計(jì)算機(jī)網(wǎng)絡(luò)教程第5章課件_第1頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)教程第5章課件_第2頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)教程第5章課件_第3頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)教程第5章課件_第4頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)教程第5章課件_第5頁(yè)
已閱讀5頁(yè),還剩42頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第5章 Web安全5.1 Web技術(shù)簡(jiǎn)介5.2 Web的安全需求5.3 Web服務(wù)器安全策略5.4 Web瀏覽器安全策略5.5 Web站點(diǎn)安全八要素5.6 小結(jié)第1頁(yè),共47頁(yè)。網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全的具體含義從不同角度有不同的內(nèi)容。網(wǎng)絡(luò)安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問(wèn)題。其重要性,正隨著全球信息化步伐的加快而變得越來(lái)越重要。安全問(wèn)題刻不容緩。第2頁(yè),共47頁(yè)。20世紀(jì)80年代末,Berners-Lee和他的助手創(chuàng)建了一個(gè)從各種各樣

2、資源中鏈接信息的接口。最終的結(jié)果是定義了URL、HTTP和HTML等規(guī)范,而WWW(World Wide Web)就基于此。今天,Web技術(shù)可使用戶創(chuàng)建格式化的信息頁(yè)面,而這些頁(yè)面又可“鏈接”到其他信息頁(yè)面并訪問(wèn)整個(gè)網(wǎng)絡(luò)。簡(jiǎn)言之,Web是可通過(guò)Web瀏覽器訪問(wèn)的信息集合。第一個(gè)重要的Web瀏覽器是Mosaic。當(dāng)前,Netscape Navigator和Microsoft Internet Explorer共執(zhí)Web瀏覽器市場(chǎng)之牛耳。5.1 Web技術(shù)簡(jiǎn)介第3頁(yè),共47頁(yè)。除文字外,Web頁(yè)面還包括圖像、聲音、動(dòng)畫(huà)及其他特殊的效果。單獨(dú)的頁(yè)面能被鏈接到其他頁(yè)面,以提供對(duì)附加信息的訪問(wèn)。Web的

3、發(fā)展速度是驚人的?,F(xiàn)實(shí)是Internet 和Web對(duì)于各種安全泄密非常脆弱。因此,各個(gè)機(jī)構(gòu)對(duì)于Web安全的要求在逐漸增加。Web本質(zhì)上是運(yùn)行在Internet和TCP/IP內(nèi)聯(lián)網(wǎng)上的客戶/服務(wù)器應(yīng)用程序。WWW為用戶帶來(lái)世界范圍的超級(jí)文本服務(wù)。此外,WWW還可以為用戶提供傳統(tǒng)的因特網(wǎng)服務(wù),如Telnet、FTP、Gopher、Usernet、News等?;赪eb的開(kāi)發(fā)技術(shù)有Java、XML、Ejb、Enhydra、Jboss、Linux、Mysql等。第4頁(yè),共47頁(yè)。從硬件上來(lái)說(shuō),服務(wù)器是指具有固定的地址,并為網(wǎng)絡(luò)用戶提供服務(wù)的節(jié)點(diǎn),它是實(shí)現(xiàn)資源共享的重要組成部分。服務(wù)器主要有網(wǎng)絡(luò)服務(wù)器、

4、打印服務(wù)器、終端服務(wù)器、磁盤(pán)服務(wù)器和文件服務(wù)器等。它是一種高性能計(jì)算機(jī),作為網(wǎng)絡(luò)的節(jié)點(diǎn),存儲(chǔ)、處理網(wǎng)絡(luò)上80%的數(shù)據(jù)、信息,因此也稱(chēng)為網(wǎng)絡(luò)的靈魂。從軟件的角度上,Web服務(wù)器是駐留在服務(wù)器上的一個(gè)程序,使用超文本傳輸協(xié)議HTTP(hypertext transfer protocol),它和用戶方面的瀏覽器不斷地傳送各種信息。當(dāng)然,還存在著使用其他協(xié)議標(biāo)準(zhǔn)的服務(wù)器,如FTP、GOPHER和5.1.1 Web服務(wù)器第5頁(yè),共47頁(yè)。WAIS等。Web服務(wù)器的作用就是管理WWW的大量信息,處理用戶發(fā)來(lái)的各種請(qǐng)求,將滿足用戶要求的信息返回給用戶。Web服務(wù)器是Internet上最暴露的服務(wù)器。如果說(shuō)

5、用于防止Internet從內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊的防火墻是最重要網(wǎng)絡(luò)安全領(lǐng)域的話,Web服務(wù)器就可以說(shuō)是第二個(gè)需要高度安全的領(lǐng)域了。服務(wù)器安全由幾個(gè)安全區(qū)域組成,安全必須在每一個(gè)區(qū)域得以實(shí)現(xiàn)。(1) 基礎(chǔ)設(shè)施區(qū)。該區(qū)用于定義服務(wù)器在網(wǎng)絡(luò)中的位置。這個(gè)區(qū)域必須能夠防止數(shù)據(jù)竊聽(tīng)、網(wǎng)絡(luò)映射和端口掃描等黑客技術(shù)的威脅。第6頁(yè),共47頁(yè)。(2) 網(wǎng)絡(luò)協(xié)議區(qū)。該區(qū)一般指的是TCP/IP通信。操作系統(tǒng)內(nèi)核對(duì)通信負(fù)責(zé)并保證一個(gè)透明的通信流,因此內(nèi)核必須經(jīng)過(guò)必要的配置。(3) 服務(wù)區(qū)。該區(qū)定義需要哪些服務(wù)。服務(wù)器上最好只配置完成必要操作所必須的服務(wù)。(4) 應(yīng)用區(qū)。為安全起見(jiàn),每個(gè)服務(wù)最好單獨(dú)配置,否則可能被用來(lái)發(fā)送

6、垃圾郵件。(5) 操作系統(tǒng)區(qū)。最后的保護(hù)機(jī)制是操作系統(tǒng)本身。第7頁(yè),共47頁(yè)。Web瀏覽器是一個(gè)安裝在硬盤(pán)上用于閱讀Web信息的客戶端的應(yīng)用軟件,就像一個(gè)字處理程序一樣。通俗地講,把用戶連接到網(wǎng)上并顯示網(wǎng)上有什么的軟件就是瀏覽器是一個(gè)面向WWW的窗口。瀏覽器在很大程度上決定了能看到或不能看到什么,能做或不能做什么。瀏覽器在網(wǎng)絡(luò)上與Web服務(wù)器打交道,從服務(wù)器上下載文件,把在互聯(lián)網(wǎng)上找到的文本文檔(和其他類(lèi)型的文件)翻譯成網(wǎng)頁(yè)。 HTML是網(wǎng)絡(luò)所基于的格式化語(yǔ)言。瀏覽器的緩存(cache)是另一個(gè)重要的因素。Web瀏覽器有許多種,包括: Mosaic、Netscape Navigator、Net

7、scape Communicator、Internet Explorer和Lynx等。5.1.2 Web瀏覽器第8頁(yè),共47頁(yè)。HTTP(超文本傳輸協(xié)議)是WWW瀏覽器和WWW服務(wù)器之間的應(yīng)用層通信協(xié)議,是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膮f(xié)議。它是C/S(client/server)結(jié)構(gòu)的協(xié)議,允許用戶接收另一臺(tái)計(jì)算機(jī)上的信息。HTTP協(xié)議通過(guò)擴(kuò)展命令,可用于類(lèi)似的任務(wù),如域名服務(wù)或分布式面向?qū)ο笙到y(tǒng)。HTTP會(huì)話過(guò)程包括4個(gè)步驟: 連接、請(qǐng)求、應(yīng)答和關(guān)閉。HTTP協(xié)議是基于TCP/IP之上的協(xié)議,它不僅保證正確傳輸超文本文檔,還確定傳輸文檔中的哪一部分,以及哪部分內(nèi)容首先顯

8、示等。5.1.3 HTTP協(xié)議第9頁(yè),共47頁(yè)。HTML即超文本標(biāo)記語(yǔ)言,是用于創(chuàng)建Web文檔(即Homepage文檔)的編程語(yǔ)言,是WWW的描述語(yǔ)言。HTML文本是由HTML命令組成的描述性文本,HTML命令可以說(shuō)明文字、圖形、動(dòng)畫(huà)、聲音、表格、鏈接等。HTML的結(jié)構(gòu)包括頭部(Head)、主體(Body)兩大部分,其中頭部描述瀏覽器所需的信息,而主體則包含所要說(shuō)明的具體內(nèi)容。設(shè)計(jì)HTML語(yǔ)言的目的是為了能把存放在一臺(tái)計(jì)算機(jī)中的文本或圖形與另一臺(tái)計(jì)算機(jī)中的文本或圖形方便地聯(lián)系在一起,形成有機(jī)的整體。5.1.4 HTML語(yǔ)言第10頁(yè),共47頁(yè)。HTML文檔看起來(lái)與網(wǎng)頁(yè)在瀏覽器上顯示的不同,在屏幕

9、上看到的網(wǎng)頁(yè)是瀏覽器對(duì)HTML文檔的翻譯;所看到的圖像被HTML文檔調(diào)用,但是卻是獨(dú)立的文檔。瀏覽器從HTML代碼中讀取圖像的位置,然后把它們放在網(wǎng)頁(yè)上。同樣,音頻或視頻文件也被HTML文件調(diào)用,然后被瀏覽器組裝。第11頁(yè),共47頁(yè)。CGI(common gateway interface)是一個(gè)連接外部應(yīng)用程序到信息服務(wù)器(比如HTTP或者網(wǎng)絡(luò)服務(wù)器)的標(biāo)準(zhǔn),是連接主頁(yè)和應(yīng)用程序的接口。一般來(lái)說(shuō),CGI標(biāo)準(zhǔn)接口的功能就是在超文本文檔與服務(wù)器應(yīng)用程序之間傳遞信息。通過(guò)提供這樣一個(gè)標(biāo)準(zhǔn)接口,Web服務(wù)器能夠執(zhí)行應(yīng)用程序并將它們的輸出。在物理上,CGI是在Web服務(wù)器端運(yùn)行的一個(gè)可執(zhí)行程序,提供同

10、客戶端 HTML頁(yè)面的接口,由主頁(yè)的一個(gè)熱鏈接激活進(jìn)行調(diào)用,并對(duì)該程序的返回結(jié)果進(jìn)行處理,顯示在主頁(yè)上。HTML語(yǔ)言的功能難以完成諸如訪問(wèn)數(shù)據(jù)庫(kù)等一類(lèi)的操作,CGI就是5.1.5 CGI公共網(wǎng)關(guān)接口第12頁(yè),共47頁(yè)。為了擴(kuò)展主頁(yè)的功能而設(shè)立的。隨后,諸如IDC、ASP、ISAPI、NSAPI等技術(shù)也發(fā)展起來(lái)了??梢杂萌魏我环N熟悉的高級(jí)語(yǔ)言如C、C+、C Shell和VB編程語(yǔ)言來(lái)編寫(xiě)。一個(gè)簡(jiǎn)單的HTML文檔是無(wú)交互的后臺(tái)程序,它是靜態(tài)的,處于一個(gè)不可變的狀態(tài),即文本文件不可以變化。相反地,CGI程序可以實(shí)時(shí)執(zhí)行,它可以輸出動(dòng)態(tài)的信息。目前有幾種信息交互式程序語(yǔ)言不需要在服務(wù)器上執(zhí)行,而可以直

11、接在客戶機(jī)上執(zhí)行并顯示結(jié)果,例如: Java Applet、JavaScript、ActiveX以及VBScript。第13頁(yè),共47頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用,特別是Internet的出現(xiàn),開(kāi)創(chuàng)了計(jì)算機(jī)應(yīng)用的嶄新局面。信息的交互和共享,已經(jīng)突破了國(guó)界,遍及整個(gè)世界。這種互連性和開(kāi)放性給社會(huì)帶來(lái)了極大的效益。同時(shí),入侵者也得到了更多的機(jī)會(huì),他們所造成的危害也波及到了更廣泛的范圍。一個(gè)Web站點(diǎn),只要與Internet相連,就可以被所有人訪問(wèn)。Web的精華是交互性,這也正是它的致命弱點(diǎn)。5.2 Web的安全需求 5.2.1 Web的優(yōu)點(diǎn)與缺點(diǎn)第14頁(yè),共47頁(yè)。世界上不存在沒(méi)有風(fēng)險(xiǎn)的信息服務(wù)

12、。Web安全風(fēng)險(xiǎn)一般分為兩類(lèi),機(jī)密信息被竊取,數(shù)據(jù)和軟硬件系統(tǒng)被破壞。兩類(lèi)風(fēng)險(xiǎn)的危害都不可低估。盡管不可能保證絕對(duì)安全,但是應(yīng)采取一些方法列出在各種情況下可能因?yàn)樾畔⒎?wù)而帶來(lái)的系統(tǒng)不安全性。對(duì)于Web安全風(fēng)險(xiǎn)來(lái)說(shuō),可以細(xì)分為以下幾種類(lèi)型: 1. Web服務(wù)器的信息被破譯Web服務(wù)器的信息(如口令、密匙等)被破譯,最終導(dǎo)致闖入者進(jìn)入服務(wù)器。最常見(jiàn)也是最有效的保護(hù)是使用防火墻來(lái)保護(hù)Web站點(diǎn),防止入侵者的襲擊。5.2.2 Web安全風(fēng)險(xiǎn)與體系結(jié)構(gòu)第15頁(yè),共47頁(yè)。2. Web上的文件被未經(jīng)授權(quán)的個(gè)人訪問(wèn)Web上的文件被未經(jīng)授權(quán)的個(gè)人訪問(wèn),損害了文件的隱私性、機(jī)密性和完整性。所以,必須采取口令、

13、加密和防火墻等措施。3. 信息被截獲當(dāng)遠(yuǎn)程用戶向服務(wù)器傳輸信息時(shí),交易被截獲。在站點(diǎn)上進(jìn)行交易時(shí),可以通過(guò)數(shù)字化簽名,確信該交易是可靠的。4. 系統(tǒng)中的bug系統(tǒng)中的bug,使得黑客可以遠(yuǎn)程對(duì)Web服務(wù)器發(fā)出指令。由此導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和破壞。第16頁(yè),共47頁(yè)。5. 用CGI腳本編寫(xiě)的程序用CGI腳本編寫(xiě)的程序涉及遠(yuǎn)程用戶從瀏覽器中在主機(jī)上直接操作命令時(shí),會(huì)給Web主機(jī)系統(tǒng)造成危險(xiǎn)。盡量避免CGI程序中存在漏洞。Web服務(wù)器軟件和客戶端軟件是一個(gè)大系統(tǒng)的一小部分,這個(gè)系統(tǒng)大都由以下構(gòu)件組成: 客戶端軟件(就是Web瀏覽器)、客戶端的操作系統(tǒng)、客戶端的局域網(wǎng)(LAN)、Internet、服務(wù)器

14、端的局域網(wǎng)(LAN)和服務(wù)器上的Web服務(wù)器軟件。在分析和評(píng)估Web服務(wù)的安全性時(shí)要考慮所有這些成分。它們互相聯(lián)系,每一個(gè)部分都會(huì)影響Web服務(wù)器的安全性,其中安全性最差的決定了給定服務(wù)的安全級(jí)別。第17頁(yè),共47頁(yè)。服務(wù)器端/客戶端是分別針對(duì)網(wǎng)絡(luò)服務(wù)器/網(wǎng)絡(luò)工作站(客戶機(jī))設(shè)計(jì)的,承擔(dān)著對(duì)當(dāng)前服務(wù)器/工作站上病毒的實(shí)時(shí)監(jiān)控、檢測(cè)和清除,自動(dòng)向系統(tǒng)中心報(bào)告病毒監(jiān)測(cè)情況,以及自動(dòng)進(jìn)行升級(jí)的任務(wù)。每次用戶與站點(diǎn)建立連接,他們的客戶機(jī)向服務(wù)器傳送機(jī)器的數(shù)字IP地址。有時(shí),Web站點(diǎn)接到的IP地址可能不是客戶的地址,而是他們的請(qǐng)求所經(jīng)過(guò)的代理服務(wù)器的地址。服務(wù)器看到的是代表客戶所要文檔的服務(wù)器的地址。

15、使用HTTP協(xié)議,客戶也可以向Web服務(wù)器表明發(fā)出請(qǐng)求的用戶名。5.2.3 Web的安全需求第18頁(yè),共47頁(yè)。如果不要求服務(wù)器獲得這類(lèi)消息,服務(wù)器首先會(huì)將數(shù)字IP地址轉(zhuǎn)換為客戶的域名。為了將IP地址轉(zhuǎn)化為域名,服務(wù)器與一個(gè)域名服務(wù)器聯(lián)系,向它提供這個(gè)IP地址,從那里得到相應(yīng)的域名。通常,如果IP地址設(shè)置不正確,就不能轉(zhuǎn)換。服務(wù)器會(huì)繼續(xù)下一步驟,偽造地址。當(dāng)Web服務(wù)器獲得IP地址和客戶可能的域名,它就開(kāi)始一系列驗(yàn)證手段以決定客戶是否有權(quán)訪問(wèn)他要求的文檔。在這些過(guò)程中,存在著安全漏洞,應(yīng)加強(qiáng)服務(wù)器的安全。第19頁(yè),共47頁(yè)。作為訪問(wèn)網(wǎng)絡(luò)的一扇重要窗口,瀏覽器安全的重要性是不言而喻的。有不少對(duì)計(jì)

16、算機(jī)的攻擊都是利用瀏覽器漏洞而進(jìn)行的??蛻魴C(jī)與站點(diǎn)之間建立聯(lián)系,進(jìn)行數(shù)據(jù)交換,稱(chēng)為傳輸。一般認(rèn)為,Web由傳輸協(xié)議(HTTP)、數(shù)據(jù)格式(HTML)以及瀏覽器(Netscape等)組成。使用協(xié)議、數(shù)據(jù)格式或?yàn)g覽器,無(wú)需任何特別要求。Web擅長(zhǎng)交叉連接,允許使用不同的文本格式、協(xié)議及應(yīng)用程序。信息連接不停地更新、重建與改變,有助于安全的需求。而且也有助于定義所提供服務(wù)的質(zhì)量及傳輸更新。第20頁(yè),共47頁(yè)。Web服務(wù)器上的漏洞有以下幾方面。(1) 在Web服務(wù)器上,客戶得不到要訪問(wèn)的秘密文件、目錄或重要數(shù)據(jù)。(2) 從遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí),特別是信用卡之類(lèi)東西時(shí),中途遭不法分子非法攔截。(3

17、) Web服務(wù)器本身存在一些漏洞,使得一些人能侵入到主機(jī)系統(tǒng),破壞一些重要的數(shù)據(jù),甚至造成系統(tǒng)癱瘓。5.3 Web服務(wù)器安全策略 5.3.1 Web服務(wù)器上的漏洞第21頁(yè),共47頁(yè)。(4) CGI安全方面的漏洞有: 有意或無(wú)意在主機(jī)系統(tǒng)中遺漏bug給非法黑客創(chuàng)造條件;用CGI腳本編寫(xiě)的程序當(dāng)涉及遠(yuǎn)程用戶從瀏覽器中輸入表格(Form),并進(jìn)行檢索(Search index),或form-mail之類(lèi)在主機(jī)上直接操作命令時(shí),會(huì)給Web主機(jī)系統(tǒng)造成危險(xiǎn)。 (5) 還有一些簡(jiǎn)單地從網(wǎng)上下載的Web服務(wù)器,沒(méi)有過(guò)多考慮到一些安全因素,不能用作商業(yè)應(yīng)用。因此,不管是配置服務(wù)器,還是在編寫(xiě)CGI程序時(shí)都要注

18、意系統(tǒng)的安全性。應(yīng)該堵住任何存在的漏洞,創(chuàng)造安全的環(huán)境。從Web服務(wù)器版本上來(lái)看,在1995年3月發(fā)現(xiàn)NCSA1.3以下版本的HTTPD明顯存在安全上的漏洞。NCSA1.4以上版本的服務(wù)器就補(bǔ)上了這個(gè)缺陷。第22頁(yè),共47頁(yè)。安全策略是由個(gè)人或組織針對(duì)安全而制定的一整套規(guī)則和決策。每個(gè)Web站點(diǎn)都應(yīng)有一個(gè)安全策略,這些安全策略因需而異。對(duì)Web服務(wù)提供者來(lái)說(shuō),安全策略的一個(gè)重要的組成是哪個(gè)人可以訪問(wèn)哪些Web文檔,同時(shí)還定義獲權(quán)訪問(wèn)Web文檔的人和使用這些訪問(wèn)的人的有關(guān)權(quán)力和責(zé)任。 安全機(jī)制是實(shí)現(xiàn)安全策略的手段或技術(shù)。必須根據(jù)需要和目標(biāo)來(lái)設(shè)置安全系統(tǒng),估計(jì)和分析風(fēng)險(xiǎn)。定義安全策略,選擇一套安全

19、機(jī)制。首先要做的是威脅分析,主要包括以下幾個(gè)方面:(1) 確定安全保護(hù)的目標(biāo);5.3.2 定制Web服務(wù)器的安全策略和安全機(jī)制第23頁(yè),共47頁(yè)。(2) 研究誰(shuí)會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊;(3) 分析會(huì)有什么樣的威脅;(4) 提出價(jià)格合理的安全機(jī)制。反復(fù)測(cè)試此過(guò)程,隨時(shí)改變其不足之處。具體來(lái)說(shuō),不管是配置服務(wù)器,還是在編寫(xiě) CGI程序時(shí)都要注意系統(tǒng)的安全性。盡量堵住任何存在的漏洞,創(chuàng)造安全的環(huán)境。在具體服務(wù)器設(shè)置及編寫(xiě)CGI程序時(shí)應(yīng)該注意。(1) 禁止亂用從其他網(wǎng)站下載的一些工具軟件,并在沒(méi)有詳細(xì)了解之前盡量不要用root身份注冊(cè)執(zhí)行,以防止某些程序員在程序中設(shè)下的陷阱。(2) 在選用Web服務(wù)器時(shí),應(yīng)

20、考慮到不同服務(wù)器對(duì)安全的要求不一樣。第24頁(yè),共47頁(yè)。(3) 在利用Web中的.htpass來(lái)管理和校驗(yàn)用戶口令時(shí),校驗(yàn)的口令和用戶名不受次數(shù)限制。對(duì)Web服務(wù)器和Web客戶來(lái)說(shuō),最重要的安全提升機(jī)制如下: (1) 主機(jī)和網(wǎng)絡(luò)的配套工具和技術(shù);(2) Web應(yīng)用程序的配置;(3) Web服務(wù)的認(rèn)證機(jī)制;(4) 防火墻;(5) 日志和監(jiān)視。每個(gè)機(jī)制都涉及某種類(lèi)型的系統(tǒng)不安全性,它們相互聯(lián)系。第25頁(yè),共47頁(yè)。大多數(shù)Web服務(wù)器記錄它們收到的每一次連接和訪問(wèn)。一些瀏覽器和服務(wù)器一樣,甚至也能提供如有關(guān)使用中的瀏覽器、URL、客戶從哪里來(lái)以及用戶的E-mail地址等信息。這些記錄對(duì)于分析服務(wù)器的

21、性能,發(fā)現(xiàn)和跟蹤黑客襲擊是很有用的。組織Web服務(wù)器一般包括以下幾個(gè)方面的內(nèi)容: 認(rèn)真選擇Web服務(wù)器設(shè)備和相關(guān)軟件;配置Web服務(wù)器,使用它的訪問(wèn)和安全特性;組織和Web服務(wù)器相關(guān)的內(nèi)容。組織主要包括以下步驟。5.3.3 認(rèn)真組織Web服務(wù)器第26頁(yè),共47頁(yè)。(1) 連機(jī)檢查。檢查源程序,查看連接URL和相應(yīng)的內(nèi)容是否圖文一致,查看URL所提供的內(nèi)容是否和網(wǎng)頁(yè)的描述一致。檢查驅(qū)動(dòng)器和共享的權(quán)限,系統(tǒng)設(shè)為只讀狀態(tài)。(2) 將敏感文件放在基本系統(tǒng)中,再設(shè)二級(jí)系統(tǒng),使所有的敏感數(shù)據(jù)不向Internet開(kāi)放。(3) 充分考慮最糟糕的情況后,配置自己的系統(tǒng),即使黑客完全控制了系統(tǒng),他還要面對(duì)一堵高墻

22、。(4) 檢查HTTP服務(wù)器使用的Applet腳本,尤其是與客戶交互作用的CGI腳本,防止非法用戶惡意使用CGI程序,執(zhí)行內(nèi)部指令,造成破壞。第27頁(yè),共47頁(yè)。安全管理Web服務(wù)器,可以從以下幾個(gè)方面采取一些預(yù)防措施。(1) 限制在Web服務(wù)器開(kāi)賬戶,定期刪除一些短進(jìn)程的用戶。(2) 對(duì)在Web服務(wù)器上開(kāi)的賬戶,在口令長(zhǎng)度及定期更改方面作出要求,防止被盜用。(3) 盡量在不同的服務(wù)器上運(yùn)行不同的服務(wù)。盡量使FTP,mail等服務(wù)器與之分開(kāi),去掉一些無(wú)關(guān)應(yīng)用。(4) 如不需要,盡量關(guān)閉Web服務(wù)器上的特性服務(wù)。(5) 定期查看服務(wù)器中的日志logs文件。5.3.4 安全管理Web服務(wù)器第28頁(yè)

23、,共47頁(yè)。(6) 設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性。(7) 有些Web服務(wù)器把Web的文檔目錄與FTP目錄指在同一目錄,應(yīng)該注意不要把FTP的目錄與CGI-BIN指定在一個(gè)目錄之下。(8) 通過(guò)限制許可訪問(wèn)用戶IP或DNS。另外,許多 Web服務(wù)器本身都存在一些安全上的漏洞,都需要在版本升級(jí)時(shí)不斷解決。無(wú)論多么安全的站點(diǎn),都可能被破壞,都有可能遭到黑客的攻擊。所以,一定要沉著冷靜地處理意外事件。第29頁(yè),共47頁(yè)。1. 從基本做起這是最保險(xiǎn)的方式。將服務(wù)器上含有機(jī)密數(shù)據(jù)的區(qū)域都轉(zhuǎn)換成NTFS格式;防毒程序也必須按時(shí)更新,建議同時(shí)在服務(wù)器和桌面計(jì)算機(jī)上安裝防毒軟件,這些軟件可設(shè)定成每天

24、自動(dòng)下載最新的病毒定義文件。郵件服務(wù)器上也安裝上防毒軟件。另一個(gè)保護(hù)網(wǎng)絡(luò)的好方法是限定使用者登錄網(wǎng)絡(luò)的權(quán)限。 存取網(wǎng)絡(luò)上的任何數(shù)據(jù)都必須通過(guò)密碼登錄。在設(shè)定密碼時(shí),混用大小寫(xiě)字母、數(shù)字和特殊字符。還要設(shè)定定期更新密碼,密碼長(zhǎng)度不得少于8個(gè)字符。5.3.5 Web服務(wù)器的安全措施第30頁(yè),共47頁(yè)。2. 保護(hù)備份最好利用密碼保護(hù)好磁盤(pán),若備份程序支持加密功能,還可以將數(shù)據(jù)進(jìn)行加密。3. 使用RAS的回?fù)芄δ苋绻h(yuǎn)端用戶經(jīng)常是從家里或是固定的地方上網(wǎng),可以使用回?fù)芄δ堋A硪粋€(gè)辦法是限定遠(yuǎn)端用戶只能存取單一服務(wù)器。最后就是在RAS服務(wù)器上使用“另類(lèi)”網(wǎng)絡(luò)協(xié)議。4. 工作站的安全問(wèn)題對(duì)于初學(xué)者,可以在

25、所有工作站上使用Windows 2000,也可以使用Windows NT。這樣就能將工作站鎖定,若沒(méi)有權(quán)限,將很難取得網(wǎng)絡(luò)配置信息。限制使用者只能從特定工作站登錄。第31頁(yè),共47頁(yè)。5. 執(zhí)行最新修補(bǔ)程序在微軟公司內(nèi)部有一組工作人員專(zhuān)門(mén)檢查并修補(bǔ)安全漏洞,這些修補(bǔ)程序(補(bǔ)丁)有時(shí)會(huì)被收集成服務(wù)包(service pack)發(fā)布。 6. 頒布嚴(yán)格的安全政策制定一個(gè)強(qiáng)有力的安全策略,確保每一個(gè)人都了解,并強(qiáng)制執(zhí)行。7. 檢查防火墻仔細(xì)檢查防火墻的設(shè)置。不要公布非必要的IP地址。要查看所有的通信端口,確定不常用的已經(jīng)全部關(guān)閉。第32頁(yè),共47頁(yè)。隨著電子商務(wù)的出現(xiàn),人們開(kāi)發(fā)了各種跟蹤用戶活動(dòng)的方法

26、,其中有兩種關(guān)鍵方法是通過(guò)Web瀏覽器實(shí)現(xiàn)的。(1) IP地址和緩沖(cache)窺探。用戶每次訪問(wèn)Web服務(wù)器時(shí)都將留下痕跡。這個(gè)痕跡在不同的服務(wù)器上以不同的方法記錄下來(lái),包括訪問(wèn)者的IP地址,用戶主機(jī)名,甚至用戶名。(2) Cookie。Cookie可以用來(lái)定制個(gè)性化空間。Cookie還可以用來(lái)記錄站點(diǎn)軌跡。5.4 Web瀏覽器安全策略第33頁(yè),共47頁(yè)。瀏覽器中使用的協(xié)議有HTTP、FTP、GOPHER、WAIS等,還包括NNTP和SMTP協(xié)議。當(dāng)用戶使用瀏覽器時(shí),實(shí)際上是在申請(qǐng)HTTP等服務(wù)器。這些服務(wù)器都存在漏洞,是不安全的。瀏覽器一般只能理解一些基本的數(shù)據(jù)格式,對(duì)其他的數(shù)據(jù)格式,瀏

27、覽器要通過(guò)外部程序來(lái)觀察。這樣,就引入了一些不安全的因素。因此可采取以下措施:(1) 不是默認(rèn)的外部程序要多加注意;(2) 不要允許危險(xiǎn)的外部程序進(jìn)入站點(diǎn);(3) 不要隨便地增加外部程序;(4) 不要輕信陌生人的建議而隨便修改外部程序的配置。5.4.1 瀏覽器自動(dòng)引發(fā)的應(yīng)用第34頁(yè),共47頁(yè)?,F(xiàn)在網(wǎng)絡(luò)上有很多網(wǎng)站,只要連接到它的頁(yè)面上,不是IE首頁(yè)被改就是IE的某些選項(xiàng)被禁用了。一些網(wǎng)頁(yè)上的惡意代碼還可以格式化或刪除C: 盤(pán)。它的主要行為如下。(1) 肆意篡改 IE 瀏覽器的標(biāo)題。(2) 肆意篡改 IE 瀏覽器的默認(rèn)首頁(yè)。(3) 禁止Internet 選項(xiàng)、禁止 IE 右鍵菜單的彈出或者右鍵菜

28、單變成灰色無(wú)法使用。(4) 禁止系統(tǒng)核心注冊(cè)表的任何操作。對(duì)于這些惡意修改,可以用網(wǎng)絡(luò)實(shí)名來(lái)將IE修復(fù)到默認(rèn)狀態(tài)。5.4.2 Web頁(yè)面或者下載文件中內(nèi)嵌的惡意代碼第35頁(yè),共47頁(yè)。IE瀏覽器安全漏洞涉及程序IE 6 / Windows XP with all patches installed和IE 5.5,IE 5、IE 5.5和IE 6存在一個(gè)安全漏洞,允許閱讀和發(fā)送用戶的本地文件。Microsoft 發(fā)布 MS02-005 號(hào)安全公告,公布了 Internet Explorer存在6個(gè)新的安全漏洞,并提供了相應(yīng)補(bǔ)丁。2003年12月2日,微軟應(yīng)用系統(tǒng)平臺(tái)又出現(xiàn)4個(gè)重大漏洞,其中Int

29、ernet Explorer 瀏覽器的“MHTML文件重定向并執(zhí)行漏洞”、“非法ContentTyep緩沖目錄位置泄露漏洞”、“Window.MoveBy/Method緩沖鼠標(biāo)點(diǎn)擊劫持漏洞”最具普遍性。5.4.3 瀏覽器本身的漏洞及泄露的敏感信息第36頁(yè),共47頁(yè)。為了減小危害,建議的應(yīng)對(duì)措施是關(guān)閉Internet Explorer瀏覽器中的Active腳本??梢栽贗nternet Explorer瀏覽器中執(zhí)行“工具”|“選項(xiàng)”命令,在彈出的對(duì)話框中選取“安全”選項(xiàng)卡,點(diǎn)擊“默認(rèn)級(jí)別”按鈕,確認(rèn)IE設(shè)置安全級(jí)為“中級(jí)”及以上,最后點(diǎn)擊“確定”按鈕完成設(shè)置。另外,MHTML文件重定向并執(zhí)行漏洞在

30、Outlook Express中更容易被利用,可以在不打開(kāi)郵件的情況下自動(dòng)下載并執(zhí)行網(wǎng)絡(luò)上的惡意程序。建議將Outlook Express設(shè)置如下: 執(zhí)行“工具”|“選項(xiàng)”命令,在彈出的菜單中點(diǎn)擊“安全”選項(xiàng)卡,將“選擇要使用的 Internet Explorer 安全區(qū)域”設(shè)置為“受限站點(diǎn)區(qū)域(較安全)”。第37頁(yè),共47頁(yè)。1. E-mail欺騙E-mail欺騙表現(xiàn)形式有所不同,但原理相同。通常是騙用戶進(jìn)行一個(gè)毀壞性的操作或暴露其敏感信息。E-mail欺騙會(huì)制造安全漏洞。 (1) E-mail宣稱(chēng)來(lái)自于系統(tǒng)管理員,要求用戶將他們的口令改變?yōu)樘囟ǖ淖执?。那么用戶?yīng)該了解,任何MIS人員都不會(huì)

31、用E-mail發(fā)出這樣的要求。(2) 由于簡(jiǎn)單的郵件傳輸協(xié)議(STMP)沒(méi)有驗(yàn)證系統(tǒng),偽造E-mail十分方便。應(yīng)該花一定的時(shí)間來(lái)查看E-mail錯(cuò)誤信息,其中會(huì)經(jīng)常有闖入者的線索。5.4.4 Web 欺騙第38頁(yè),共47頁(yè)。2. IP電子欺騙IP電子欺騙就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。即用一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器,以達(dá)到蒙混過(guò)關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。IP電子欺騙通常都要用編寫(xiě)的程序,發(fā)送帶有假冒的IP地址的IP數(shù)據(jù)包,來(lái)達(dá)到自己的目的。在現(xiàn)有的網(wǎng)上,也有大量的可以發(fā)送偽造的IP地址的工具可以使用。防范IP電子欺騙可以采用以下措施。(1) 在局部網(wǎng)絡(luò)的對(duì)

32、外路由器上加一個(gè)限制條件,只要在路由器中設(shè)置一個(gè)不允許聲稱(chēng)來(lái)自于內(nèi)部網(wǎng)絡(luò)的外來(lái)包通過(guò)即可。第39頁(yè),共47頁(yè)。(2) 注意與外部網(wǎng)絡(luò)相連的路由器,看它是否支持內(nèi)部接口。如果路由器支持內(nèi)部網(wǎng)絡(luò)子網(wǎng)的兩個(gè)接口,就要警惕,因?yàn)樗菀资盏絀P欺騙。(3) 通過(guò)對(duì)包的監(jiān)控來(lái)檢查IP欺騙。用netlog或類(lèi)似的包監(jiān)控工具來(lái)檢查外接口上包的情況,如發(fā)現(xiàn)包的兩個(gè)地址即源地址和目的地址都是本地域地址,就意味有人試圖攻擊系統(tǒng)。(4) 安裝一個(gè)過(guò)濾路由器來(lái)限制對(duì)外部接口的訪問(wèn),禁止帶有內(nèi)部資源地址包通過(guò)。還要禁止(過(guò)濾)帶有不同于內(nèi)部資源地址的內(nèi)部包通過(guò)路由器到別的網(wǎng)上去,這樣就可以防止內(nèi)部的用戶對(duì)別的站點(diǎn)進(jìn)行IP

33、欺騙。第40頁(yè),共47頁(yè)。上網(wǎng)離不開(kāi)瀏覽器,瀏覽網(wǎng)頁(yè)時(shí)的安全性能非常重要。微軟的新一代瀏覽器IE 6.0因?yàn)椴捎瞄_(kāi)放的標(biāo)準(zhǔn)并加強(qiáng)了對(duì)Cookie的管理而受到普遍歡迎。從理論上看,能更安全地訪問(wèn)網(wǎng)頁(yè)。如果訪問(wèn)的網(wǎng)頁(yè)不符合指定的最低安全要求,將在任務(wù)欄上發(fā)出警告。一般而言,IE 6.0的安全使用及設(shè)置技巧有以下幾條。(1) 屏蔽惡意網(wǎng)站,通過(guò)IE 6.0的Cookie策略,個(gè)性化地設(shè)定瀏覽網(wǎng)頁(yè)時(shí)的Cookie規(guī)則,更好地保護(hù)自己的信息,增加使用IE的安全性。5.4.5 Web瀏覽器的安全使用第41頁(yè),共47頁(yè)。(2) 有效保護(hù)IE的首頁(yè)和工具欄,經(jīng)常清除已瀏覽網(wǎng)址(URL) ,清除已訪問(wèn)網(wǎng)頁(yè)。(3) 使用智能過(guò)濾控件,經(jīng)常清除已瀏覽網(wǎng)址(URL)和已訪問(wèn)網(wǎng)頁(yè),禁用或限制使用Java、Java小程序腳本、ActiveX控件和插件。(4) 調(diào)整自動(dòng)完成功能的設(shè)置,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論