Web安全对策的研究36734.docVIP

Java Web 开发电子商务应用中可能遇到的安全问题及解决办法 摘 要 本文主要以Web应用和服务的大众化平台——网站系统的安全为研究对象包括服务器、操作系统、数据库、编程语言和客户端，分析Web应用中存在的各种安全问题、Web网络的安全性设置问题、如何保护Web站点上的机密数据问题、各种Web服务器的安全设置问题和各种程序语言的安全问题。在研究方法上，根据系统论的观点，将Web安全的各个问题分类，按照系统平台安全、程序安全、数据安全和通信安全的结构来组织全文。并采用理论分析与实践结合的方法来书写文章的内容。通过以上分析，得出了一些加强Web安全的可操作性经验和对策。这些对策体现了现在通用的最佳实践原则。 关键词： 网站； Web安全 ；系统安全 近年来，随着因特网技术的发展和Java的兴起，Web应用正迅速崛起并得到普及在北美地区兴起了一种新的企业经营方式，即通过已有的电子网络环境进行快速有效的商业活动的方式，这就是电子商务。它能提供准确、快速的商务运作，是当今世界商务运作发展的主流方向。由于网络本身存在安全漏洞，因此，电子商务也不可避免地存在着安全问题。因此，Web应用程序的安全是越来越受到关注 ? 1 绪论 1.1 课题背景及目的 中国的互联网发展已进入了第二个十年，随着互联网的基础设施的建设，人们观念意识的变革，互联网越来越成为人们生活中不可分割的一部分。基于互联网的Web应用如火如荼，迅速发展，各类网站数量也呈井喷式增长，随之而来的，是日益突出的安全问题。不断被发现的漏洞，黑客的恶意攻击，在网络上疯狂爬行的蠕虫，迅速扩散的病毒，盗取虚拟财物的木马，所有这一切都令人惶惶不可终日。人们一方面享受着 Web带来的好处，另一方面却要忍受着不可预料的安全威胁。本课题就是针对这种尴尬的现状，全面地介绍和分析Web服务和应用中存在的各种漏洞和所面临的各种威胁，探讨Web安全问题的对策。 1.2 国内外研究状况 目前和相当一段时间内，国内外关于Web安全的研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。安全协议的制定方面，已经提出了大量实用的安全协议，具有代表性的有：电子商务协议SET，IPSec协议，SSL/TLS协议，简单网络管理协议SNMP， PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。这些协议的安全性分析特别是电子商务协议，IPSec协议，TLS协议是当前协议研究中的热点。系统平台的安全方面主要研究安全操作系统、安全数据库等，以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置；还有就是针对黑客常用的攻击手段制定安全策略。网站程序的安全编程方面，主要研究规范化编程以及现有编程语言（ASP,ASP.NET,PHP,CGI,JSP等）的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面，目前在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有主要的发展方向和产品种类上，都包含了密码技术的应用，并且是非常基础性的应用。 Web服务器的安全控制方面，主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置，如Apache的访问控制机制、安全模块，IIS的安全锁定等。 1.3 论文构成及研究内容 本文根据对Web安全概念做出的定义，分系统安全、程序安全、数据安全和通信安全对Web安全问题所涉及的四个主要方面分章节做出相应的论述。系统安全方面，介绍和分析两大类操作系统类UNIX和Windows,并对Apache和IIS平台的安全设置进行了一定分析。程序安全方面，主要介绍了ASP和PHP这两种个人常有的编程语言，并对企业级开发语言ASP.Net和JSP做了粗略的介绍。通信安全方面，通过对客户端脚本ActiveX和JavaScript，以及Cookies的研究，大致地对Web客户端安全做出了分析。数据安全方面，一是论述了常见数据库的安全，二是介绍了时下最新的数据安全威胁——盗链和采集，并给出了相应的解决办法。 2 WEB安全概述 2.1 WEB安全的定义 Web作为建立在Internet基础上的应用，Web安全的定义不可避免地与网络安全和信息安全概念相重叠，其内涵和外延可看作网络安全和信息安全的一个子集。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。[1]国家信息安全重点实验室对信息安全给出的定义是：“信息安全涉及到