4--14--web安全概述.ppt

安全和性能 Web安全 安全的概念 一般认为，安全的定义是： 如果攻破系统获得收益比攻破系统所投入的要小，认为系统是安全的 系统安全包括 操作系统安全 操作系统的漏洞避免被人利用 经常更新系统安全补丁，注意防火墙设置 网络安全 依赖机房的管理 经常排查 数据安全、数据库安全 锁住不必要的用户，定期更改密码 定期打补丁 程序安全 Web服务器安全 Apache,iis,tomcat…经常升级 应用程序安全 操作系统安全 选择受到广泛接受的安全性高、性能好的操作系统 Linux系列：redhat等 Bsd系列：freebsd,netbsd Windows server系列：server2003,2008 及时安装补丁 关闭不必要的服务 防火墙设置 硬件最好是专业的PC服务器或者刀片服务器或者专业大型服务器 网络安全 有条件，尽可能托管在专用机房（电信，网通）。。。 如果是自己管理（托管），要保证带宽，并且最好和办公网络隔离。 安装部署硬件或者软件防火墙 做好物理隔离（锁好门），做好防火，降温 数据安全 采用专业硬盘 高速专业机械硬盘（转速在1w以上） SSD硬盘固态硬盘 采用RAID冗余，防止硬盘故障 “磁盘阵列”英文全称为：Redundant Arrays of Independent Disks，提取每个单词的首个字母就是：RAID。 PADI模式即磁盘阵列模式，简单说就是利用多个硬盘同时工作，来保证数据的安全以及存取速度的。它共有九个模式，以数字命名，为RAID 0、RAID1到RAID 7以及RAID 0+1，而目前最常见的是RAID 0、RAID 1、RAID 5和RAID 0+1这四种模式。 程序安全 防止sql注入漏洞 优先使用占位符 ？ 在jsp中控制好特殊字符，防止xss攻击 防止被嵌入js代码，盗取cookie. 敏感数据加密 账号，密码，余额，电话。。。 不存明文 选择高效，强度大的加密方式 MD5 SHA 灵活运用js,后台的加密机制 数据加密 存入数据库或者程序的数据如果没有加密，则得到的明文很容易被别人利用，一般通过加密防止。 常用的有MD5,DES,RSA等 MD5的全称是Message-Digest Algorithm 5，在90年代初由MIT的计算机科学实验室和RSA Data Security Inc发明，经MD2、MD3和MD4发展而来。 Message-Digest泛指字节串(Message)的Hash变换，就是把一个任意长度的字节串变换成一定长的大整数。请注意我使用了“字节串”而不是“字符串”这个词，是因为这种变换只与字节的值有关，与字符集或编码方式无关。 MD5将任意长度的“字节串”变换成一个128bit的大整数，并且它是一个不可逆的字符串变换算法，换句话说就是，即使你看到源程序和算法描述，也无法将一个MD5的值变换回原始的字符串，从数学原理上说，是因为原始的字符串有无穷多个，这有点象不存在反函数的数学函数 Md5实现 MessageDigest?md?=?MessageDigest.getInstance(MD5);md.update(str.getBytes());byte[]?result?=?md.digest(); //得到的byte还要转换成16进制 Md5特点 不可逆：理论上通过密文无法得到明文 已经证明：有重复的可能 不同的明文，有可能加密的结果是一样的(碰撞) 已经被有限破解 单次加密已经不足够安全 腾讯采用多次循环加密的方式 DES加密算法 单密钥算法,是信息的发送方采用密钥A进行数据加密,信息的接收方采用同一个密钥A进行数据解密. 单密钥算法是一个对称算法. 缺点:由于采用同一个密钥进行加密解密,在多用户的情况下,密钥保管的安全性是一个问题 DES实现 核心算法如下： RSA 公钥密码体制:为了解决单密钥保管安全性的问题,提供了公钥密码体制的概念.在公钥体制中，加密密钥不同于解密密钥，加密密钥公之于众，谁都可以使用；解密密钥只有解密人自己知道。它们分别称为公开密钥（Public key）和秘密密钥（Private key） Js中的加密 表单提交的数据要防止窃听或者盗取 可以用加密的传输或者提交加密后的密文 加密后处理 在和数据库判断的时候可以考虑解密后比对（如果支持） 或者直接比较加密后的密文 一般，数据库的核心数据也要加密 更安全的访问协议 http因为自身的原因，有安全隐患 https协议：是以安全为目标的HTTP通道，简单讲是HTTP的安全版 即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL 用https的服务器必须从CA （Certificate Authority）申请一个用于证明