广电网络web站点信息安全浅述

广电网络web站点信息安全浅述

朱嘉羲

江苏省广电有线信息网络股份有限公司

摘要：本文主要分析了广电网络web站点信息安全，然后阐述了广电网络web站点信息安全问题的研究背景，以及Web站点组成、Web站点信息安全现状、信息安全威胁、信息安全风险等内容，最后对加强SQL注入攻击防护、加强跨站脚本攻击防护进行总结，主要目的是在最大程度上保证广电网络web站点信息安全，避免信息被篡改等问题出现。

关键词：广电；网络；web；站点；信息安全

1、研究背景分析

随着社会的不断发展，先进的信息技术、互联网技术在人们日常生活中得到广泛应用，这使得人们的工作方式、学习方式与生活方式发生很大转变，整体效率得以提升，信息资源能够高度共享。但随之而来的信息泄漏问题、信息污染问题逐渐严重，很难实现对信息的有效控制。与此同时，还会出现信息资源在未授权情况下被侵用、未授权的信息流出，此类内容都是信息安全技术中的主要难点。

在如今社会发展中可以看出，信息安全问题逐渐朝着复杂化方向发展，并且涉及范围更加广泛。有部分组织或者个人，出于某种特殊目标、目的等，会对信息进行泄漏，并在不同程度上出现信息破坏、信息侵权等不同问题。甚至会有很多不法分子，在网络中开展政治颠覆性活动，导致国家利益、社会公众利益受到严重威胁。

现如今社会中的很多重要基础设施朝着高度集中化方向发展，如果核心控制系统，或者社会的命脉遭到恶意攻击，那么会出现严重损坏情况，甚至会造成整个系统、社会瘫痪。比如，国防通信设施瘫痪、动力控制网瘫痪、政府网站瘫痪等。互联网信息安全问题，已经成为当前信息时代中，全社会、全人民需要关注的一个重点问题。

2、广电网络web站点信息面临的信息安全威胁

2.1Web站点组成分析

广电网络为推动业务的更好发展，相关部门以及工作人员可以根据互联网服务，将信息化发展建设等不同工作落到实处。在双向网路技术、交互技术基础之上，实现不同业务系统的相互关联，包括视频业务系统、互联网业务系统等。通过对此类内容的汇聚，将不同内容更好呈现在不同终端中，比如，呈现在电视终端、智能终端，这是三网融合的典型内容。

2.2Web站点信息安全现状分析

广电网络业务在高速发展过程中，信息安全面临的风险问题也逐渐严重，在经过相关部门、相关工作人员的反复检测、检查后，广电网络Web站点存在的信息安全风险等不同问题会被及时发现。其中面临的主要风险包括为SQL注入攻击风险、跨站脚本攻击风险。具体分析如下：

（1）SQL注入攻击。在Web表单中可以插入SQL命令，在此基础上，提交或者输入域名，也可以进行页面请求查询字符串的提交与输入，这样能够欺骗服务器执行恶意SQL命令。

（2）跨站脚本攻击。应用程序很有可能会接收到含有不可信数据，此类数据在没有被转译与验证背景下，会被直接发送到网页浏览器中，这就属于跨站脚本攻击，简称为XSS。在出现跨站脚本攻击问题情况下，通常是允许攻击者在已经受害的浏览器中执行脚本，在这一过程中会劫持用户电话、危害网站，或者对用户进行转移，将其转移到恶意网站中。从具体跨站脚本攻击分析中可以了解到，跨站脚本攻击漏洞被分为不同类型，反射型跨站脚本攻击、存储型跨站脚本攻击。在面对此类信息安全威胁时，国际权威信息安全组织会定期召开全球主流Web安全危险分析工作与统计工作，这样能够对Web安全危险情况有正确认识，对其中存在的规律、具体问题等进行总结，并制定科学合理预防措施与解决措施，从而尽量避免在未来出现相同安全问题。在有关部门发布的十大安全风险报告当中，已经明确SQL注入攻击与跨站脚本攻击在整个安全风险中位列前三，因此，被相关部门定义为，高危的信息安全威胁。其中SQL注入攻击位列第一，属于及其危险的Web安全。

2.3信息安全威胁分析

SQL注入通常情况下可以将其分为两种类型，一种是平台层注入方式，另一种是代码层注入方式。平台层注入方式主要是受到数据库配置不合理，以及数据库平台存在漏洞情况。而代码层注入方式主要是因为，程序员在进行开发时，对于用户的输入没有及时落实合法性过滤，导致被攻击者出现非法数据查询执行操作。SQL注入的主要威胁因素，主要体现在以下几点：（1）在转义字符处置过程中，出现处置不严谨、不合理情况；（2）数据库配置不准确；（3）在提交数据处理中，工作人员没有严谨对待；（4）查询与处理严谨性没有得到保障；（5）在实际处理中存在错误情况。

跨站脚本攻击的主要攻击核心是，恶意HTML代码被恶意攻击者插入到Web页面中，在用户浏览这一被感染的页面时，在页面中国的HTML代码或者JavaScript代码会被直接执行，从而实现对用户的恶意攻击。而造成这一攻击主要是因为受到以下因素影响：（1）在代码编写过程中，严谨性无法保障；（2）针对用户输入，没有做好相应处理；（3）针对特殊符号，比如，单引号、引号等，没有进行有效编码。此类问题的出现，都会引发跨站脚本攻击问题出现。

2.4信息安全风险分析

在SQL注入攻击过程中，通常情况下主要使用的是SQL语法，在此背景下，基于SQL语言标准的数据库软件都有可能会受到影响与攻击。在这一过程中，攻击问题的出现与发生，与Web编程语言之间并不存在关系。从理论角度分析，JSP、ASP等都无法避免，此类问题的出现会引发非法读取、非法篡改、非法添加等问题的出现。除此之外，还会出现很多不同问题，比如，用户敏感信息盗取、对数据库进行修改，从而修改网页上的不同内容等。

跨站脚本攻击风险主要包含以下几点内容：（1）对用户账号权限进行盗取，比如，盗取用户网银账号、盗取用户个人电脑账号等；（2）实现对网站数据的控制，在这一过程中，能够实现对网站中数据信息的篡改、读取与添加等，同时还能将网站中的敏感信息等删除；（3）基于XSS的跨站恶意请求，该请求包括很多不同内容，比如，非法转账请求、非法下单请求、发送电子邮件请求、非法转载内容请求、非法发表内容请求等。与此同时，还能对受害者服务器进行控制，将此作为条板对其他网络进行攻击；（4）会对正当管理员Cookie进行获取，这样APT攻击会实现持久化，并对网站业务中枢进行长期控制；（5）通过对跨站业务的应用，会形成蠕虫病毒式传播，从而对网站进行劫持，劫持后的网站通常会被应用在伪装、跳转等环节中，

3、广电网络web站点信息面临的信息安全防护措施

3.1加强SQL注入攻击防护

为促使广电网络web站点信息安全性可以得到保障，针对SQL注入攻击防护，需要相关工作人员给予更多重视与关注。在具体防护工作落实中，可以利用正则表达式，实现对用户输入的准确校验，并实现对特殊符号的转换。在数据查询、存储过程中，可以利用参数化SQL，或者直接使用存储过程。针对每一个应用，工作人员可以设置单独权限的连接数据库。在面对敏感信息时候，可以开展Hash加密。还可以将一次信息的提示取消，做好原始错误信息包装工作。比如，在某广电网站安全问题防护中，工作人员对有SOL注入特征的字符串进行全方位替换，删除注入到表中的恶意语句，与此同时，落实网站代码安全审计，以及数据库安全审计工作。

3.2加强跨站脚本攻击防护

跨站脚本攻击风险防护工作开展中，工作人员可以采取特征匹配方式，针对提交的信息，开展跨站脚本特征匹配检验工作，并及时修改跨站脚本代码。比如，在某广电网站安全防护中，针对跨站脚本攻击防护，工作人员要及时做好网站源代码审核工作，并对用户输入值进行过滤，确保输入的值具备一定合理性。对于特殊的符号，工作人员要做好编码转译工作。

结束语：

综上所述，广电网络web站点信息安全是当前社会发展中面临的一个重要问题，针对这一内容，相关部门以及工作人员要给予更多重视。对广电网络web站点信息安全现状进行分析，在这一过程中，工作人员要对当前存在的SQL注入攻击风险、跨站脚本攻击风险要有正确认识。结合实际情况，做好SQL注入攻击风险控制工作以及跨站脚本攻击风险控制工作，这样能够在很大程度上避免信息被盗取、被篡改等问题出现，始终确保站点信息安全。在具体安全防护工作落实中，工作人员也要结合实际情况展开，这样才能确保安全防护达到更好效果。

参考文献：

[1]刘志东,唐璠,谢晓旭. 浅谈如何做好广电日常信息安全管理[J]. 广播电视网络,2022,29(3):69-71.

[2]刘岩峰,李鹏. 广电系统中的信息安全技术分析[J]. 黑龙江广播电视技术,2021(4):72-73.