返回
网站安全的威胁与防护

网站安全的威胁与防护

ID:20520363

大小:52.00 KB

页数:3页

时间:2018-10-11

网站安全的威胁与防护 _第1页
网站安全的威胁与防护 _第2页
网站安全的威胁与防护 _第3页
资源描述:

《网站安全的威胁与防护 》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网站安全的威胁与防护摘要:对目前日益严峻的网站安全问题进行分析,提出了网站安全防护措施,通过基于UNIX和L中的内容在屏幕上显示信息。  1.1.3通讯协议(HTTP协议)  Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperTextTransferProtocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Inter上的传输方式。  1.2服务器安全威胁  对于Web服务器、服务器的操作系统、

2、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:  Web服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。  Web数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,导致数据丢失或服务中断。  Web服务器上的数据存储结构不合理,没有划分安全区域或重要数据没有存放在安全区域,导致被侵入。  Web服务器上运行的程序存在安全漏洞,或应用程序所需要的权限过高没有优化,容易被黑客侵入。  1.3客户端安全威胁  现在网页中

3、的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。主要用到JavaApplet、ActiveX、Cookie等技术都存在不同的安全隐患。  1.4数据传输中的安全威胁  Inter是连接Web客户机和服务器通信的信道,是不安全的。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。    2WEB安全保护的原则    2.1实用的原则  针对网站架构,网站安全问

4、题主要分为以下四个方面:服务器安全、边界安全、Inter和Extra上的安全,在攻击行为发生前,做到防患于未然是预防措施的关键。  2.2积极预防的原则  对WEB系统进行安全评估,权衡考虑各类安全资源的价值和对它们实施保护所需要的费用,通过评估,确定不安全情况发生的几率,采用必要的软硬件产品,加强网站日常安全监控。  2.3及时补救的原则  在攻击事件发生后尽快恢复系统的正常运行,并找出发生攻击事件问题的原因,将损失降至最低,并研究攻击发生后应对措施。3建立安全的ail、FTP、NFS、IP转发等,WindoTP等。而且,系统在缺省的情

5、况下自动启用这些服务,或提供简单易用的配置向导。为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于UNIX系统,应检查/etc/rc.d/目录下的各个目录中的文件,删除不必要的文件;对于Windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件。一般情况下,应关闭Web服务器的IP转发功能。  对于专门提供Web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作Web服务器系统,对外只提供Web服务,没有其他任务。这样,可以保证(1)使系统最好地为Web服务提供支持;(2)管理人员单一,避免发生管理员之间的合

6、作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。  对于必须提供其他服务,则必须仔细设置目录、文件的访问权限,确保远程用户无法通过Web服务获得操作权限。  3.1.2使用必要的辅助工具,简化安全管理  启用系统的日志(系统帐户日志和Web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。  3.2合理配置Web服务器  在UnixOS中,以非特权用户而不是Root身份运行Web服务器。  (1)设置Web服务器访问控制。通过IP地址控制

7、、子网域名来控制,未被允许的IP地址、IP子网域发来的请求将被拒绝;  (2)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应。  (3)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。  3.3设置Web服务器有关目录的权限  为了安全起见,管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。  服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改。  服务器根目录下存放CGI脚本程序,用户对这些程

8、序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作。  服务器根目录下的某些文件需要由Root来写或者执行,如Web

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。