資源描述:
《高中信息技術(shù)教學(xué)論文Web的安全威脅與安全防護(hù)》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、Web的安全威脅與安全防護(hù)摘要文章對(duì)Web的安全威脅進(jìn)行分析��,提出了Web安全防護(hù)措施�����,并基于Windows平臺(tái)簡(jiǎn)述了一個(gè)Web安全防護(hù)策略的具體應(yīng)用���。關(guān)鍵詞Web���;網(wǎng)絡(luò)安全;安全威脅�����;安全防護(hù)1引言隨著Internet的普及���,人們對(duì)其依賴也越來(lái)越強(qiáng)���,但是由于Internet的開放性,及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的安全考慮不完備�����,造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮���,給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩�。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù)���,Web站點(diǎn)被黑客入侵的事件屢有發(fā)生����,Web安全問(wèn)題已引起人們的極大重視。26用心愛(ài)心專心W
2�、eb的安全威脅來(lái)自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣,依照Web訪問(wèn)的結(jié)構(gòu)��,可將其分類為對(duì)Web服務(wù)器的安全威脅��、對(duì)Web客戶機(jī)的安全威脅和對(duì)通信信道的安全威脅三類���。2.1對(duì)Web服務(wù)器的安全威脅對(duì)于Web服務(wù)器��、服務(wù)器的操作系統(tǒng)�、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞���,惡意用戶都有可能利用這些漏洞去獲得重要信息�。Web服務(wù)器上的漏洞可以從以下幾方面考慮:2.1.16用心愛(ài)心專心在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)(如存放用戶名���、口令的文件)放置在不安全區(qū)域�,被入侵后很容易得到��。2.1.2在Web數(shù)據(jù)庫(kù)中,保存的有價(jià)值信息(如商業(yè)機(jī)密數(shù)據(jù)���、用戶信息等),如果數(shù)據(jù)庫(kù)安全
3�、配置不當(dāng),很容易泄密�。2.1.3Web服務(wù)器本身存在一些漏洞,能被黑客利用侵入到系統(tǒng)�����,破壞一些重要的數(shù)據(jù)����,甚至造成系統(tǒng)癱瘓。2.1.4程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件�����。用CGI腳本編寫的程序中的自身漏洞�。2.2對(duì)Web客戶機(jī)的安全威脅現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用,活動(dòng)內(nèi)容的不安全性是造成客戶端的主要威脅���。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶透明的程序�,它可以完成一些動(dòng)作,顯示動(dòng)態(tài)圖像��、下載和播放音樂(lè)�、視頻等。當(dāng)用戶使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí)����,這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶機(jī)上運(yùn)行,如果這些程序被惡意使用�����,可以竊取
4��、���、改變或刪除客戶機(jī)上的信息��。主要用到JavaApplet和ActiveX技術(shù)�����。JavaApplet使用Java語(yǔ)言開發(fā)���,隨頁(yè)面下載����,Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng)�,它不會(huì)訪問(wèn)系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實(shí)上JavaApplet存在安全漏洞�,可能被利用進(jìn)行破壞。ActiveX是微軟的一個(gè)控件技術(shù)�,它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序���,可以由微軟支持的多種語(yǔ)言開發(fā)但只能運(yùn)行在Windows平臺(tái)�����。ActiveX在安全性上不如Java6用心愛(ài)心專心Applet�����,一旦下載����,能像其他
5����、程序一樣執(zhí)行��,訪問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源�����,這是非常危險(xiǎn)的�����。Cookie是Netscape公司開發(fā)的����,用來(lái)改善HTTP的無(wú)狀態(tài)性�。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車這樣要在一定時(shí)間內(nèi)記住用戶動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息�,在瀏覽器第一次連接時(shí)由HTTP6用心愛(ài)心專心服務(wù)器送到瀏覽器端,以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器����,服務(wù)器用這個(gè)Cookie來(lái)記憶用戶和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像。Cookie不能用來(lái)竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息�����,它們只能在某種程度上存儲(chǔ)用戶的信息,如計(jì)算機(jī)名字��、IP地址����、瀏覽
6、器名稱和訪問(wèn)的網(wǎng)頁(yè)的URL等�����。所以�����,Cookie是相對(duì)安全的�。2.3對(duì)通信信道的安全威脅Internet是連接Web客戶機(jī)和服務(wù)器通信的信道���,是不安全的���。像Sniffer這樣的嗅探程序,可對(duì)信道進(jìn)行偵聽(tīng)���,竊取機(jī)密信息��,存在著對(duì)保密性的安全威脅�。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容,造成對(duì)信息完整性的安全威脅���。此外�,還有像利用拒絕服務(wù)攻擊��,向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓��,或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道�����,使網(wǎng)絡(luò)的速度便緩慢����。3Web的安全防護(hù)技術(shù)3.1Web客戶端的安全防護(hù)Web客戶端的防護(hù)措施,重點(diǎn)對(duì)Web程序組件的安全
7�����、進(jìn)行防護(hù)����,嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行���。可以在瀏覽器進(jìn)行設(shè)置�����,如MicrosoftInternetExplorer的Internet選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉����。在安全窗口中選擇自定義級(jí)別,將ActiveX組件的相關(guān)選項(xiàng)選為禁用����。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別,也可以根據(jù)需要將c:windowscookie下的所有Cookie相關(guān)文件刪除�。3.2通信信道的安全防護(hù)通信信道的防護(hù)措施,可在安全性要求較高的環(huán)境中����,利用HTTPS協(xié)議替代HTTP協(xié)議��。利用安全套接層協(xié)議SSL保證安全傳輸文件�,SSL通過(guò)在客戶端瀏覽器軟件和
8、Web服務(wù)器之間建立一條安全通信信道�����,實(shí)現(xiàn)信息在Internet中傳送的保密性和
