解读WEB应用安全问题日趋严重的原因

　　随着宽带应用的日益普及，越来越多的网络用户将日常事务转移到了互联网。例如，通过网上银行进行转帐和付费，通过网络购买股票和基金，进行网上购物和玩网络游戏等等。所有的这些WEB应用都在不知不觉地改变着我们的日常生活，WEB应用也将伴随着互联网的发展而不断地深入普及，人们也会越来越离不开各种WEB应用。但是，这种给我们带来无限美好的事物，却在不断地受到各种网络安全攻击的威胁。

　　于是，如何解决WEB应用过程的安全问题，自从互联网应用产生的那天起，就成为各类安全厂商和安全专家们积极寻求解决方案的主要领域。WEB应用的安全防范技术发展到今天，已经出现了各种类型的WEB应用安全防范产品和解决方案。并且，在各类安全厂商及安全专家们的大力提倡下，绝大多数的网络用户，都已经争先恐后地把各种安全产品应用到各自的PC当中，而且一装就是好几种，唯恐装少了不安全，并且天天按要求进行系统和软件更新。

　　可是，即使网络用户们按要求在自己的PC中应用了多种安全解决方法，但是，在进行WEB应用的过程中，各类网络安全事件却仍然在自己的身上不断地发生，甚至越来越严重。这并不是危言耸听之言，大家每天在互联网上不断见到WEB安全事件的报道就是一个最有力的证明。

　　那么，为什么网络用户的安全意识提高了，并且也在自己的PC上实施了相应的安全防范措施，各种WEB应用的安全事件反而日趋严重了呢?

　　这难道是安全厂商们提供的安全产品不行?或者是安全专家们提供的安全防范解决方案不合适?还是网络攻击者的攻击技术水平太高，当前的安全技术和产品根本无法防范?

　　当我们面临这样的困惑之时，很容易就把造成这种原因的矛头指向了各个安全厂商，同时在感叹网络威胁越来越多，以及网络攻击技术和木马病毒编写技术的水平越来越高，却往往忽略了一个造成这种局面的根本性因素：那就是网络用户本身。

　　当一些读者看到这里后，心中未免会对笔者的上述结论产生疑问：怎么造成WEB应用安全问题日趋严重的根本性因素变成了网络用户本身呢?一些读者此时产生这样的疑问是可以理解的，下面，我将通过3个方面来解开大家心中的疑惑。

　　1、 网络用户对个人计算机及网络应用的安全防范理念认识还不够清楚

　　现在绝大多数的个人计算机网络用户，大多认为解决网络应用的安全问题，只要通过在PC中安装一种或者几种安全防范软件就可以高枕无忧了。于是，总迷信于使用某些安全厂商的安全软件，并且不厌其烦地不断更新。然后就认为，现在在网络上做什么样的操作都已经得到了这些安全软件的保护，安全问题应该已经与自己bye-bye了。可是，想得太过美好的事情，有时往往偏不如意，安全问题不减反增。

　　这主要是由于网络用户认为在安全装了安全防范软件后，系统及WEB应用就已经完全安全，并且由此认为现在无论是去危险的网站浏览，还是运行可能绑定了木马的盗版软件等操作行为都会被安然无恙。尤其是在系统上的安全防范软件检测到几个木马病毒，或者拦截几次网络攻击行为后，就更加认为现在已经绝对地安全了。于是，以前不敢上的网站现在直接就上，以前不敢运行的软件现在立马打开，甚至还想下载几个木马样本来试试。正是网络用户对计算机及网络安全防范方法的错误认识，就成为造成WEB应用过程中安全事件在实施了安全防范措施后不减反增的原因之一。

　　那么，网络用户应该怎样去理解个人计算机及网络应用的安全防范理念呢?

　　网络用户应该要明白个人计算机及网络安全防范不是某一种或几种安全技术就可以解决得了的。安全防范是一个持续不断的系统过程，并且，到目前为止，是不存在绝对安全的。这是由于计算机硬件及软件设计的缺陷，以及互联网络设计本身的开放性等原因所致。因此，网络用户不应该只迷信于某类安全产品，在考虑计算机及网络应用的安全防范时，应该遵循“木桶原则”，从安全环节中最短的那块木片开始，使用相应的系统弱点分析工具，仔细分析个人计算机可能存储的弱点，以及全面了解系统上各种需要保护的资源，然后为它们制定一种行之有效的安全策略，并坚决实施在这台计算机上。

　　这种安全策略，只围绕每台独立的计算机来实施的，它由一种或几种安全方法所构成，比如，杀毒软件、防火墙和主机式入侵检测系统等。我们必需为这些安全方法制定一种相对平衡的策略，以使它们发挥出最大的效应。并且，安全防范应当惯穿于整个个人计算机使用的整个生命周期，并且随着时间的推移，以及根据新的安全威胁对安全软件做出相应的调整。

　　2、 网络用户本身计算机和网络应用的技术水平不够

　　在笔者接触过的许多PC 用户当中，有相当大的一部分用户，虽然对网络安全问题有了一定的认识，也在PC中安装了某些安全软件，但是，却从来都不太关注计算及网络应用技术的。在他们看来，关心这类东西是计算机技术人员的事情，而与自己无关，用PC，无非就是日常办公、上网浏览、聊天、游戏等等，只要知道如何操作这些方面就可以了。并且认为在PC中安装了安全防范软件，就应该没什么问题了，就算是出了问题，也可以叫电脑公司的人来处理。因此，就造成了许多用户的计算机应用及网络应用技术水平普遍不高，有的甚至连安装Windows XP操作系统和一些应用软件都需要别人来帮忙，更不要说是进行系统及网络应用软件的安全设置，以及对安装在PC上的安全软件进行必要的设置和更新了。

　　可是，由于互联网络本身设计的开放性，以及网络攻击者的技术水平不断提高，再加上计算软硬件设计的缺陷，在计算机的网络应用过程当中，受到来自网络当中的安全威胁是在所难免的。而且这种威胁是会长期存，并且攻击方法及水平也会不断提高的。而面对这些安全问题，用户完全依靠某种安全产品或计算机专业人员的帮助，是远远不够的。因为任何一种安全产品永远不会知道有哪些新的安全威胁会产生，这些安全威胁又会使用哪种技术进来行编写和攻击，再加上软硬件的最新零日漏洞被不断的发现，利用这些零日漏洞实施零日攻击将会层出不穷。而且，一些安全产品公司或电脑公司技术人员不可能在短时间内明白用户需要保护什么样的内容，以及需要什么样的保护方式的。

　　这样一来，在进行WEB应用的过程中一旦出现网络安全事件，如果网络用户不了解一些基本的计算机及网络应用知识，不仅使这些安全故障得不到及时解决，还会由于用户的一些不正当的操作，造成问题的进一步扩大。而且，在每次出现计算机安全事件时，都要求电脑公司的技术人员来处理，不仅使安全事件的处理时间变长，也使得计算机的维护成本不断增加。

　　其实，网络用户完全可以通过对操作系统及网络软件进行相应的安全设置，以及使用一些安全软件和正确的安全解决思路，来进行网络安全威胁控制在我们可以接收的水平之内的。有时，当安全软件不能发挥作用时，还可以通过手工的方式来清理这些安全威胁，至少也能将网络安全威胁引起的问题降低到最小。可是，要明白如何预防网络安全威胁，以及手工清除木马或病毒的方法，都是要求每个网络用户掌握一定的计算机及网络相关技术知识的。

　　实际上，现在的网络用户要想了解计算机及网络应用和安全防范方面的知识，通过互联网就可以非常容易地获得。只要我们有这方面的想法，有了解这些知识的恒心，然后把上网浏览、玩游戏及看影片的时间每天减少一点，多花点时间来学习这方面的知识，一段时间以后，我们就会发现对网络安全软件及电脑公司技术人员的依赖性越来越少，发现解决网络安全威胁引起的问题越来越容易。这也就为我们进行安全的WEB应用打下了非常坚实的技术基础。

　　3、 网络用户的好奇心和图小便宜的心理，以及不正当的网络操作行为

　　纵观黑客攻击、网络病毒、木马程序及网络钓鱼等网络安全威胁之所以屡屡得逞，从各种已经发生的安全事件来分析，有相当大的一部分都是由于网络用户的好奇心及贪图小便宜的心理，以及网络用户的不正当网络操作行为所引起的。

　　下面就列出几种攻击者利用网络用户的好奇心及图小便宜的心理，以及不正当网络操作行为，来攻击网络用户的主要攻击手段：

　　(1)、通过社会工程学方式进行攻击

　　例如冒充某公司的工作人员，通过打电话给网络用户，或者发送电子邮件及短信的方式，以网络用户使用的系统需要升级或其它原因为借口，要求用户提供与此公司业务相关的重要资料，从而获得他们想要的信息。社会工程学攻击方式有许多种，这只是其中的一种而已。

　　对于社会工程学攻击方式，网络用户往往是因为不对打过来的电话号码和电子邮件地址进行详细了解和确认，就轻易地相信对方所提出的要求，将所有被要求提供的信息全部透露给攻击者，到最后，甚至连造成经济损失后还不明白是什么原因所引起的。

　　实际上，对于社会工程学的攻击方式的防范，就需要用户提高警惕，必需对打过来的陌生电话，或者自称是某个公司领导或技术人员的电话进行确认，尤其是这些人在电话中要求我们提供相应的隐私信息时更应如此。另外，对于其它的社会工程学攻击方式，例如当收到要我们确认登录信息的电子邮件时，也不要轻易相信，必需先对电子邮件中提到的事进行确信后再进行正确的处理。

　　(2)、利用网络用户对网络知识的不了解，以及粗心大意和轻易相信的心理实施网络钓鱼攻击

　　网络钓鱼攻击也有许多种方式，其中的一种方式就是攻击者先建立一个与某个公司网站有着相似域名和相似界面的网站，例如建立一个假冒的网上银行网站，确保假冒网站中的内容及布局与正规的网上银行网站完全相同，然后再通过各种方法引诱用户去这个假冒的网上银行网站进行登录操作。一旦某些网络用户轻易相信这些引诱信息，再加上粗心大意，不对这些网站的域名进行确认，然后就直接在这些“李鬼”网站中输入网上银行帐号及登录密码后，留给用户的，就只有后悔了。

　　对于网络钓鱼攻击，现在已经有许多最新安全方法来应当了。其中最好的方式就是越来越多的电子商务网站和金融类网站，都开始使用一种叫做EV-SSL的认证方式来让网络用户验证网站的真实性。当我们通过IE7等浏览器打开某个使用了EV-SSL认证方式的网站时，就会在IE7的地址栏中以“绿色”方式显示URL地址，网络用户只需要看到绿色的地址栏就可以确定其浏览的网站是真实的。如图1所示就是一个使用了EV-SSL的网站在打开后出现的绿色URL地址栏。

　　图1 EV-SSL认证网站浏览器地址栏样式图

　　(3)、利用网络用户的好奇心理

　　某些网络用户，常常对某些隐秘的东西有着强烈的好奇心，一些利用木马或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件。这样一来，就可以轻而易举地用木马控制网络用户的系统，剩下的就只等网络用户输入各种登录帐号和密码了。

　　其实，我们在进行网络应用时，应当努力克制自己的好奇心理，不去轻易点击艳丽的图片，不去一些不正规的网站浏览当前热门事件的详细追踪新闻，以及不去不正规的网站下载免费软件、MP3等文件，就可以大大减少这种网络攻击方式对我们的影响。

　　(4)、利用网络用户图小便宜的心理

　　一些攻击者会通过电子邮件、短信或QQ等即时聊天工具，给用户发送某类中奖信息，例如告知用户你已经中奖，奖品是什么，有多少，如果你想领取，请把银行帐号及密码和身份证号提供给发奖单位等等。而有些用户，有时却真以为天上掉馅饼，好运来了，于是不假思索就把他们想要的资料全给发过去，最后，奖品没得到，自己的钱却不见了。

　　对于这种攻击方式，最主要的防范方式就是绝对不相信天上掉馅饼的好事。

　　(5)、利用网络用户的习惯性网络操作行为

　　有许多网络用户，当上网浏览网页、查看电子邮件或使用QQ等聊天软件进行聊天时，什么邮件都打开来看，什么超级连都点，有聊天信息发过来就打开。而现在木马及病毒软件入侵的方式，就已经非常好的利用了网络用户的这种不正确的网络操作行为，即把木马或病毒编写成一个脚本，然后嵌入到网页、电子邮件及QQ等聊天软件的消息当中，或作一个超级连接指向这个脚本，只要用户打开包含有嵌入这些木马或病毒的网页、电子邮件和聊天信息窗口，或单击指向这些木马及病毒脚本的超级连接，这些木马或病毒程序就这样轻松地进入了用户的PC当中。

　　而要防范这种攻击方式，就需要网络用户规范自己的网络操作行为。一定要在浏览器地址栏中输入网站域名的方式进入网站，不轻易单击电子邮件中的超级链接，也不轻易单击QQ等聊天软件信息窗口中的超级链接。总之一点，就是要养成良好的网络操作行为习惯。

　　到这里，我们应该可以清楚地看到，网络用户本身对网络安全防范的正确认识，不断提高自身的计算机及网络应用技术水平，以及努力克制自己各种不好的心理，约束自己的网络操作行为，正是解决现在WEB应用过程中安全问题日趋严重最基本的因素。

　　实际上，只要网络用户以正确的安全防范理论为依据，持续不断地通过自己的技术来加固操作系统的安全，安装相应的安全软件，以及努力克服自己的好奇心，消除贪图小便宜的心理，规范自己的网络操作行为，那么，安全地进行WEB应用就不是一句美丽的空话。