【文章內容簡介】 充字節(jié)。在 SSL中，填充后的數(shù)據(jù)長度要達到密文塊長度的最小整數(shù)倍。而在 TLS中，填充后的數(shù)據(jù)長度可以是密文塊長度的任意整數(shù)倍。 ? 2． TLS 的主要增強內容 ? TLS 在 SSL 的基礎上，提供了這些增強內容： ? 1）更安全的 MAC算法； ? 2）更嚴密的警報； ? 3）“灰色區(qū)域”規(guī)范的更明確的定義； ? 3． TLS 對于安全性的改進 ? 1）對于消息認證使用密鑰散列法： TLS 使用“消息認證代碼的密鑰散列法”（ HMAC），當記錄在開放的網(wǎng)絡上傳送時，該代碼確保記錄不會被變更。 SSL 還提供鍵控消息認證，但 HMAC 比 SSL 使用的 MAC 功能更安全。 ? 2）增強的偽隨機功能（ PRF）： PRF 使用兩種散列算法，以這種方式保證其安全性。如果任一算法暴露了，只要第二種算法未暴露，則數(shù)據(jù)仍然是安全的。 ? 3）改進的已完成消息驗證： TLS 將此已完成消息基于 PRF 和 HMAC 值之上，這也比 SSL 更安全。 ? 4）一致證書處理：與 SSL 不同， TLS 試圖指定必須在 TLS 實現(xiàn)之間交換的證書類型。 ? 5）特定警報消息： TLS 提供更多的特定和附加警報，以指示任一會話端點檢測到的問題。TLS 還對何時應該發(fā)送某些警報進行記錄。 Web服務器安全 ? 1． Web服務器存在的漏洞 ? 一般說來， Web服務器上可能存在的漏洞有： ? 1） Web服務器因各種原因而不能返回客戶要訪問的秘密文件、目錄或重要數(shù)據(jù)。 ? 2）遠程用戶向服務器發(fā)送信息時，特別是像信用卡之類的重要信息時，中途遭不法分子非法攔截。 ? 3）入侵者可能突破 Web服務器本身存在的一些漏洞，破壞其中的一些重要數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。 Web服務器的安全策略 ? 4） CGI（ Common Gateway Interface，公共網(wǎng)關接口）安全方面存在的漏洞。 CGI是 Web信息服務與外部應用程序之間交換數(shù)據(jù)的標準接口。它具有兩個功能：收集從 Web瀏覽器發(fā)送給 Web服務器的信息，并且把這些信息傳送給外部程序；把外部程序的輸出作為 Web服務器對發(fā)送信息的 Web瀏覽器的響應，送給該Web瀏覽器。 ? CGI可能的漏洞有：用 CGI腳本編寫的程序在涉及遠程用戶從瀏覽器中輸入表單或進行檢索（ Search index）時，會給 Web主機系統(tǒng)造成危險。 ? 2． Web服務器的安全策略和安全機制 ? Web服務器的安全策略是由個人或組織針對安全而制定的一整套規(guī)則和決策。每個 Web站點都應有一個安全策略，這些安全策略因需求的不同而各不相同。對 Web服務提供者來說，安全策略的一個重要的組成是哪些人可以訪問哪些 Web文檔，同時還定義獲權訪問 Web文檔的人和使用這些訪問的人的有關權力和責任。 ?安全機制是實現(xiàn)安全策略的技術或手段。必須根據(jù)需要和目標來設置安全系統(tǒng)，估計和分析可能的風險。定義安全策略，選擇一套安全機制，首先要做的是威脅分析，主要包括以下幾個方面： ? 1）有多少外部入口點存在？有哪些威脅？ ? 2）研究誰會對網(wǎng)絡產(chǎn)生威脅：威脅來自黑客，還是訓練有素的有知識的入侵者，還是來自工業(yè)間諜？ ? 3）分析會有什么樣的威脅：入侵者訪問哪些數(shù)據(jù)庫、表、目錄或信息？威脅是網(wǎng)絡內部的非授權使用，還是移動數(shù)據(jù)？ ? 4）數(shù)據(jù)是遭受到了破壞，還是受到了攻擊？攻擊是網(wǎng)絡內、外的非授權訪問，還是地址欺騙、 IP欺騙及協(xié)議欺騙等？ ? 5）確定安全保護的目標； ? 6）提出價格合理的安全機制。 ?具體來說，不管是配置服務器，還是在編寫CGI程序時都要注意系統(tǒng)的安全性。在具體服務器設置及編寫 CGI程序時應該注意以下幾點： ? 7）禁止亂用從其他網(wǎng)站下載的一些工具軟件，并在沒有詳細了解之前盡量不要用 root身份注冊執(zhí)行，以防止某些程序員在程序中設下的陷阱。 ? 8）在選用 Web服務器時，應考慮到不同服務器對安全的要求不一樣。 ? 9）在利用 Web中的 .htpass來管理和校驗用戶口令時，校驗的口令和用戶名不受次數(shù)限制。 ?對 Web服務器和 Web客戶來說，最重要的安全提升機制如下： ? 10）主機和網(wǎng)絡的配套工具和技術； ? 11） Web應用程序的配置； ? 12） Web服務的認證機制； ? 13）防火墻； ? 14）日志和監(jiān)視。 ?每種機制都涉及某種類型系統(tǒng)的安全性，并且它們之間是相互聯(lián)系的。 ? 3．組織 Web服務器 ?大多數(shù) Web服務器都會記錄它們收到的每一次連接和訪問。這個記錄一般包括 IP地址和主機名。如果站點采取一些形式的驗證系統(tǒng)，服務器也會記錄用戶名。如果用戶在逗留期間填寫任何表格，該表格下所有變量的值都會被記錄在案。包括請求的狀態(tài)、傳遞數(shù)據(jù)的大小、用戶 Email地址等。 ?組織 Web服務器一般包括以下幾個方面的內容：認真選擇 Web服務器設備和相關軟件；配置Web服務器，使用它的訪問和安全特性；組織和 Web服務器相關的內容。組織主要包括以下步驟： ? 1）連機檢查。檢查源程序，查看連接 URL和相應的內容是否圖文一致，查看 URL所提供的內容是否和網(wǎng)頁的描述一致。 ? 2）檢查 HTTP服務器使用的 Applet腳本，尤其是與客戶交互作用的 CGI腳本，防止非法用戶惡意使用 CGI程序，執(zhí)行內部指令，對Web 服務器造成破壞。 ? 3）充分考慮最糟糕的情況后，配置自己的系統(tǒng)。 ? 4）將敏感文件放在基本系統(tǒng)中，再設二級系統(tǒng)，使所有的敏感數(shù)據(jù)不向 Inter開放。 ? 4．安全管理 Web服務器 ? 安全管理 Web服務器，可以從以下幾個方面采取一些預防措施： ? 1）對于在 Web服務器上所開設的賬戶，應在口令長度及修改期限上作出具體要求，防止被盜用。 ? 2）限制在 Web服務器開賬戶，定期刪除一些短進程的用戶。 ? 3）盡量在不同的服務器上運行不同的服務（如 mail服務和 Web服務等）程序。 ? 4）如果不需要，盡量關閉 Web服務器上的特性服務，否則，有可能遭受到該特性所導致的安全威脅。 ? 5）定期查看服務器中的日志 logs文件，應該定期地記錄 Web服務器的活動，分析一切可疑事件。 ? 6）設置好 Web服務器上系統(tǒng)文件的權限和屬性，對可讓人訪問的文檔分配一個公用的組。 ? 7）有些 Web服務器把 Web的文檔目錄與 FTP目錄指在同一目錄，應該注意不要把 FTP的目錄與 CGIBIN指定在一個目錄之下。 ? 8）通過限制許可訪問用戶 IP或 DNS。 ? 5． Web服務器的安全措施 ? 1）從基本做起 ?針對 Web服務器的安全，我們應從最基本的安全措施做起，這是最保險的安全方式。比如說，將服務器上含有機密數(shù)據(jù)的區(qū)域都轉換成NTFS格式；防毒程序也必須按時升級更新，同時在服務器和桌面計算機上安裝防毒軟件。 ?另一個保護網(wǎng)絡的好方法是限定使用者登錄網(wǎng)絡時的權限。 ? 2）備份保護 ?利用密碼保護好備份磁盤，若備份程序支持加密功能，還可以將數(shù)據(jù)進行加密。 ? 3）使用 RAS的回撥功能 ? Windows NT支持服務器遠端存?。?remote access service， RAS），但同時， RAS服務器對黑客來說也非常的方便。如果遠端用戶經(jīng)常是從家里或是固定的地方上網(wǎng)，可以使用回撥功能，允許遠端用戶登錄后即掛斷，然后RAS服務器會撥出預設的電話號碼接通用戶，因為此電話號碼已經(jīng)預先在程序中，