第6课网站安全与发布.pptVIP

/webnew/ 第6章 网站安全与发布 /webnew/ 《网站规划建设与管理维护》第6章 网站安全与发布 6.1 安全问题概述 6.1.1 常见的安全问题及其解决方法 6.1.2 认证与加密 6.1.3 VPN技术 6.1.3 防火墙技术 6.1.4 入侵检测技术 6.1.5 系统备份 6.2 网站的测试与发布 6.2.1 网站测试 6.2.2 网站发布 6.3 著名网站安全策略简介 6.1.1 常见的安全问题及其解决方法 网络不安全的原因主要是：自身缺陷＋开放性＋黑客攻击 .常见的安全问题有： （1）拒绝服（DoS）务攻击 （2）缓冲区溢出 （3）特洛伊木马 （4）病毒 6.1 安全问题概述 随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给用户带来了安全问题。 了解网络安全问题，是保证网站正常工作中的重要内容。 6.1.2 认证与加密 信息认证与加密是网络安全的有效策略之一。 认证 认证(鉴权)就是指用户必须提供他是谁的证明, 他是某个雇员, 某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁，他具有什么特征, 他知道什么可用于识别他的东西。比如说, 系统中存储了他的指纹, 他接入网络时, 就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统), 只有指纹相符才允许他访问系统。更高级一些的是通过视网膜血管分布图来识别, 原理与指纹识别相同, 声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法, 一般是用智能卡或其它特殊形式的标志, 这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”, 最普通的就是口令, 口令具有共享秘密的属性。例如, 要使服务器操作系统识别要入网的用户, 那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较, 如果相符, 就通过了认证, 可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听, 如果口令以明码(未加密)传输, 接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来, 任何人只要获得这些信息就可以上网工作。 加密 信息加密的目的是保护计算机网络内的数据、文件，以及用户自身的敏感信息。网络加密常用的方法有链路加密、端到端加密和节点加密三种。链路加密的目的是保护链路两端网络设备间的通信安全；节点加密的目的是对源节点计算机到目的节点计算机之间的信息传输提供保护；端到端加密的目的是对源端用户到目的端用户的应用系统通信提供保护。用户可以根据需求酌情选择上述加密方式。 6.1.3 VPN技术 随着企业网应用的不断扩大，企业网的范围也不断扩大，从一个本地到一个跨地区跨城市甚至是跨国家的网络。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet)的发展，已经遍布各地，在物理上，各地的公众信息网都是连通的，但公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上存在着很多问题。如何能够利用现有的公众信息网，来安全地建立企业的专有网络呢？VPN的提出就是来解决这些问题。ＶＰＮ的组网方式为企业提供了一种低成本的网络基础设施，并增加了企业网络功能，扩大了其专用网的范围。 6.1.4 防火墙技术 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 6.1.5 入侵检测技术 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusio