录成功记录、登录失败记录、访问控制记录等,用来记录服务器的各种信息。
  3、结语
  随着网络技术迅猛发展,政府、企业要面对各种各样的攻击手段,导致安全事件频发,网络安全问题受到社会各界高度关注;另外,网络空间逐步成为国家之间或地区之间相互安全博弈的新战场,本文从漏洞角度阐述网络安全本质特征,提升从业人员网络安全管理及防护水平,保卫网络空间国家主权,为网络强国战略保驾护航。
  参考文献
  [1]OWASP[OL] http://www.owasp.org.cn/owasp-project
  [2]Bitcarmanlee.Web安全之SQL注入攻击技巧与防范[EB/OL].
  [3]张红岩.计算机网络安全防御与漏洞扫描技术研究[J].无线互联科技, 2020,v.17;No.188(16):52-53.
  天津市大数据管理中心;天津市委网信办网络应急指挥中心
其他文献
摘要:在水利水电征地移民工程建设事业发展前景可期。作为水利水电工程前期主要工作之一,征地移民工作能否顺利进行,直接影响到项目建设的整体成效。而因些许因素的影响,致使当前征地移民工作尚存部分问题亟待的解决。本文以征地移民存在问题的分析为切入点,并立足于现状的分析,提出解决水利工程征地移民问题的有效对策。  关键词:征地移民;存在问题;水利水电工程;解决措施  引言  水利水电工程建设有助于改善当地农
期刊
摘要:电子信息工程发展中,计算机网络技术得到越来越广泛而且深入的应用,并呈现出巨大的应用优势。从具体情况来看,因为我国的电子信息工程发展时间相对来说比较晚,起点比较低,在电子信息工程领域的高精尖人才比较少,此类情况对于我国的电子信息工程的长远发展会造成很大影响。因此,要高度关注计算机网络技术的有效应用,并培养高质量的人才,使该技术在电子信息工程中呈现出更大的应用优势。基于此,本文重点分析电子信息工
期刊
摘要:随着社会经济的发展,无线通信技术在消防灭火救援现场的优势显而易见,能够有效提高消防现场指挥效率,因此无线通信技术被广泛应用到消防领域之中。本文从无线通信技术分类入手,分析无线通信技术在消防领域中的应用措施,希望可以为提高消防灭火救援领域的指挥效率提供一些思路。  关键词:无线通信技术;消防领域;应用分析  一、无线通信技术分类及概述  无线通信技术大致分为以下几类:  1.短波通信及超短波通
期刊
摘要:目前,我国对于计算机技术的现代化应用已经原来越普遍,人们的日常生活和计算机技术息息相关,无法分离,这也为计算机技术的快速发展提供了良好的平台和基础。与此同时,计算机源代码的数量持续增加,一些黑客非法分子寻找到代码中的一些漏洞,对计算机软件所处的系统进行破坏,给人们的生活带来了严重的问题,对社会造成了不良影响。因此,计算机软件的安全问题不容忽视,对相关的安全漏洞检测技术进行研究具有重要的价值。
期刊
摘要:近年來,河道受水土流失及自然灾害影响,防洪排涝功能越来越差。部分河道无法达到防洪设计标准,尤其是对有通航功能的河道来说,受自然灾害影响,河道出现坍塌、凹陷等情况。此外,由于河道护岸建设力度不足,河道绿化能力较差,更加重了水土流失情况。因此,有效的改善河道生态环境,兼顾自然和人的利益,进一步丰富河道治理内容,实现对水资源的有效开发和重视对河道周边生态系统的保护,更好的发挥出河道的重要作用。  
期刊
摘要:随着当前市场上计算机软件的不断发展,对于软件开发技术市场的要求也日趋严格。如果软件的开发较为传统,抑或不太精细,那么将很有可能缺少市场,可以吸引到的用户数量也会较少。如今,分层技术在计算机的软件开发中得到了初步的使用,这样的技术不仅满足了社会的需求,也让开发软件出现了一些创新,让软件质量得到良好的保证,还会结合许多客户的意见,来对软件进行优化和补充,更好地提升客户的体验感和使用感。下面主要介
期刊
摘要:在这个信息时代里,需不断完善现有的知识产权保护机制,才能顺应大数据时代的发展需求。本文探讨了对“大数据”的理解,剖析了大数据时代我国知识产权保护机制存在的问题,通过分析,提出知识产权保护的优化策略,旨在为知识产权保护机制的完善提供一些思路。  关键词:大数据;知识产权;优化策略;大数据技术  引言  在如今的大数据时代,存在很多的可能性发生,对于知识产权的保护也进入了一个全新的阶段。知识产权
期刊
摘要:当前形势下,科学技术水平在高速提升的同时,计算机信息技术业也被广泛应用,并逐渐成为了人们工作和生活中极为重要的一部分。在计算机网络应用期间,信息安全直接关系到了用户的利益。因而,强化对网络信息安全的重视非常有必要。  关键词:信息安全;计算机网络;应用  随着网络全球化发展进程的深入推进,人们在对信息进行获取的过程中,渠道也渐渐呈现出了多样化的特点。当前,网络已经成为了人们获取信息的重要途径
期刊
摘要:当今的计算机技能也应用在许多领域中,计算机的每一次发展都可以带动很多科学技能的发展。尽管说有很多的计算机技术运用到了很多领域当中,但是人们对计算机了解的并不够充分,他们在使用计算机的时候使用方法并不恰当,可能就会造成一些工作上的失误,要让他们认识到这些事物解决的方法。所以下文就分析了一些这方面的问题和解决措施。  关键词:计算机科学与技术;应用现状;发展趋势  随着社会的快速发展,计算机科学
期刊
摘要:经济主权是每个独立自主的国家都享有的一项基本且重要的主权,它意味着国家有权在经济上独立、在国际经济局势上享有平等地位。经济主权也在很大程度上制约着政治主权的发展,二者是相互依存、共同进退的关系。国际经济法将经济主权原则作为其中一个重要的基本原则,既是对各个国家主权的保护,也是对各国在公平参与国际经济事务提供保障。然而,因为经济全球化的影响,许多国家都在不同程度上牺牲本国家的一定的经济主权,来
期刊