[Web系统安全配置及系统保护.docVIP

单元三 网络系统的安全配置与管理 项目一　Web系统安全配置及系统保护 教学目标 1．理解WEB系统的安全体系结构、安全需求、安全原则、安全制定策略与配置； 2．掌握系统安装正确选择、系统安装正确定 3．掌握分区和逻辑盘的分配安装顺序的选择目录和文件权限账号安全定 2．掌握分区和逻辑盘的分配安装顺序的选择目录和文件权限账号安全 1）操作系统安全漏洞 2）网络系统的安全漏洞 3）应用系统的安全漏洞 4）网络安全防护系统不健全 5）其他安全漏洞 (二)Web系统的安全原则 1．浏览器与服务器建立联接的过程 2．安全策略制定原则 1）基本原则 每个Web站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安全系统的基本依据。 2）服务器记录原则 管理者不得打开或查看客户或用户的统计资料，一般情况必须具有最高权限的管理者才能进行。 (三)Web服务器安全 1．Web服务器安全策略 1）制定安全政策 做好安全威胁的分析、网络安全资源并进行重要等级划分、进行安全风险评估、制定安全策略的基本原则、建立安全培训制度、具有意外事件处理。 2）认真组织和管理WEB服务器 选好WEB服务器设备和相关软件(多查询)、认真配置WEB服务器、安全管理WEB服务器、时刻关注安全信息。 2．Web服务器的安全配置及安全特性 1）加强Web服务器隔离法 利用智能HUB或二层以上交换机隔离Web服务器，使用防火墙过滤功能将WEB服务器和内网隔离。 2）Web服务器备份 真实可靠、备份存储的地方是非常可靠和安全的。 3）合理配置主机操作系统 防止IP欺骗，避免口令泄露，不要使用弱口令，权限应合理设置，禁止远程管理，记录服务器的安全状态，不要使用安全性脆弱的自动目录表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态，将敏感文件放在基本系统中并设二级系统，可将WEB服务器当作无权的用户运行。 4）合配置WEB服务器软件 A．访问控制规则要通过IP地址、子网域名来控制，并用用户名和口令限制控制访问，最好用公用密钥加密的方法控制访问； B．相关目录必须设置权限，谨用安全性较差的WEB服务器功能； C．把服务限制在有限的文件空间范围内，记录服务器的安全状态； D．减少远程管理等功能。 5）排除站点中的安全漏洞 A．物理的漏洞由未授权人员访问引起，他们能浏览那些不被允许的地方。 B．软件漏洞是由“错误授权”的应用程序引起，它会执行不应执行的功能。 C．不兼容问题漏洞是由不良系统集成引起。 6）安全管理WEB服务器 A．更新WEB服务器内容采用本地更新安全方式 B．监视控制Web站点出入情况 服务器日常受访次数、受访增加次数 用户来源、一周最忙的时间、一天内最忙的时间 服务器哪类信息被访问、哪张页面最受欢迎 每个目录用户访问，访问站点的浏览器、提交方式 C．测算命中次数 确定站点命中次数、确定站点访问者数目 D．定期对WEB服务器进行安全检查 (四)Web浏览器的安全 IE功能：调用主机或服务器的系统中的有关的应用程序，以便正确显示从Web服务器取得的各类型信息。 1．Cookie的安全 1）用途：储存注册口令、用户名、信用卡号等私人信息 2）在IE中禁止使用Cookie存储有关信息 2．Java及Active X的安全性 1）PostScript文件的命令 作用：能显示简单的文本，也可运用一定的文件系统命令 命令：Open、Create、Copy、Delete等命令能用于引发安全问题或病毒 2）Java Applet的安全隐患 作用：减少Applet偷看用户私人文档并传回服务器的可能、随意的主机建立连接的能力。 隐患：抢占系统资源，引发资源的浪费，造成拒绝服务攻击的脆弱性 3）Java Script的安全漏洞 能够截取用户的电子邮件地址和其他信息，截取本地主机上的文件，监视会话过程，也存在信息泄露和文件上传的安全漏洞 4）Active X的安全隐患 由于Active X对它的控件能够完成的任务不加限制，因此每个Active 控件就有可以被利来执行暗中攻击的任务。 (五) Windows服务器的安装配置 1．磁盘的分配至少建立两个分区一个系统分区，一个应用程序分区这是因为，微软的IIS（Internet Ihformation Server）经常会有漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏，甚至让入侵者远程获取管理权。推荐建立三个逻辑驱动器第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或FTP出了安全漏洞都不直接影响到系统目录和系统文件。1）尽量安装英文版的操作系统2）不安装无用的组件避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部