信息技术--赵泽茂--第十章.ppt分析.ppt

　　Web页面为用户提供了网络应用系统的接口以及海量的多媒体信息(包括文字、音频、视频信息)，透过Web页，人们可以从事海量知识和信息的检索、网络办公以及网络交易等日常的工作、学习、娱乐活动。然而， 有些人受利益驱动，利用了人们上网的心理和Web本身存在的漏洞，进行违法犯罪活动。 10.1.1 Web概述　　1. Web组成部分 　　Web最初是以开发一个人类知识库为目标，并为某一项目的协作者提供相关信息及交流思想的途径。Web的基本结构是采用开放式的客户端/服务器结构(Client/Server)，它们之间利用通信协议进行信息交互。　　1) 服务器端(Web服务器)　 在服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器是驻留在服务器上的软件，它汇集了大量的信息。Web服务器的作用就是管理这些文档，按用户的要求返回信息。 　　2) 客户端(Web浏览器)　 客户端通常称为Web浏览器，用于向服务器发送资源请求，并将接收到的信息解码显示。Web浏览器是客户端软件，它从Web服务器上下载和获取文件，翻译下载文件中的HTML代码，进行格式化，根据HTML中的内容在屏幕上显示信息。如果文件中包含图像以及其他格式的文件(如声频、视频、Flash等)，Web浏览器会做相应的处理或依据所支持的插件进行必要的显示。 　　3) 通信协议(HTTP协议)　 Web浏览器与服务器之间遵循HTTP协议进行通信传输。HTTP(Hyper Text TransferProtocol，超文本传输协议)是分布式的Web应用的核心技术协议，它定义了Web浏览器向Web服务器发送索取Web页面请求的格式，以及Web页面在Internet上的传输方式。　　Web服务器通过Web浏览器与用户交互操作，相互间采用HTTP协议通信(服务器和客户端都必须安装HTTP协议)。 　　Web浏览器通过TCP协议3次握手与服务器建立起TCP/IP连接。　在Web浏览器软件中，Netscape的Web浏览器NN(Netscape Navigator)、NC(Netscape Communicator)具有最广泛的系统平台支持，可以在所有平台上运行; Microsoft的IE(Intemet Explorer)则是Windows平台上运行最常用的浏览器软件。 　　2. Web安全问题　　Web的初始目的是提供快捷服务和直接访问，所以早期的Web没有考虑安全性问题。　　随着Web的广泛应用，Internet 中与Web相关的安全事故正成为目前所有事故的主要组成部分。图10-1-1所示的是我国国家应急响应与协调处理中心的2007年年报中提到的处理网络安全事件的图例。 　　由图10-1-1知，与Web 安全有关的网页恶意代码和网站篡改事件占据了所有事件的六成，可见Web安全问题的严重性。 10.1.2 Web安全目标　　Web安全目标主要分为以下3个方面: 　　(1) 保护Web服务器及其数据的安全。　　Web服务器安全是指系统持续不断地、稳定地、可靠地运行，保证Web服务器提供可靠的服务; 未经授权不得访问服务器，保证服务器不被非法访问; 系统文件未经授权不得访问，从而避免引起系统混乱。Web服务器的数据安全是指存储在服务器里的数据和配置信息未经授权不能窃取、篡改和删除; 只允许授权用户访问Web发布的信息。 　　(2) 保护Web服务器和用户之间传递信息的安全。　　保护Web服务器和用户之间传递信息的安全主要包括3个方面的内容: 第一，必须确保用户提供给Web服务器的信息(用户名、密码、财务信息、访问的网页名等)不被第三方所窃听、篡改和破坏; 第二，对从Web服务器端发送给用户的信息要加以同样的保护; 第三，用户和服务器之间的链路也要进行保护，使得攻击者不能轻易地破坏该链路。 　　(3) 保护终端用户计算机及其他连入Internet的设备的安全。　　保护终端用户计算机的安全是指保证用户使用的Web浏览器和安全计算平台上的软件不会被病毒感染或被恶意程序破坏; 确保用户的隐私和私人信息不会遭到破坏。保护连入Internet设备的安全，主要是保护诸如路由器、交换机的正常运行，免遭破坏; 保证不被黑客安装监控以及后门程序。 10.1.3 Web安全技术的分类　　Web安全技术主要包括Web服务器安全技术、Web应用服务安全技术和Web浏览器安全技术三类。　　1. Web服务器安全技术 　当前，Web 服务器存在的安全威胁有端口扫描、Ping 扫射、NetBIOS 和服务器消息块( SMB) 枚举、拒绝服务攻击