資源描述:
《網(wǎng)站安全的威脅與防護 》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1、網(wǎng)站安全的威脅與防護摘要:對目前日益嚴(yán)峻的網(wǎng)站安全問題進行分析�,提出了網(wǎng)站安全防護措施�,通過基于UNIX和L中的內(nèi)容在屏幕上顯示信息。 1.1.3通訊協(xié)議(HTTP協(xié)議) Web瀏覽器與服務(wù)器之間遵循HTTP協(xié)議進行通訊傳輸��。HTTP(HyperTextTransferProtocol�,超文本傳輸協(xié)議)是分布式的Web應(yīng)用的核心技術(shù)協(xié)議���,在TCP/IP協(xié)議棧中屬于應(yīng)用層。它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁面請求的格式�,以及Web頁面在Inter上的傳輸方式。 1.2服務(wù)器安全威脅 對于Web服務(wù)器���、服務(wù)器的操作系統(tǒng)�����、
2���、數(shù)據(jù)庫服務(wù)器都有可能存在漏洞�����,惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮: Web服務(wù)器操作系統(tǒng)本身存在一些漏洞�����,能被黑客利用侵入到系統(tǒng)�,破壞一些重要文件,甚至造成系統(tǒng)癱瘓���。 Web數(shù)據(jù)庫中安全配置不完整��,存在弱口令或被數(shù)據(jù)庫注入等安全漏洞���,導(dǎo)致數(shù)據(jù)丟失或服務(wù)中斷����。 Web服務(wù)器上的數(shù)據(jù)存儲結(jié)構(gòu)不合理,沒有劃分安全區(qū)域或重要數(shù)據(jù)沒有存放在安全區(qū)域�,導(dǎo)致被侵入�。 Web服務(wù)器上運行的程序存在安全漏洞���,或應(yīng)用程序所需要的權(quán)限過高沒有優(yōu)化�����,容易被黑客侵入����。 1.3客戶端安全威脅 現(xiàn)在網(wǎng)頁中
3、的活動內(nèi)容已被廣泛應(yīng)用����,活動內(nèi)容的不安全性是造成客戶端的主要威脅�。主要用到JavaApplet�、ActiveX、Cookie等技術(shù)都存在不同的安全隱患����。 1.4數(shù)據(jù)傳輸中的安全威脅 Inter是連接Web客戶機和服務(wù)器通信的信道�,是不安全的。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容��,造成對信息完整性的安全威脅。此外����,還有像利用拒絕服務(wù)攻擊,向網(wǎng)站服務(wù)器發(fā)送大量請求造成主機無法及時響應(yīng)而癱瘓��,或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道�,使網(wǎng)絡(luò)的速度便緩慢����。 2WEB安全保護的原則 2.1實用的原則 針對網(wǎng)站架構(gòu)�,網(wǎng)站安全問
4��、題主要分為以下四個方面:服務(wù)器安全�、邊界安全���、Inter和Extra上的安全�,在攻擊行為發(fā)生前�����,做到防患于未然是預(yù)防措施的關(guān)鍵��。 2.2積極預(yù)防的原則 對WEB系統(tǒng)進行安全評估�����,權(quán)衡考慮各類安全資源的價值和對它們實施保護所需要的費用���,通過評估�����,確定不安全情況發(fā)生的幾率�,采用必要的軟硬件產(chǎn)品���,加強網(wǎng)站日常安全監(jiān)控�����。 2.3及時補救的原則 在攻擊事件發(fā)生后盡快恢復(fù)系統(tǒng)的正常運行�,并找出發(fā)生攻擊事件問題的原因���,將損失降至最低�,并研究攻擊發(fā)生后應(yīng)對措施�。3建立安全的ail��、FTP、NFS��、IP轉(zhuǎn)發(fā)等,WindoTP等���。而且����,系統(tǒng)在缺省的情
5、況下自動啟用這些服務(wù)��,或提供簡單易用的配置向?qū)?。為此,在安裝操作系統(tǒng)時����,應(yīng)該只選擇安裝必要的協(xié)議和服務(wù);對于UNIX系統(tǒng)�����,應(yīng)檢查/etc/rc.d/目錄下的各個目錄中的文件�����,刪除不必要的文件����;對于Windows系統(tǒng),應(yīng)刪除沒有用到的網(wǎng)絡(luò)協(xié)議��,不要安裝不必要的應(yīng)用軟件����。一般情況下�,應(yīng)關(guān)閉Web服務(wù)器的IP轉(zhuǎn)發(fā)功能�。 對于專門提供Web信息服務(wù)(含提供虛擬服務(wù)器)的網(wǎng)站,最好由專門的主機(或主機群)作Web服務(wù)器系統(tǒng)�����,對外只提供Web服務(wù)�����,沒有其他任務(wù)����。這樣�,可以保證(1)使系統(tǒng)最好地為Web服務(wù)提供支持;(2)管理人員單一�����,避免發(fā)生管理員之間的合
6��、作不調(diào)而出現(xiàn)安全漏洞的現(xiàn)象���;(3)用戶訪問單一�����,便于控制��;(4)日志文件較少����,減輕系統(tǒng)負(fù)擔(dān)。 對于必須提供其他服務(wù)�,則必須仔細(xì)設(shè)置目錄、文件的訪問權(quán)限�,確保遠(yuǎn)程用戶無法通過Web服務(wù)獲得操作權(quán)限。 3.1.2使用必要的輔助工具�,簡化安全管理 啟用系統(tǒng)的日志(系統(tǒng)帳戶日志和Web服務(wù)器日志)記錄功能。監(jiān)視并記錄訪問企圖是主機安全的一個重要機制�����,以利于提高主機的一致性以及其數(shù)據(jù)保密性�����。 3.2合理配置Web服務(wù)器 在UnixOS中�,以非特權(quán)用戶而不是Root身份運行Web服務(wù)器。 ?���。?)設(shè)置Web服務(wù)器訪問控制��。通過IP地址控制
7�、��、子網(wǎng)域名來控制����,未被允許的IP地址�、IP子網(wǎng)域發(fā)來的請求將被拒絕; ?����。?)通過用戶名和口令限制����。只有當(dāng)遠(yuǎn)程用戶輸入正確的用戶名和口令的時候,訪問才能被正確響應(yīng)���。 ?�。?)用公用密鑰加密方法����。對文件的訪問請求和文件本身都將加密,以便只有預(yù)計的用戶才能讀取文件內(nèi)容��。 3.3設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限 為了安全起見���,管理員應(yīng)對”文檔根目錄“和“服務(wù)器根目錄”做嚴(yán)格的訪問權(quán)限控制���。 服務(wù)器根目錄下存放日志文件、配置文件等敏感信息���,它們對系統(tǒng)的安全至關(guān)重要���,不能讓用戶隨意讀取或刪改。 服務(wù)器根目錄下存放CGI腳本程序����,用戶對這些程
8、序有執(zhí)行權(quán)限�,惡意用戶有可能利用其中的漏洞進行越權(quán)操作。 服務(wù)器根目錄下的某些文件需要由Root來寫或者執(zhí)行�,如Web
