高中信息技术教学论文Web的安全威胁与安全防护.pdfVIP

Web 的安全威胁与安全防护 摘 要 文章对 Web 的安全威胁进行分析，提出了 Web 安全防护措施，并基于 Windows 平台简 述了一个 Web 安全防护策略的具体应用。 关键词 Web；网络安全；安全威胁；安全防护 1 引言 随着 Internet 的普及，人们对其依赖也越来越强，但是由于 Internet 的开放性，及在设计 时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给 人们的日常生活和经济活动造成了很大麻烦。WWW 服务作为现今 Internet 上使用的最广泛 的服务，Web站点被黑客入侵的事件屡有发生，Web 安全问题已引起人们的极大重视。 2 Web 的安全威胁 来自网络上的安全威胁与攻击多种多样，依照 Web 访问的结构，可将其分类为对 Web服务器 的安全威胁、对 Web 客户机的安全威胁和对通信信道的安全威胁三类。 2.1 对Web 服务器的安全威胁 对于 Web 服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，恶意用户都有可能 利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑： 2.1.1 在Web服务器上的机密文件或重要数据（如存放用户名、口令的文件）放置在不安全 区域，被入侵后很容易得到。 2.1.2 在Web数据库中，保存的有价值信息（如商业机密数据、用户信息等），如果数据库 安全配置不当，很容易泄密。 2.1.3Web 服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据，甚 至造成系统瘫痪。 2.1.4 程序员的有意或无意在系统中遗漏 Bugs 给非法黑客创造条件。用 CGI 脚本编写的程 序中的自身漏洞。 2.2 对Web 客户机的安全威胁 现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页 的活动内容是指在静态网页中嵌入的对用户透明的程序，它可以完成一些动作，显示动态图 像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时，这些应用程 序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删除客户机 上的信息。主要用到 Java Applet和ActiveX 技术。 Java Applet使用 Java 语言开发，随页面下载，Java 使用沙盒(Sandbox)根据安全模式所定 义的规则来限制 Java Applet 的活动，它不会访问系统中规定安全范围之外的程序代码。但 事实上 Java Applet 存在安全漏洞，可能被利用进行破坏。 ActiveX 是微软的一个控件技术，它封装由网页设计者放在网页中来执行特定的任务的程 用心 爱心 专心 1 序，可以由微软支持的多种语言开发但只能运行在 Windows 平台。ActiveX 在安全性上不如 Java Applet，一旦下载，能像其他程序一样执行，访问包括操作系统代码在内的所有系统 资源，这是非常危险的。 Cookie是 Netscape 公司开发的，用来改善 HTTP的无状态性。无状态的表现使得制造像购 物车这样要在一定时间内记住用户动作的东西很难。Cookie 实际上是一段小消息，在浏览 器第一次连接时由 HTTP服务器送到浏览器端，以后浏览器每次连接都把这个 Cookie的一个 拷贝返回给 Web 服务器，服务器用这个 Cookie 来记忆用户和维护一个跨多个页面的过程影 像。Cookie不能用来窃取关于用户或用户计算机系统的信息，它们只能在某种程度上存储 用户的信息，如计算机名字、IP 地址、浏览器名称和访问的网页的 URL 等。所以，Cookie 是相对安全的。 2.3 对通信信道的安全威胁 Internet 是连接 Web 客户机和服务器通信的信道，是不安全的。像 Sniffer 这样的嗅探程 序，可对信道进行侦听，窃取机密信息，存在着对保密性的安全威胁。未经授权的用户可以 改变信道中的信息流传输内容，造成对信息完整性的安全威胁。此外，还有像利用拒绝服务 攻击，向网站服务器发送大量请求造成主机无法及时响应而瘫痪，或者发送大量的 IP 数据 包来阻塞通信信道，使网络的速度便缓慢。 3 Web 的安全防护技术 3.1 Web 客户端的安全防护 Web 客户端的防护措施，重点对 Web程序组件的安全进行防护，严格限制从网络上任意下载 程序并在本地执行。可以在浏览器进行设置，如 Microsoft