版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
有關(guān)Web的平安威脅和平安防護(hù)
摘要文章對(duì)Web的平安威脅進(jìn)行分析,提出了Web平安防護(hù)辦法,并基于Windows平臺(tái)簡(jiǎn)述了一個(gè)Web平安防護(hù)策略的具體應(yīng)用。
Web;網(wǎng)絡(luò)平安;平安威脅;平安防護(hù)
1引言
隨著Internet的普及,人們對(duì)其依靠也越來(lái)越強(qiáng),但是由于Internet的開(kāi)放性,及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的平安考慮不完備,造成現(xiàn)在網(wǎng)絡(luò)的攻擊和破壞事件層出不窮,給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù),Web站點(diǎn)被黑客入侵的事件屢有發(fā)生,Web平安新問(wèn)題已引起人們的極大重視。
2Web的平安威脅
來(lái)自網(wǎng)絡(luò)上的平安威脅和攻擊多種多樣,依照Web訪問(wèn)的結(jié)構(gòu),可將其分類(lèi)為對(duì)Web服務(wù)器的平安威脅、對(duì)Web客戶(hù)機(jī)的平安威脅和對(duì)通信信道的平安威脅三類(lèi)。
對(duì)Web服務(wù)器的平安威脅
對(duì)于Web服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞,惡意用戶(hù)都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮摘要:
在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)放置在不平安區(qū)域,被入侵后很輕易得到。
在Web數(shù)據(jù)庫(kù)中,保存的有價(jià)值信息,假如數(shù)據(jù)庫(kù)平安配置不當(dāng),很輕易泄密。
服務(wù)器本身存在一些漏洞,能被黑客利用侵入到系統(tǒng),破壞一些重要的數(shù)據(jù),甚至造成系統(tǒng)癱瘓。
程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。用CGI腳本編寫(xiě)的程序中的自身漏洞。
對(duì)Web客戶(hù)機(jī)的平安威脅
現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用,活動(dòng)內(nèi)容的不平安性是造成客戶(hù)端的主要威脅。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶(hù)透明的程序,它可以完成一些動(dòng)作,顯示動(dòng)態(tài)圖像、下載和播放音樂(lè)、視頻等。當(dāng)用戶(hù)使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí),這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶(hù)機(jī)上運(yùn)行,假如這些程序被惡意使用,可以竊取、改變或刪除客戶(hù)機(jī)上的信息。主要用到JavaApplet和ActiveX技術(shù)。
JavaApplet使用Java語(yǔ)言開(kāi)發(fā),隨頁(yè)面下載,Java使用沙盒(Sandbox)根據(jù)平安模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng),它不會(huì)訪問(wèn)系統(tǒng)中規(guī)定平安范圍之外的程序代碼。但事實(shí)上JavaApplet存在平安漏洞,可能被利用進(jìn)行破壞。
ActiveX是微軟的一個(gè)控件技術(shù),它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序,可以由微軟支持的多種語(yǔ)言開(kāi)發(fā)但只能運(yùn)行在Windows平臺(tái)。ActiveX在平安性上不如JavaApplet,一旦下載,能像其他程序一樣執(zhí)行,訪問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源,這是非常危險(xiǎn)的。
Cookie是Netscape公司開(kāi)發(fā)的,用來(lái)改善HTTP的無(wú)狀態(tài)性。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車(chē)這樣要在一定時(shí)間內(nèi)記住用戶(hù)動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息,在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端,以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器,服務(wù)器用這個(gè)Cookie來(lái)記憶用戶(hù)和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像。Cookie不能用來(lái)竊取有關(guān)用戶(hù)或用戶(hù)計(jì)算機(jī)系統(tǒng)的信息,它們只能在某種程度上存儲(chǔ)用戶(hù)的信息,如計(jì)算機(jī)名字、IP地址、瀏覽器名稱(chēng)和訪問(wèn)的網(wǎng)頁(yè)的URL等。所以,Cookie是相對(duì)平安的。
對(duì)通信信道的平安威脅
Internet是連接Web客戶(hù)機(jī)和服務(wù)器通信的信道,是不平安的。像Sniffer這樣的嗅探程序,可對(duì)信道進(jìn)行偵聽(tīng),竊取機(jī)密信息,存在著對(duì)保密性的平安威脅。未經(jīng)授權(quán)的用戶(hù)可以改變信道中的信息流傳輸內(nèi)容,造成對(duì)信息完整性的平安威脅。此外,還有像利用拒絕服務(wù)攻擊,向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓,或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道,使網(wǎng)絡(luò)的速度便緩慢。
3Web的平安防護(hù)技術(shù)
Web客戶(hù)端的平安防護(hù)
Web客戶(hù)端的防護(hù)辦法,重點(diǎn)對(duì)Web程序組件的平安進(jìn)行防護(hù),嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行。可以在瀏覽器進(jìn)行設(shè)置,如MicrosoftInternetExplorer的Internet選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉。在平安窗口中選擇自定義級(jí)別,將ActiveX組件的相關(guān)選項(xiàng)選為禁用。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別,也可以根據(jù)需要將c摘要:“windows“cookie下的所有Cookie相關(guān)文件刪除。
通信信道的平安防護(hù)
通信信道的防護(hù)辦法,可在平安性要求較高的環(huán)境中,利用HTTPS協(xié)議替代HTTP協(xié)議。利用平安套接層協(xié)議SSL保證平安傳輸文件,SSL通過(guò)在客戶(hù)端瀏覽器軟件和Web服務(wù)器之間建立一條平安通信信道,實(shí)現(xiàn)信息在Internet中傳送的保密性和完整性。但SSL會(huì)造成Web服務(wù)器性能上的一些下降。
Web服務(wù)器端的平安防護(hù)
限制在Web服務(wù)器中賬戶(hù)數(shù)量,對(duì)在Web服務(wù)器上建立的賬戶(hù),在口令長(zhǎng)度及定期更改方面作出要求,防止被盜用。
Web服務(wù)器本身會(huì)存在一些平安上的漏洞,需要及時(shí)進(jìn)行版本升級(jí)更新。
盡量使EMAIL、數(shù)據(jù)庫(kù)等服務(wù)器和Web服務(wù)器分開(kāi),去掉無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)。
在Web服務(wù)器上去掉一些不用的如SHELL之類(lèi)的解釋器。
定期查看服務(wù)器中的日志文件,分析一切可疑事件。
設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性。
通過(guò)限制許可訪問(wèn)用戶(hù)IP或DNS。
從CGI編程角度考慮平安。采用編譯語(yǔ)言比解釋語(yǔ)言會(huì)更平安些,并且CGI程序應(yīng)放在獨(dú)立于HTML存放目錄之外的CGI-BIN下等辦法。
4Web服務(wù)器平安防護(hù)策略的應(yīng)用
這里以目前應(yīng)用較多的Windows2000平臺(tái)和IIS的Web服務(wù)器為例簡(jiǎn)述Web服務(wù)器端平安防護(hù)的策略應(yīng)用。
系統(tǒng)安裝的平安策略
安裝Windows2000系統(tǒng)時(shí)不要安裝多余的服務(wù)和多余的協(xié)議,因?yàn)橛械姆?wù)存在有漏洞,多余的協(xié)議會(huì)占用資源。安裝Windows2000后一定要及時(shí)安裝補(bǔ)丁4程序,馬上安裝防病毒軟件。
系統(tǒng)平安策略的配置
通過(guò)“本地平安策略”限制匿名訪問(wèn)本機(jī)用戶(hù)、限制遠(yuǎn)程用戶(hù)對(duì)光驅(qū)或軟驅(qū)的訪問(wèn)等。通過(guò)“組策略”限制遠(yuǎn)程用戶(hù)對(duì)Netmeeting的桌面共享、限制用戶(hù)執(zhí)行Windows安裝任務(wù)等平安策略配置。
平安策略的應(yīng)用
在配置Internet信息服務(wù)時(shí),不要使用默認(rèn)的Web站點(diǎn),刪除默認(rèn)的虛擬目錄映射;建立新站點(diǎn),并對(duì)主目錄權(quán)限進(jìn)行設(shè)置。一般情況下設(shè)置成站點(diǎn)管理員和Administrator兩個(gè)用戶(hù)可完全控制,其他用戶(hù)可以讀取文件。
審核日志策略的配置
當(dāng)Windows2000出現(xiàn)新問(wèn)題的時(shí)候,通過(guò)對(duì)系統(tǒng)日志的分析,可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況,作為判定故障原因的根據(jù)。一般情況下需要對(duì)常用的用戶(hù)登錄日志,HTTP和FTP日志進(jìn)行配置。
設(shè)置登錄審核日志
審核事件分為成功事件和失敗事件。成功事件表示一個(gè)用戶(hù)成功地獲得了訪問(wèn)某種資源的權(quán)限,而失敗事件則表明用戶(hù)的嘗試失敗。
設(shè)置HTTP審核日志
通過(guò)“Internet服務(wù)管理器”選擇Web站點(diǎn)的屬性,進(jìn)行設(shè)置日志的屬性,可根據(jù)需要修改日志的存放位置。
設(shè)置FTP審核日志
設(shè)置方法同HTTP的設(shè)置基本一樣。選擇FTP站點(diǎn),對(duì)其日志屬性進(jìn)行設(shè)置,然后修改日志的存放位置。
網(wǎng)頁(yè)發(fā)布和下載的平安策略
因?yàn)閃eb服務(wù)器上的網(wǎng)頁(yè),需要頻繁進(jìn)行修改。因此,要制定完善的維護(hù)策略,才能保證Web服務(wù)器的平安。有些管理員為方便起見(jiàn),采用共享目錄的方法進(jìn)行網(wǎng)頁(yè)的下載和發(fā)布,但共享目錄方法很不平安。因此,在Web服務(wù)器上要取消所有的共享目錄。網(wǎng)頁(yè)的更新采用FTP方法進(jìn)行,選擇對(duì)該FTP站點(diǎn)的訪問(wèn)權(quán)限有“讀取、寫(xiě)入”權(quán)限。對(duì)FTP站點(diǎn)屬性的“目錄平安性”在“拒絕訪問(wèn)”對(duì)話框中輸入管理維護(hù)工作站的IP地址,限定只有指定的計(jì)算機(jī)可以訪問(wèn)該FTP站點(diǎn),并只能對(duì)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 河北省2020年中考道德與法治真題試卷
- 八年級(jí)物理上學(xué)期第一次月考卷02(考試版A3)【測(cè)試范圍:第1~2章】(人教版2024)
- 八年級(jí)物理第一次月考卷(考試版A3)(陜西專(zhuān)用蘇科版2024第1~2章)
- 河北省邢臺(tái)市橋西區(qū)邢臺(tái)八中2025年高三下學(xué)期強(qiáng)化選填專(zhuān)練(二)語(yǔ)文試題含解析
- 河北省阜城中學(xué)2025屆招生全國(guó)統(tǒng)一考試仿真卷(一)-高考語(yǔ)文試題仿真試題含解析
- IPQC崗位培訓(xùn)資料
- 廣東省郁南縣連灘中學(xué)2025屆高三下學(xué)期3月考試語(yǔ)文試題含解析
- DB54T 0079-2024香菇生產(chǎn)技術(shù)規(guī)程
- 廣東省深圳市福田區(qū)耀華實(shí)驗(yàn)學(xué)校2025屆高三下學(xué)期期末教學(xué)質(zhì)量檢測(cè)試題語(yǔ)文試題含解析
- 福建省廈門(mén)市第六中學(xué)2025屆高三下學(xué)期摸底(期末)考試語(yǔ)文試題含解析
- 西游記三打白骨精劇本
- 乙炔作業(yè)場(chǎng)所安全標(biāo)簽
- 實(shí)驗(yàn)報(bào)告牛頓第二定律
- 第15章 身份認(rèn)證(新)
- 西餐服務(wù)流程與標(biāo)準(zhǔn)
- 歐體楷書(shū)筆畫(huà)臨摹字帖
- 中級(jí)職稱(chēng)論文模板
- 中醫(yī)醫(yī)術(shù)師承人員備案審批表
- 醫(yī)學(xué)細(xì)胞生物學(xué)各章節(jié)習(xí)題及參考答案
- 不動(dòng)產(chǎn)登記申請(qǐng)書(shū)范本.doc
- 時(shí)間管理培訓(xùn)課件(PPT 39頁(yè))
評(píng)論
0/150
提交評(píng)論