WEB安全研究-文獻綜述.doc

中原工學院信息商務學院畢業(yè)設計（論文）文獻綜述專用紙 第11頁WEB安全研究金麗君摘要：本文主要針對WEB安全問題越來越引起人們的重視這一現(xiàn)狀，初步地介紹了國內(nèi)外對WEB安全問題的研究現(xiàn)狀，全面地介紹和分析了WEB服務和應用中存在的各種威脅，并探討了WEB安全問題的防護對策，來提高計算機網(wǎng)絡的安全性。關鍵詞：WEB安全、安全威脅、安全防護Abstract：This article will focus WEB security has drawn increasing attention to this situation, the initial introduction to security issues at home and abroad on the WEB Research, a comprehensive description and analysis of the WEB services and applications that exist in a variety of threats, and to explore the WEB security protection measures.一、引言1.1研究背景及目的隨著網(wǎng)絡時代的來臨，人們在享受著網(wǎng)絡帶來的無盡的快樂的同時，也面臨著越來越嚴重和復雜的網(wǎng)絡安全威脅和難以規(guī)避的風險，網(wǎng)上信息的安全和保密是一個至關重要的問題。網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性，計算機網(wǎng)絡的安全以及防范措施已迫在眉睫。網(wǎng)絡安全評估技術是評價計算機網(wǎng)絡安全的重要手段，現(xiàn)今在眾多的安全技術中已經(jīng)占據(jù)越來越重要的位置。通過風險評估，對系統(tǒng)進行細致而系統(tǒng)的分析，在系統(tǒng)分析的基礎上對系統(tǒng)進行綜合評價，最后通過評價結果來了解系統(tǒng)中潛在的危險和薄弱環(huán)節(jié)，并最終確定系統(tǒng)的安全狀況，為以后的安全管理提供重要依據(jù)。隨著Internet的普及，人們對其依賴也越來越強，但是由于Internet的開放性，及在設計時對于信息的保密和系統(tǒng)的安全考慮不完備，造成現(xiàn)在網(wǎng)絡的攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟活動造成了很大麻煩。WWW服務作為現(xiàn)今Internet上使用的最廣泛的服務，Web站點被黑客入侵的事件屢有發(fā)生，Web安全問題已引起人們的極大重視。本課題是基于Web安全的這一現(xiàn)狀，來對Web服務器安全進行研究，通過WEB安全掃描來減小網(wǎng)絡漏洞對服務器造成的威脅。1.2 WEB安全國內(nèi)外研究現(xiàn)狀目前和相當一段時間內(nèi)，國內(nèi)外關于Web安全的研究主要從安全協(xié)議的制定、系統(tǒng)平臺的安全、網(wǎng)站程序的安全編程、安全產(chǎn)品的研發(fā)、Web服務器的安全控制等方面著手。安全協(xié)議的制定方面，已經(jīng)提出了大量實用的安全協(xié)議，具有代表性的有：電子商務協(xié)議SET，IPSec協(xié)議，SSL/TLS協(xié)議，簡單網(wǎng)絡管理協(xié)議SNMP， PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議，S/MIME協(xié)議等。這些協(xié)議的安全性分析特別是電子商務協(xié)議，IPSec協(xié)議，TLS協(xié)議是當前協(xié)議研究中的熱點。系統(tǒng)平臺的安全方面主要研究安全操作系統(tǒng)、安全數(shù)據(jù)庫等，以及現(xiàn)有常用系統(tǒng)(如WINDOWS,UNIX,LINUX)的安全配置；還有就是針對黑客常用的攻擊手段制定安全策略。網(wǎng)站程序的安全編程方面，主要研究規(guī)范化編程以及現(xiàn)有編程語言（ASP,ASP.NET,PHP,CGI,JSP等）的安全配置和發(fā)布增加功能與安全性的新版本。安全產(chǎn)品的研發(fā)方面，目前在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類:防火墻、安全路由器、虛擬專用網(wǎng)VPN、安全服務器、電子簽證機構CA和PKI產(chǎn)品、用戶認證產(chǎn)品、安全管理中心、入侵檢測系統(tǒng)IDS、入侵防御系統(tǒng)IPS等；在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術的應用，并且是非?；A性的應用。 Web服務器的安全控制方面，主要研究時下流行的Apache、IIS的安全缺陷分析與安全配置，如Apache的訪問控制機制、安全模塊，IIS的安全鎖定等。 1.3 國內(nèi)外對掃描系統(tǒng)的研究現(xiàn)狀1.3.1 國外研究現(xiàn)狀 在使用漏洞掃描技術來確保網(wǎng)絡安全方面，國外的研究工作起步較早。歷史上的第一個掃描器War Dialer，實現(xiàn)了自動掃描功能，并且以統(tǒng)一的格式記錄掃描結果。這是掃描技術上取得的極大的發(fā)展，推動了網(wǎng)絡安全性能的發(fā)展。1990年，美國國家標準局啟動了針對當時的操作系統(tǒng)脆弱性問題進行研究的Research In Secured Operating Systems項目在美國伊利諾伊大學發(fā)表了關于軟件漏洞的調查報告年。1992年，Chris Klaus編寫了一個掃描工具ISS(Internet security scanner網(wǎng)絡安全掃描器)，它是在因特網(wǎng)上進行安全評估掃描最早的工具之一。1993年，美國海軍研究實驗室收集了不同操作系統(tǒng)的安全缺陷，然后對每一缺陷按其來源、成因、發(fā)現(xiàn)時間和部分代碼進行分類。1995年，在Dan Farmer和Wietse Venema編寫的SATAN(security administrator tool for analyzing networks基于網(wǎng)絡的安全管理工具)掃描引擎的帶動下，促進了安全掃描技術的發(fā)展，并推動一些安全檢測產(chǎn)品的產(chǎn)生。1996年，普渡大學COAST實驗室的Taimur、Aslam、Ivan Krsul和EugeneHSpaford第一次高水平地定義了缺陷的范圍，漏洞分類方法被第一次用于該實驗室的漏洞庫。開始時由一些個人收集漏洞，后來這項工作變成CERIAS(TheCenter for Education and Research In Information Assurance and Security信息、保障和安全教育研究中心)的研究項目。同時，一些國家紛紛建立安全組織和機構來關注網(wǎng)絡安全的問題，特別是對漏洞檢測和評估方面：CNCERTCC是一個網(wǎng)絡安全問題的主要研究中心，由美國國防部資助，目的是在網(wǎng)絡安全問題發(fā)生時，快速有效協(xié)調專家處理互聯(lián)網(wǎng)社區(qū)的安全問題。USCERT將和NCSD一起工作，阻止和減輕網(wǎng)絡攻擊，并減少網(wǎng)絡漏洞。該機構成立的初衷是借助CNCERTCC的能力加速美國對網(wǎng)絡事件的響應。Symantec是互聯(lián)網(wǎng)安全技術的全球領導廠商，為企業(yè)、個人用戶和服務供應商提供廣泛的內(nèi)容和網(wǎng)絡安全軟件及硬件的解決方案?；诰W(wǎng)絡的漏洞和風險評估開發(fā)的NetRecon是一個基于網(wǎng)絡的漏洞和風險評估工具，用于發(fā)現(xiàn)、發(fā)掘和報告網(wǎng)絡安全漏洞。Nessus是一種有多種功能的強大工具，是由法國巴黎Renaud Derasion和另外兩個黑客編寫的。Nessus是一種用來自動檢測和發(fā)現(xiàn)已知安全問題的強大工具，它的設計用來幫助IT相關人員在黑客對這些漏洞進行利用前確定和解決這些己知安全問題的。Nessus是第一個在志愿的基礎上由黑客開發(fā)的掃描程序。1.3.2 國內(nèi)研究現(xiàn)狀 國內(nèi)在掃描技術方面起步較晚，是在國外掃描技術的基礎上發(fā)展起來的，在研究方面取得了一定的成果，但與國際水平相比，還存在著一定的差距，對漏洞掃描技術的研究相對要緩慢一些，還有一個需要高速發(fā)展的階段。目前，從事漏洞檢測與評估系統(tǒng)的組織機構主要是一些網(wǎng)絡安全公司，有這些公司開發(fā)并且使用廣泛的有著名的奇虎360安全衛(wèi)士，金山清理專家和瑞星系統(tǒng)安全漏洞掃描系統(tǒng)。 360安全衛(wèi)士是由奇虎公司推出的完全免費的安全類上網(wǎng)輔助工具軟件，它擁有查殺流行木馬、清理惡評及系統(tǒng)插件，管理應用軟件，系統(tǒng)實時保護，修復系統(tǒng)漏洞等功能，同時還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對系統(tǒng)的全面診斷報告，為用戶提供系統(tǒng)安全保護。 金山清理專家是有金山軟件公司開發(fā)一款免費清理軟件，它能掃描系統(tǒng)中的惡意軟件、系統(tǒng)漏洞、病毒、可疑文件等情況，并在檢測后根據(jù)系統(tǒng)情況提供系統(tǒng)漏洞補丁，IE修復等功能，從一定程度上修復操作系統(tǒng)和應用程序漏洞，降低了安全風險。瑞星系統(tǒng)安全漏洞掃描系統(tǒng)是由瑞星公司從殺毒軟件中分離出來，對Windows系統(tǒng)存在的系統(tǒng)漏洞和安全設置缺陷進行檢查，并提供相應的補丁下載和安全設置缺陷自動修補的工具，為用戶提供系統(tǒng)漏洞掃描，病毒查殺，未知病毒檢測等功能，從而保障用戶信息安全的防御體系。二、WEB安全概述2.1 WEB安全定義WEB作為建立在Internet基礎上的應用，WEB安全的定義不可避免地與網(wǎng)絡安全和信息安全概念相重疊，其內(nèi)涵和外延可看作網(wǎng)絡安全和信息安全的一個子集。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。1國家信息安全重點實驗室對信息安全給出的定義是：“信息安全涉及到信息的機密性、完整性、可用性、可控性。綜合起來說，就是要保障電子信息的有效性。”據(jù)此我們給WEB安全做出如下定義：WEB安全是指信息在網(wǎng)絡傳輸過程中不丟失、不被篡改和只被授權用戶使用，包括系統(tǒng)安全、程序安全、數(shù)據(jù)安全和通信安全。2.2 WEB的安全威脅來自網(wǎng)絡上的安全威脅與攻擊多種多樣，依照WEB訪問的結構，可將其分類為對WEB服務器的安全威脅、對WEB客戶機的安全威脅和對通信信道的安全威脅三類。2.2.1 對WEB服務器的安全威脅對于WEB服務器、服務器的操作系統(tǒng)、數(shù)據(jù)庫服務器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。WEB服務器上的漏洞可以從以下幾方面考慮：在WEB服務器上的機密文件或重要數(shù)據(jù)（如存放用戶名、口令的文件）放置在不安全區(qū)域，被入侵后很容易得到。在WEB數(shù)據(jù)庫中，保存的有價值信息（如商業(yè)機密數(shù)據(jù)、用戶信息等），如果數(shù)據(jù)庫安全配置不當，很容易泄密。 WEB服務器本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。程序員的有意或無意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。用CGI腳本編寫的程序中的自身漏洞。2.2.2對WEB客戶機的安全威脅現(xiàn)在網(wǎng)頁中的活動內(nèi)容已被廣泛應用，活動內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁的活動內(nèi)容是指在靜態(tài)網(wǎng)頁中嵌入的對用戶透明的程序，它可以完成一些動作，顯示動態(tài)圖像、下載和播放音樂、視頻等。當用戶使用瀏覽器查看帶有活動內(nèi)容的網(wǎng)頁時，這些應用程序會自動下載并在客戶機上運行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機上的信息。主要用到Java Applet和ActiveX技術。Java Applet使用Java語言開發(fā)，隨頁面下載，Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制Java Applet的活動，它不會訪問系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實上Java Applet存在安全漏洞，可能被利用進行破壞。ActiveX是微軟的一個控件技術，它封裝由網(wǎng)頁設計者放在網(wǎng)頁中來執(zhí)行特定的任務的程序，可以由微軟支持的多種語言開發(fā)但只能運行在Windows平臺。ActiveX在安全性上不如Java Applet，一旦下載，能像其他程序一樣執(zhí)行，訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險的。Cookie是Netscape公司開發(fā)的，用來改善HTTP的無狀態(tài)性。無狀態(tài)的表現(xiàn)使得制造像購物車這樣要在一定時間內(nèi)記住用戶動作的東西很難。Cookie實際上是一段小消息，在瀏覽器第一次連接時由HTTP服務器送到瀏覽器端，以后瀏覽器每次連接都把這個Cookie的一個拷貝返回給WEB服務器，服務器用這個Cookie來記憶用戶和維護一個跨多個頁面的過程影像。Cookie不能用來竊取關于用戶或用戶計算機系統(tǒng)的信息，它們只能在某種程度上存儲用戶的信息，如計算機名字、IP地址、瀏覽器名稱和訪問的網(wǎng)頁的URL等。所以，Cookie是相對安全的。2.2.3對通信信道的安全威脅Internet是連接Web客戶機和服務器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對信道進行偵聽，竊取機密信息，存在著對保密性的安全威脅。未經(jīng)授權的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對信息完整性的安全威脅。此外，還有像利用拒絕服務攻擊，向網(wǎng)站服務器發(fā)送大量請求造成主機無法及時響應而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道，使網(wǎng)絡的速度便緩慢。2.3 WEB的安全防護對策2.3.1物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。2.3.2 訪問控制策略訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制策略主要包括入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制和防火墻控制。2.3.3 信息加密策略信息加密的目的是保護Web服務的數(shù)據(jù)、文件、密碼和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡情況酌情選擇上述加密方式。2.3.4 安全管理策略在網(wǎng)絡安全中，除了采用上述技術措施之外，加強網(wǎng)絡的安全管理，制定有關規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。三、WEB服務器安全防護策略的應用這里以目前應用較多的Windows2000平臺和IIS的Web服務器為例簡述Web服務器端安全防護的策略應用。3.1系統(tǒng)安裝的安全策略安裝Windows2000系統(tǒng)時不要安裝多余的服務和多余的協(xié)議，因為有的服務存在有漏洞，多余的協(xié)議會占用資源。安裝Windows2000后一定要及時安裝補丁程序（W2KSP4_CN.exe），立刻安裝防病毒軟件。3.2系統(tǒng)安全策略的配置通過“本地安全策略”限制匿名訪問本機用戶、限制遠程用戶對光驅或軟驅的訪問等。通過“組策略”限制遠程用戶對Netmeeting的桌面共享、限制用戶執(zhí)行Windows安裝任務等安全策略配置。3.3 IIS安全策略的應用在配置Internet信息服務（IIS）時，不要使用默認的Web站點，刪除默認的虛擬目錄映射；建立新站點，并對主目錄權限進行設置。一般情況下設置成站點管理員和Administrator兩個用戶可完全控制，其他用戶可以讀取文件。3.4審核日志策略的配置當Windows 2000出現(xiàn)問題的時候，通過對系統(tǒng)日志的分析，可以了解故障發(fā)生前系統(tǒng)的運行情況，作為判斷故障原因的根據(jù)。一般情況下需要對常用的用戶登錄日志，HTTP和FTP日志進行配置。3.4.1設置登錄審核日志審核事件分為成功事件和失敗事件。成功事件表示一個用戶成功地獲得了訪問某種資源的權限，而失敗事件則表明用戶的嘗試失敗。3.4.2設置HTTP審核日志通過“Internet服務管理器”選擇Web站點的屬性，進行設置日志的屬性，可根據(jù)需要修改日志的存放位置。3.4.3設置FTP審核日志設置方法同HTTP的設置基本一樣。選擇FTP站點，對其日志屬性進行設置，然后修改日志的存放位置。3.5網(wǎng)頁發(fā)布和下載的安全策略因為Web服務器上的網(wǎng)頁，需要頻繁進行修改。因此，要制定完善的維護策略，才能保證Web服務器的安全。有些管理員為方便起見，采用共享目錄的方法進行網(wǎng)頁的下載和發(fā)布，但共享目錄方法很不安全。因此，在Web服務器上要取消所有的共享目錄。網(wǎng)頁的更新采用FTP方法進行，選擇對該FTP站點的訪問權限有“讀取、寫入”權限。對FTP站點屬性的“目錄安全性”在“拒絕訪問”對話框中輸入管理維護工作站的IP地址，限定只有指定的計算機可以訪問該FTP站點，并只能對站點目錄進行讀寫操作。四、我的研究內(nèi)容主要從三個模塊來設計與實現(xiàn)WEB安全掃描，模塊分解下圖所示： WEB服務器安全掃描WEB服務器本身漏洞WEB服務器端運行的腳本風險WEB服務器危險和錯誤配置本分布式網(wǎng)絡安全評估系統(tǒng)主要涉及到操作系統(tǒng)掃描、系統(tǒng)文件掃描、瀏覽器掃描、進程掃描、WEB服務器安全掃描、Windows服務的掃描、注冊表的掃描、共享文件的掃描、驅動的掃描、應用程序的掃描及其其他漏洞掃描，共11個模塊。我所研究的內(nèi)容是該系統(tǒng)中的一部分，及WEB服務器安全掃描，主要從以上三個模塊來研究和實現(xiàn)WEB服務器安全掃描，通過掃描系統(tǒng)的實現(xiàn)來加強WEB服務器的完全。五、總結隨著WEB的迅速普及，安全已不容忽視。從普通的瀏覽器到WEB服務器，安全問題都一直貫穿著。正確看待WEB的安全問題，對自身有著很重要的作用。現(xiàn)在是一個互聯(lián)網(wǎng)的時代，很多的事情都是通過網(wǎng)絡來處理的，沒有一個安全的保證是有很大風險的。本文闡述了國內(nèi)外對WEB安全的研究現(xiàn)狀和掃描系統(tǒng)的研究現(xiàn)狀，從WEB安全的定義入手論述到WEB所面臨的威脅，針對WEB所面臨的威脅給出了相應的安全防護措施，并著重介紹了WEB服務器端的安全防護措施，采取有效的防護措施來增強服務器的安全性。六、參考文獻1 張國祥.基于Apache的Web安全技術的應用研究J.武漢理工大學學報，2004，(3).2 單歐.SSL在web安全中的應用J.信息網(wǎng)絡安全，2004，（6）.3 孔凡飛.基于WS Security的電子商務Web服務安全的概要設計D杭州:浙江大學,20030201：25