第四章web安全

第四章web安全内容摘要：

人知道 ”的途径来实现安全 2020年 11月 4日星期三1时 49分 21秒 Web安全 23  （ 1） 维护公布信息的真实完整 – 是 Web服务器最基本的要求。 – Web服务器在一定程度上是站点拥有者的代言人  （ 2） 维持 Web服务的安全可用 – 要确保用户能够获得 Web服务，防止系统本身可能出现的问题以及他人的恶意的破坏； – 要确保所提供的服务是可信的，尤其是金融或者电子商务的站点。  （ 3） 保护 Web访问者的隐私 – 用户 IP地址，电子邮件地址，所用计算机名称，单位名称，计算机简单说明，所访问页面内容，访问时间，传输数据量，甚至个人的信用卡号码等信息。  （ 4） 保证 Web服务器不被入侵者作为“跳板”使用 – 是 Web服务器最基本的要求。 • Web服务器不能被作为“跳板”来进一步侵入内部网络； • 保证 Web服务器不被用作“跳板”来进一步危害其他网络。 2020年 11月 4日星期三1时 49分 21秒 Web安全 24 Web浏览器的安全需求  Web浏览器 : – 简单实用 – 功能强大  浏览器的用户的安全问题： – 用户轻点鼠标， ——精彩的网页 ——浏览器程序已经把某些信息传送给网络上的某一台计算机（可能在世界的另一个角落），浏览器向它索取网页，网页通过网络传到浏览器计算机中，传来的内容，有的是浏览器用户需要的，能够看到的，但是同时还有浏览器不能显示的内容，悄悄的存入浏览器计算机的硬盘上，这些不显示的内容，可能是协议工作内容，对用户是透明的，但是也可能是恶作剧代码，或者是蓄意破坏的代码，它们会窃取 Web浏览器用户的计算机上的所有可能的隐私，也可能破坏计算机的设备，还可能使得用户在网上冲浪时误入歧途。  因此， Web浏览器的安全也应该注意保障。 2020年 11月 4日星期三1时 49分 21秒 Web安全 25 用户 Web安全需求  确保运行浏览器的系统不被病毒或者木马或者其他恶意程序侵害而遭受破坏；  确保个人安全信息不外泄；  确保所交互的站点的真实性。 以免得被骗，遭受损失。 2020年 11月 4日星期三1时 49分 21秒 Web安全 26 Web传输的安全需求  保证传输方（信息）的真实性： – 要求所传输的数据包必须是发送方发出的，而不是他人伪造的；  保证传输信息的完整性： – 要求所传输的数据包完整无缺，当数据包被删节或被篡改时，有相应的检查办法。  特殊的安全性较高的 Web，需要传输的保密性： – 敏感信息必须采用加密方式传输，防止被截获而泄密；  认证应用的 Web，需要信息的不可否认性： – 对于那种身份认证要求较高的 Web应用，必须有识别发送信息是否为发送方所发的方法；  对于防伪要求较高的 Web应用，保证信息的不可重用性： – 努力做到信息即使被中途截取，也无法被再次使用。 2020年 11月 4日星期三1时 49分 21秒 Web安全 27 第 3节 Web服务器安全策略  定制安全政策  认真组织 Web服务器  跟踪最新安全指南  意外事件的处理 2020年 11月 4日星期三1时 49分 21秒 Web安全 28 定制安全政策  1． 定义安全资源，进行重要等级划分  2． 进行安全风险评估  3． 制定安全策略的基本原则  4． 建立安全培训制度  5． 具有意外事件处理措施 2020年 11月 4日星期三1时 49分 21秒 Web安全 29 认真组织 Web服务器 服务器的安全策略，有很多内容， 简单说明几个必须的内容 : 2020年 11月 4日星期三1时 49分 21秒 Web安全 30 1． 认真选择 Web服务器设备和相关软件  对于 Web服务器，最显著的性能要求是响应时间和吞吐率。 其中，典型的功能包括： – 提供静态页面和多种动态页面的能力； – 接受和处理用户信息的能力； – 提供站点搜索服务的能力； – 远程管理的能力。  而典型的安全方面的要求包括： – 在已知的 Web服务器漏洞中，针对该类型的最少； – 对服务器的管理操作只能由授权用户执行； – 拒绝通过 Web访问不公开的信息； – 能够禁止内嵌的不必要的网络服务； – 能够控制各种形式的可执行程序的访问； – 能对某些 Web操作进行日志记录，便于执行入侵监测和入侵企图分析； – 能够具有一定的容错性。 2020年 11月 4日星期三1时 49分 21秒 Web安全 31 2． 仔细配置 Web服务器 （ 1） 将 Web服务器与内部网络分隔开来 （ 2） 维护安全的 Web站点的拷贝 （ 3） 合理配置主机系统 （ 4） 合理配置 Web服务器软件 2020年 11月 4日星期三1时 49分 21秒 Web安全 32 （ 1） 将 Web服务器与内部网络分隔开来  Web服务器被入侵的时候，可能的危害有： – Web服务器系统被破坏甚至崩溃； – 入侵者收集敏感信息，如用户名，口令等； – 入侵者借助入侵的服务器为基础，进一步破坏其他网络。  所以，为了避免上述情况，我们应当把 Web服务器隔离开来，可以采用： – 使用智能 HUB或者二层交换机隔离； – 所有内部网络的交换信息都采用加密方式； – 使用防火墙包过滤功能将 Web服务器和内部网络隔离； – 使用带有防火墙功能的三、四层交换机。 2020年 11月 4日星期三1时 49分 21秒 Web安全 33 （ 2） 维护安全的 Web站点的拷贝 备份系统是系统管理员的法宝。 所以，一般情况下，Web服务器都采用多台备份机器在服务。 但是要保证两点： – 首先，备份的内容是真实可靠的； – 其次，备份存储的地方是非常可靠的，安全的。 2020年 11月 4日星期三1时 49分 21秒 Web安全 34 （ 3） 合理配置主机系统  主机的操作系统是 Web的直接支撑者，合理地配置主机系统，能够为 Web服务器提供强健的安全支持。 可以从两个方面考虑：  ①仅仅提供必要的服务 – 配置软件简单，只需考虑一种 Web服务； – 管理人员单一，便于管理； – 用户访问方式单一，便于管理； – 访问日志文件较少，便于审计； – 避免多种服务之间的故障冲突。  ②选择使用必要的辅助工具  选择辅助工具，简化主机安全管理 : – UNIX系统的 tcp_wrapper 工具，对系统起到一定的安全保护作用。 2020年 11月 4日星期三1时 49分 21秒 Web安全 35 （ 4） 合理配置 Web服务器软件 。