【文章內(nèi)容簡介】 充字節(jié)。在 SSL中，填充后的數(shù)據(jù)長度要達(dá)到密文塊長度的最小整數(shù)倍。而在 TLS中，填充后的數(shù)據(jù)長度可以是密文塊長度的任意整數(shù)倍。 ? 2． TLS 的主要增強(qiáng)內(nèi)容 ? TLS 在 SSL 的基礎(chǔ)上，提供了這些增強(qiáng)內(nèi)容： ? 1）更安全的 MAC算法； ? 2）更嚴(yán)密的警報(bào)； ? 3）“灰色區(qū)域”規(guī)范的更明確的定義； ? 3． TLS 對(duì)于安全性的改進(jìn) ? 1）對(duì)于消息認(rèn)證使用密鑰散列法： TLS 使用“消息認(rèn)證代碼的密鑰散列法”（ HMAC），當(dāng)記錄在開放的網(wǎng)絡(luò)上傳送時(shí)，該代碼確保記錄不會(huì)被變更。 SSL 還提供鍵控消息認(rèn)證，但 HMAC 比 SSL 使用的 MAC 功能更安全。 ? 2）增強(qiáng)的偽隨機(jī)功能（ PRF）： PRF 使用兩種散列算法，以這種方式保證其安全性。如果任一算法暴露了，只要第二種算法未暴露，則數(shù)據(jù)仍然是安全的。 ? 3）改進(jìn)的已完成消息驗(yàn)證： TLS 將此已完成消息基于 PRF 和 HMAC 值之上，這也比 SSL 更安全。 ? 4）一致證書處理：與 SSL 不同， TLS 試圖指定必須在 TLS 實(shí)現(xiàn)之間交換的證書類型。 ? 5）特定警報(bào)消息： TLS 提供更多的特定和附加警報(bào)，以指示任一會(huì)話端點(diǎn)檢測到的問題。TLS 還對(duì)何時(shí)應(yīng)該發(fā)送某些警報(bào)進(jìn)行記錄。 Web服務(wù)器安全 ? 1． Web服務(wù)器存在的漏洞 ? 一般說來， Web服務(wù)器上可能存在的漏洞有： ? 1） Web服務(wù)器因各種原因而不能返回客戶要訪問的秘密文件、目錄或重要數(shù)據(jù)。 ? 2）遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí)，特別是像信用卡之類的重要信息時(shí)，中途遭不法分子非法攔截。 ? 3）入侵者可能突破 Web服務(wù)器本身存在的一些漏洞，破壞其中的一些重要數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。 Web服務(wù)器的安全策略 ? 4） CGI（ Common Gateway Interface，公共網(wǎng)關(guān)接口）安全方面存在的漏洞。 CGI是 Web信息服務(wù)與外部應(yīng)用程序之間交換數(shù)據(jù)的標(biāo)準(zhǔn)接口。它具有兩個(gè)功能：收集從 Web瀏覽器發(fā)送給 Web服務(wù)器的信息，并且把這些信息傳送給外部程序；把外部程序的輸出作為 Web服務(wù)器對(duì)發(fā)送信息的 Web瀏覽器的響應(yīng)，送給該Web瀏覽器。 ? CGI可能的漏洞有：用 CGI腳本編寫的程序在涉及遠(yuǎn)程用戶從瀏覽器中輸入表單或進(jìn)行檢索（ Search index）時(shí)，會(huì)給 Web主機(jī)系統(tǒng)造成危險(xiǎn)。 ? 2． Web服務(wù)器的安全策略和安全機(jī)制 ? Web服務(wù)器的安全策略是由個(gè)人或組織針對(duì)安全而制定的一整套規(guī)則和決策。每個(gè) Web站點(diǎn)都應(yīng)有一個(gè)安全策略，這些安全策略因需求的不同而各不相同。對(duì) Web服務(wù)提供者來說，安全策略的一個(gè)重要的組成是哪些人可以訪問哪些 Web文檔，同時(shí)還定義獲權(quán)訪問 Web文檔的人和使用這些訪問的人的有關(guān)權(quán)力和責(zé)任。 ?安全機(jī)制是實(shí)現(xiàn)安全策略的技術(shù)或手段。必須根據(jù)需要和目標(biāo)來設(shè)置安全系統(tǒng)，估計(jì)和分析可能的風(fēng)險(xiǎn)。定義安全策略，選擇一套安全機(jī)制，首先要做的是威脅分析，主要包括以下幾個(gè)方面： ? 1）有多少外部入口點(diǎn)存在？有哪些威脅？ ? 2）研究誰會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生威脅：威脅來自黑客，還是訓(xùn)練有素的有知識(shí)的入侵者，還是來自工業(yè)間諜？ ? 3）分析會(huì)有什么樣的威脅：入侵者訪問哪些數(shù)據(jù)庫、表、目錄或信息？威脅是網(wǎng)絡(luò)內(nèi)部的非授權(quán)使用，還是移動(dòng)數(shù)據(jù)？ ? 4）數(shù)據(jù)是遭受到了破壞，還是受到了攻擊？攻擊是網(wǎng)絡(luò)內(nèi)、外的非授權(quán)訪問，還是地址欺騙、 IP欺騙及協(xié)議欺騙等？ ? 5）確定安全保護(hù)的目標(biāo)； ? 6）提出價(jià)格合理的安全機(jī)制。 ?具體來說，不管是配置服務(wù)器，還是在編寫CGI程序時(shí)都要注意系統(tǒng)的安全性。在具體服務(wù)器設(shè)置及編寫 CGI程序時(shí)應(yīng)該注意以下幾點(diǎn)： ? 7）禁止亂用從其他網(wǎng)站下載的一些工具軟件，并在沒有詳細(xì)了解之前盡量不要用 root身份注冊(cè)執(zhí)行，以防止某些程序員在程序中設(shè)下的陷阱。 ? 8）在選用 Web服務(wù)器時(shí)，應(yīng)考慮到不同服務(wù)器對(duì)安全的要求不一樣。 ? 9）在利用 Web中的 .htpass來管理和校驗(yàn)用戶口令時(shí)，校驗(yàn)的口令和用戶名不受次數(shù)限制。 ?對(duì) Web服務(wù)器和 Web客戶來說，最重要的安全提升機(jī)制如下： ? 10）主機(jī)和網(wǎng)絡(luò)的配套工具和技術(shù)； ? 11） Web應(yīng)用程序的配置； ? 12） Web服務(wù)的認(rèn)證機(jī)制； ? 13）防火墻； ? 14）日志和監(jiān)視。 ?每種機(jī)制都涉及某種類型系統(tǒng)的安全性，并且它們之間是相互聯(lián)系的。 ? 3．組織 Web服務(wù)器 ?大多數(shù) Web服務(wù)器都會(huì)記錄它們收到的每一次連接和訪問。這個(gè)記錄一般包括 IP地址和主機(jī)名。如果站點(diǎn)采取一些形式的驗(yàn)證系統(tǒng)，服務(wù)器也會(huì)記錄用戶名。如果用戶在逗留期間填寫任何表格，該表格下所有變量的值都會(huì)被記錄在案。包括請(qǐng)求的狀態(tài)、傳遞數(shù)據(jù)的大小、用戶 Email地址等。 ?組織 Web服務(wù)器一般包括以下幾個(gè)方面的內(nèi)容：認(rèn)真選擇 Web服務(wù)器設(shè)備和相關(guān)軟件；配置Web服務(wù)器，使用它的訪問和安全特性；組織和 Web服務(wù)器相關(guān)的內(nèi)容。組織主要包括以下步驟： ? 1）連機(jī)檢查。檢查源程序，查看連接 URL和相應(yīng)的內(nèi)容是否圖文一致，查看 URL所提供的內(nèi)容是否和網(wǎng)頁的描述一致。 ? 2）檢查 HTTP服務(wù)器使用的 Applet腳本，尤其是與客戶交互作用的 CGI腳本，防止非法用戶惡意使用 CGI程序，執(zhí)行內(nèi)部指令，對(duì)Web 服務(wù)器造成破壞。 ? 3）充分考慮最糟糕的情況后，配置自己的系統(tǒng)。 ? 4）將敏感文件放在基本系統(tǒng)中，再設(shè)二級(jí)系統(tǒng)，使所有的敏感數(shù)據(jù)不向 Inter開放。 ? 4．安全管理 Web服務(wù)器 ? 安全管理 Web服務(wù)器，可以從以下幾個(gè)方面采取一些預(yù)防措施： ? 1）對(duì)于在 Web服務(wù)器上所開設(shè)的賬戶，應(yīng)在口令長度及修改期限上作出具體要求，防止被盜用。 ? 2）限制在 Web服務(wù)器開賬戶，定期刪除一些短進(jìn)程的用戶。 ? 3）盡量在不同的服務(wù)器上運(yùn)行不同的服務(wù)（如 mail服務(wù)和 Web服務(wù)等）程序。 ? 4）如果不需要，盡量關(guān)閉 Web服務(wù)器上的特性服務(wù)，否則，有可能遭受到該特性所導(dǎo)致的安全威脅。 ? 5）定期查看服務(wù)器中的日志 logs文件，應(yīng)該定期地記錄 Web服務(wù)器的活動(dòng)，分析一切可疑事件。 ? 6）設(shè)置好 Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性，對(duì)可讓人訪問的文檔分配一個(gè)公用的組。 ? 7）有些 Web服務(wù)器把 Web的文檔目錄與 FTP目錄指在同一目錄，應(yīng)該注意不要把 FTP的目錄與 CGIBIN指定在一個(gè)目錄之下。 ? 8）通過限制許可訪問用戶 IP或 DNS。 ? 5． Web服務(wù)器的安全措施 ? 1）從基本做起 ?針對(duì) Web服務(wù)器的安全，我們應(yīng)從最基本的安全措施做起，這是最保險(xiǎn)的安全方式。比如說，將服務(wù)器上含有機(jī)密數(shù)據(jù)的區(qū)域都轉(zhuǎn)換成NTFS格式；防毒程序也必須按時(shí)升級(jí)更新，同時(shí)在服務(wù)器和桌面計(jì)算機(jī)上安裝防毒軟件。 ?另一個(gè)保護(hù)網(wǎng)絡(luò)的好方法是限定使用者登錄網(wǎng)絡(luò)時(shí)的權(quán)限。 ? 2）備份保護(hù) ?利用密碼保護(hù)好備份磁盤，若備份程序支持加密功能，還可以將數(shù)據(jù)進(jìn)行加密。 ? 3）使用 RAS的回?fù)芄δ? ? Windows NT支持服務(wù)器遠(yuǎn)端存?。?remote access service， RAS），但同時(shí)， RAS服務(wù)器對(duì)黑客來說也非常的方便。如果遠(yuǎn)端用戶經(jīng)常是從家里或是固定的地方上網(wǎng)，可以使用回?fù)芄δ埽试S遠(yuǎn)端用戶登錄后即掛斷，然后RAS服務(wù)器會(huì)撥出預(yù)設(shè)的電話號(hào)碼接通用戶，因?yàn)榇穗娫捥?hào)碼已經(jīng)預(yù)先在程序中，