【文章內容簡介】 人知道 ”的途徑來實現(xiàn)安全 2020年 11月 4日星期三1時 49分 21秒 Web安全 23 ? （ 1） 維護公布信息的真實完整 – 是 Web服務器最基本的要求。 – Web服務器在一定程度上是站點擁有者的代言人 ? （ 2） 維持 Web服務的安全可用 – 要確保用戶能夠獲得 Web服務，防止系統(tǒng)本身可能出現(xiàn)的問題以及他人的惡意的破壞； – 要確保所提供的服務是可信的，尤其是金融或者電子商務的站點。 ? （ 3） 保護 Web訪問者的隱私 – 用戶 IP地址，電子郵件地址，所用計算機名稱，單位名稱，計算機簡單說明，所訪問頁面內容，訪問時間，傳輸數(shù)據(jù)量，甚至個人的信用卡號碼等信息。 ? （ 4） 保證 Web服務器不被入侵者作為“跳板”使用 – 是 Web服務器最基本的要求。 ? Web服務器不能被作為“跳板”來進一步侵入內部網(wǎng)絡； ? 保證 Web服務器不被用作“跳板”來進一步危害其他網(wǎng)絡。 2020年 11月 4日星期三1時 49分 21秒 Web安全 24 Web瀏覽器的安全需求 ? Web瀏覽器 : – 簡單實用 – 功能強大 ? 瀏覽器的用戶的安全問題： – 用戶輕點鼠標， ——精彩的網(wǎng)頁 ——瀏覽器程序已經(jīng)把某些信息傳送給網(wǎng)絡上的某一臺計算機（可能在世界的另一個角落），瀏覽器向它索取網(wǎng)頁，網(wǎng)頁通過網(wǎng)絡傳到瀏覽器計算機中，傳來的內容，有的是瀏覽器用戶需要的，能夠看到的，但是同時還有瀏覽器不能顯示的內容，悄悄的存入瀏覽器計算機的硬盤上，這些不顯示的內容，可能是協(xié)議工作內容，對用戶是透明的，但是也可能是惡作劇代碼，或者是蓄意破壞的代碼，它們會竊取 Web瀏覽器用戶的計算機上的所有可能的隱私，也可能破壞計算機的設備，還可能使得用戶在網(wǎng)上沖浪時誤入歧途。 ? 因此， Web瀏覽器的安全也應該注意保障。 2020年 11月 4日星期三1時 49分 21秒 Web安全 25 用戶 Web安全需求 ? ?確保運行瀏覽器的系統(tǒng)不被病毒或者木馬或者其他惡意程序侵害而遭受破壞； ? 確保個人安全信息不外泄； ? 確保所交互的站點的真實性。以免得被騙，遭受損失。 2020年 11月 4日星期三1時 49分 21秒 Web安全 26 Web傳輸?shù)陌踩枨? ? 保證傳輸方（信息）的真實性： – 要求所傳輸?shù)臄?shù)據(jù)包必須是發(fā)送方發(fā)出的，而不是他人偽造的； ? 保證傳輸信息的完整性： – 要求所傳輸?shù)臄?shù)據(jù)包完整無缺，當數(shù)據(jù)包被刪節(jié)或被篡改時，有相應的檢查辦法。 ? 特殊的安全性較高的 Web，需要傳輸?shù)谋Ｃ苄裕? – 敏感信息必須采用加密方式傳輸，防止被截獲而泄密； ? 認證應用的 Web，需要信息的不可否認性： – 對于那種身份認證要求較高的 Web應用，必須有識別發(fā)送信息是否為發(fā)送方所發(fā)的方法； ? 對于防偽要求較高的 Web應用，保證信息的不可重用性： – 努力做到信息即使被中途截取，也無法被再次使用。 2020年 11月 4日星期三1時 49分 21秒 Web安全 27 第 3節(jié) Web服務器安全策略 ? 定制安全政策 ? 認真組織 Web服務器 ? 跟蹤最新安全指南 ? 意外事件的處理 2020年 11月 4日星期三1時 49分 21秒 Web安全 28 定制安全政策 ? 1． 定義安全資源，進行重要等級劃分 ? 2． 進行安全風險評估 ? 3． 制定安全策略的基本原則 ? 4． 建立安全培訓制度 ? 5． 具有意外事件處理措施 2020年 11月 4日星期三1時 49分 21秒 Web安全 29 認真組織 Web服務器 ?服務器的安全策略，有很多內容， ?簡單說明幾個必須的內容 : 2020年 11月 4日星期三1時 49分 21秒 Web安全 30 1． 認真選擇 Web服務器設備和相關軟件 ? 對于 Web服務器，最顯著的性能要求是響應時間和吞吐率。其中，典型的功能包括： – 提供靜態(tài)頁面和多種動態(tài)頁面的能力； – 接受和處理用戶信息的能力； – 提供站點搜索服務的能力； – 遠程管理的能力。 ? 而典型的安全方面的要求包括： – 在已知的 Web服務器漏洞中，針對該類型的最少； – 對服務器的管理操作只能由授權用戶執(zhí)行； – 拒絕通過 Web訪問不公開的信息； – 能夠禁止內嵌的不必要的網(wǎng)絡服務； – 能夠控制各種形式的可執(zhí)行程序的訪問； – 能對某些 Web操作進行日志記錄，便于執(zhí)行入侵監(jiān)測和入侵企圖分析； – 能夠具有一定的容錯性 。 2020年 11月 4日星期三1時 49分 21秒 Web安全 31 2． 仔細配置 Web服務器 ?（ 1） 將 Web服務器與內部網(wǎng)絡分隔開來 ?（ 2） 維護安全的 Web站點的拷貝 ?（ 3） 合理配置主機系統(tǒng) ?（ 4） 合理配置 Web服務器軟件 2020年 11月 4日星期三1時 49分 21秒 Web安全 32 （ 1） 將 Web服務器與內部網(wǎng)絡分隔開來 ? Web服務器被入侵的時候，可能的危害有： – Web服務器系統(tǒng)被破壞甚至崩潰； – 入侵者收集敏感信息，如用戶名，口令等； – 入侵者借助入侵的服務器為基礎，進一步破壞其他網(wǎng)絡。 ? 所以，為了避免上述情況，我們應當把 Web服務器隔離開來，可以采用： – 使用智能 HUB或者二層交換機隔離； – 所有內部網(wǎng)絡的交換信息都采用加密方式； – 使用防火墻包過濾功能將 Web服務器和內部網(wǎng)絡隔離； – 使用帶有防火墻功能的三、四層交換機。 2020年 11月 4日星期三1時 49分 21秒 Web安全 33 （ 2） 維護安全的 Web站點的拷貝 ?備份系統(tǒng)是系統(tǒng)管理員的法寶。所以，一般情況下，Web服務器都采用多臺備份機器在服務。但是要保證兩點： – 首先，備份的內容是真實可靠的； – 其次，備份存儲的地方是非常可靠的，安全的。 2020年 11月 4日星期三1時 49分 21秒 Web安全 34 （ 3） 合理配置主機系統(tǒng) ? 主機的操作系統(tǒng)是 Web的直接支撐者，合理地配置主機系統(tǒng)，能夠為 Web服務器提供強健的安全支持。可以從兩個方面考慮： ? ①僅僅提供必要的服務 – 配置軟件簡單，只需考慮一種 Web服務； – 管理人員單一，便于管理； – 用戶訪問方式單一，便于管理； – 訪問日志文件較少，便于審計； – 避免多種服務之間的故障沖突。 ? ②選擇使用必要的輔助工具 ? 選擇輔助工具，簡化主機安全管理 : – UNIX系統(tǒng)的 tcp_wrapper 工具，對系統(tǒng)起到一定的安全保護作用。 2020年 11月 4日星期三1時 49分 21秒 Web安全 35 （ 4） 合理配置 Web服務器軟件 ?