本文来源:网站建设-网站制作|网络营销专家慧云科技-抢滩登陆2009-7-11 16:23:14
Web作为建立在Internet基础上的应用,Web安全的定义不可避免地与网络安全和信息安全概念相重叠,其内涵和外延可看作网络安全和信息安全的一个子集。网络安全是指网络系统的硬件、软件及其系统中的数据受到建站软件保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。国家信息安全重点实验室对信息安全给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”据此我们给Web安全做出如下定义:Web安全是指信息在网络传输过程中不丢失、不被篡改和只被授权用户使用,包括系统安全、程序安全、数据安全和通信安全。本文即根据此定义分章论述。
在Web安全中,服务器的安全是最基础也是最困难的,因为服务器的源代码庞杂,如FreeBSD6.0的汇编行数达到1,271,723,OpenBSD则有1,260,707,Windows Vista更是达到惊人的5000万行。针对Web服务器具体的安全威胁主要体现在:服务器程序编写不当导致的远程代码执行;应用程序编写不当、过滤不严格造成的代码注入,可能引起信息泄漏、文件越权下载、验证绕过、远程代码执行等;乐观相信用户输入、过滤不严格导致跨站脚本攻击,在欺骗建站工作者管理员的前提下,通过精心设计的脚本获得服务端Shell;针对服务器系统的拒绝服务攻击。
当用户使用浏览器查看、编辑网络内容时,采用了ActiveX、Java Applet、Cookie等技术的应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。对于恶意程序的侵害,用户很难实时的判断程序性质,因此,网站设计在获得高度交互的Web服务时,如何抵御这些安全威胁绝非简单的客户端设置就可以解决的。同时,跨站脚本攻击对于客户端的安全威胁同样无法忽视,跨站脚本攻击属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。与之相对的是,利用跨站脚本攻击的蠕虫已经在网络中肆虐过。
和其他的Internet应用一样,Web信道同样面临着网络嗅探和以拥塞信道、耗费资源为目的的拒绝服务攻击的威胁。需要注意的是,很多针对Web应用的攻击并非只针对服务端、客户端或信道,综合利用各方面的安全漏洞进行攻击的案例数不胜数。
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。建站服务目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,建站模版同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
访问控制是网络安全防范和保护的主要策略,建站研究它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。
信息加密的目的是保护Web服务的数据、文件、密码和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
作为Web应用的基础,操作系统以及提供Web服务的应用软件的安全直接关系到整个Web服务和应用的安全。Internet建站方法发展到现在,用于实现Web服务的操作系统主要是类UNIX系统(包括AIX,HP-UX,SCO, FreeBSD, NetBSD, OpenBSD,Solaris,Linux发行版等)和windows系统,搭建Web服务的平台则主要使用Apache和IIS。本章将对他们的安全性和设置进行大致的分析和说明。