欢迎来到天天文库
浏览记录
ID:58294395
大小:27.00 KB
页数:6页
时间:2020-04-13
《网站安全的威胁与防护探索 .doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、网站安全的威胁与防护探索网站安全的威胁与防护探索网站安全的威胁与防护探索网站安全的威胁与防护探索 摘要:对目前日益严峻的网站安全问题进行分析,提出了网站安全防护措施,通过基于UNIX和Windows等常用平台,介绍WEB网站的防护经验。 关键词:网站;安全;防护 1网站技术简介安全威胁的来源 技术简介 WorldWideWeb称为万维网,简称Web。分成服务器端、客户接收机及通讯协议三个部分。 服务器(Web服务器) 服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结
2、构。Web服务器的作用就是管理这些文档,按用户的要求返回信息。 客户接收机(Web浏览器) 客户机系统称为Web浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。 通讯协议(HTTP协议) Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperTextTransferProtocol,超文本传输协议)是分布式的Web应
3、用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。 服务器安全威胁 对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑: Web服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。 Web数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,
4、导致数据丢失或服务中断。 Web服务器上的数据存储结构不合理,没有划分安全区域或重要数据没有存放在安全区域,导致被侵入。 Web服务器上运行的程序存在安全漏洞,或应用程序所需要的权限过高没有优化,容易被黑客侵入。 客户端安全威胁 现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。主要用到JavaApplet、ActiveX、Cookie等技术都存在不同的安全隐患。 数据传输中的安全威胁 Internet是连接Web客户机和服务器通信的信道,是不安全的。未经授权的用户
5、可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。 2WEB安全保护的原则 实用的原则 针对网站架构,网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全,在攻击行为发生前,做到防患于未然是预防措施的关键。 积极预防的原则 对WEB系统进行安全评估,权衡考虑各类安全资源的价值和对它们实施保护所需要的
6、费用,通过评估,确定不安全情况发生的几率,采用必要的软硬件产品,加强网站日常安全监控。 及时补救的原则 在攻击事件发生后尽快恢复系统的正常运行,并找出发生攻击事件问题的原因,将损失降至最低,并研究攻击发生后应对措施。 3建立安全的Web网站 合理配置主机系统 仅提供必要的服务 默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等,WindowsNT系统将提供RPC、IP)转发、FTP、SMTP等。而且,系统在缺省的情况下自动
7、启用这些服务,或提供简单易用的配置向导。为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于UNIX系统,应检查/etc//目录下的各个目录中的文件,删除不必要的文件;对于Windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件。一般情况下,应关闭Web服务器的IP转发功能。 对于专门提供Web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作Web服务器系统,对外只提供Web服务,没有其他任务。这样,可以保证(1)使系统最好地为Web服务提供支持;(2)管理人员
8、单一,避免发生管理员之间的合作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。 对于必须提供其他服务,则必须仔细设置目录、文件的访问权限,确保远程用户无法通过Web服务获得操作权限。 使用必要的辅助工具,简化安全管理 启用系统的日志(系统帐户日志和Web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。 合理配置Web服务器 在Uni
此文档下载收益归作者所有