资源描述:
《校园网web服务安全建设的策略研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、校园网Web服务安全建设的策略研究第29卷第2期浙江师范大学学报(自然科学版)2006年5月JournalofZh~iangNormalUniversity(Nat.Sci.)Vo1.29,No.2May2006文章编号:1001—5051(2006)02—0238—03校园网Web服务安全建设的策略研究金悦奇(浙江国际海运职业技术学院,浙江舟山316021)摘要:Web服务是校园网提供的一种主要的信息服务形式,校园网的web服务面临着来自内部和外部的各种攻击.主要探讨了校园网Web服务安全建设中存在的各种风险及对应策略,为校园网的网络安全建设提供
2、参考.关键词:校园网;Web服务;风险;策略中图分类号:G25O.76文献标识码:AO引言web服务是校园网信息服务的主要手段.由于web服务的便捷,友好,越来越多的学校管理,教学,办公信息系统等都转向基于Web服务的平台.而网络上诸如病毒,恶意代码,漏洞攻击,来自内部和外部的非法访问以及信息窃取都会对学校管理的信息安全造成严重威胁.因此,保障Web服务的正常工作,安全运行已成为校园网建设中的重要问题.1校园网Web服务的安全需求分析校园网Web服务的安全建设首先要基于对校园网Web服务的安全需求分析,针对校园网服务的性质,目标和任务确定安全需求,
3、这些都是整个Web服务安全建设的必要过程.只有基于合理的需求分析才能提供合适的安全支持.通常,校园网的Web安全需求主要反映在数据安全和运行安全等几个方面.1.1数据安全的需求对于大多数的校园网而言,Web服务的安全需求主要体现在数据安全上.数据安全的需求又包括机密性需求和数据完整性需求.机密性主要是保证数据不被非授权者获取和使用,而数据的完整性则是保证信息真实可靠,不被冒充,伪造和篡改.校园网Web服务中存在着大量的信息和数据,而这些信息数据的安全需求是有差别的,其中有一部分是需要保密的.根据学校的安全需求对这些Web服务中的信息数据进行分类,一
4、般可分为公开,内部,机密3个等级.其中,公开信息允许外部网络访问,不需要加密和访问控制;内部信息只允许内网访问,但通常不需要加密传输和存储;机密信息只限于少数授权用户访问,一旦泄露会造成有害影响,需要进行严格的访问控制和加密传输存储.1.2运行安全的需求校园网Web服务除有数据安全需求外,对运行安全也有较高要求.运行安全的需求主要是保证校园网Web服务的正常运行,为Web服务提供一个安全的环境和可靠的支持,减少或者避免诸如因Dos等攻击而导致Web服务瘫痪或性能低下的情况.同时,运行安全还涉及到Web服务器的操作系统安全及相应的故障和应急支持.1.
5、3实体安全的需求校园网Web服务的实体安全需求是校园网Web服务安全需求的另一个组成部分.Web服务收文日期:2005—11-12;修订日期:2006—03—19作者简介:金悦奇(1977一),男,浙江定海人,工程师.研究方向:网络应用第2期金悦奇:校园网Web服务安全建设的策略研究239的实体安全需求主要表现为主机和主机房的安全,需要限制除管理员外的其他人员接触主机,而主机房需要具备防火防水等抵抗物理威胁的保护措施.2校园网web服务存在的风险及其对策校园网Web服务的安全建设通常可以从Web服务过程中的威胁,风险和弱点人手,对威胁和风险进行分类
6、,针对不同的风险采取不同的防范措施.随着Internet的广泛应用,校园网Web服务所面临的威胁和风险日益增多,这些威胁来自各个方面,有来自外部黑客的非法入侵…,也有来自校园内部学生的破坏.通常可以将这些威胁和风险分为两大类:来自外网的风险和来自内网的风险.2.1来自外网的风险及防治对策2.1.1非法侵入校园网通常通过Cernet或Chinanet接入In—ternet,与Internet的连接存在内部信息资源被外界非法侵入的风险.校园网的Web服务需要同时提供内网和外网的访问,因此建设安全Web服务必须隔离内,外网.通常采用防火墙技术解决这一问题
7、,防火墙技术自1986年Digital公司提出以来逐渐细化[2],分为包过滤防火墙,代理防火墙和分布式防火墙等,校园网所采用的防火墙多数属于以上3类.实际部署中可以根据安全需求选择采用单重防火墙DMZ体系或双重防火墙DMZ体系.对于单重防火墙DMZ体系,将Web服务器置于DMZ中,而Web服务的后台数据库服务器应置于防火墙之后.如果采用双重防火墙DMZ体系中,web服务器置于双重防火墙之间,DMZ体系由第一道防火墙来提供针对Internet的保护,阻制来自外网的非法侵入.2.1_2病毒及其他恶意代码Web服务常见的安全故障往往来自于病毒和各类恶意代
8、码,恶意代码主要为特洛伊木马,逻辑炸弹,后门和蠕虫等.病毒和恶意代码都可能造成Web服务器的系统级安全故障,建设安全Web