第8章节-web安全.pptVIP

第8章 Web安全 重点和难点 SSL和TLS协议的结构和功能特点 Web应用系统的安全隐患、安全策略和安全使用 掌握 SSL的基本原理和所提供的安全保护功能 保护Web应用系统安全的基本方法 了解 Web应用系统所面临的主要威胁和安全需求 实践技能 结合具体的Web应用系统，通过配置或设计安全插件增强Web应用系统的安全性 8.1 Web的安全需求 根据目前的技术水平，Web服务所面临的威胁有以下几种： 1．对Web的依赖 起来越多的人和公司在日常生活和工作中依赖Web系统。由于Web服务器的复杂性，使依赖这些服务器的系统经常面临一些无法预测的风险和缺陷。 2．黑客的攻击 黑客的攻击行动是无时无刻不在进行的，而且会利用系统和管理的一切可能利用的漏洞。若Web服务器存在漏洞，则黑客可以轻易地骗过Web服务器的软件，从而得到操作系统的口令（例如UNIX系统的口令文件），并将它送回。 黑客还能够开发欺骗程序，然后装入UNIX服务器中，用以监听登录会话。当发现有用户登录时，便开始存储文件，这样黑客就有了他的账号和口令。 3．病毒的干扰 近几年来，计算机病毒的种类层出不群，它们的破坏威力也越来越强，而且这些新型病毒大多是通过网络进行传播的，这就增加了网络受威胁和破坏的程度。 4．工业间谍 公司的员工或黑客可能被其他公司或组织收买为其服务，这就是工业间谍。被盗的信息中具有破坏力的包括制造和产品开发信息，销售和支出数据，客户名单和计划信息等。 5．恶意代码 恶意代码不仅限于病毒、蠕虫、特洛伊木马和逻辑炸弹，还有其他未经授权的软件。 6．舞弊与盗窃 Web技术事实上是信息技术，在为人们带来利益的同时，也日益被用于舞弊和盗窃。 7．发泄不满 有些人为了发泄不满情绪，可能在Web站点上开些玩笑，甚至捣鬼和破坏。 8．错误或失误 Web的主管、设计者、操作者和程序员，或者是上级专家，有时也可能出现失误，这会给Web带来安全问题。 9．网关接口的漏洞 许多Web页面显示文件和指向其他站点的超链接，然而有些站点用到这些超链接所指的站点寻找特定信息。搜索引擎是通过通用网关接口（CGI）脚本执行的方式实现的。黑客可修改这些CGI脚本，以执行他们的非法任务。 10．机密性缺口 政府、信用卡机构以及其他电子部门收集了许多有关个人和公司的信息。从作者版权到捐献者名单，Web已经拥有几个运行巨大数据库的站点。 11．跳板 攻击者非法侵入目标主机，并以此为基地，进一步攻击其它的目标，从而使这些被利用的目标主机成为“替罪羊”，遭受困扰甚至法律制裁。 8.1.2 Web的安全体系结构 Web 的安全体系结构非常复杂，主要包括以下几个方面： 1）客户端软件（既Web浏览器软件）的安全； 2）运行浏览器的计算机设备及其操作系统的安全； 3）客户端的局域网（LAN）； 4）Internet； 5）服务器端的局域网（LAN）； 6）服务器端的计算机设备及操作系统的安全； 7）服务器上的Web服务器软件。 8.1.3 Web的安全需求 Web的服务器端和客户端是分别针对网络服务器和网络工作站（客户机）设计的，同时也承担着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。 1．Web服务器的安全需求 为了满足Web服务器的安全需求，必须对各类用户访问Web资源的权限作严格管理；维持Web服务的可用性，采取积极主动的预防、检测措施，防止他人破坏，造成设备、操作系统停运或服务瘫痪；确保Web服务器不被用做跳板来进一步侵入内部网络和其他网络，使内部网免遭破，同时避免不必要的麻烦甚至法律纠纷。所以要真正做到安全，就需要考虑安全需求，主要有以下几个方面： 1）维护公布信息的真实完整 Web服务器在一定程度上是站点拥有者的代言人，代表拥有者的形象。如果公布的信息被人篡改，可能会使得信息遭到破坏，无法实现真正的提供信息服务，甚至会导致用户和站点拥有者的矛盾或者影响站点拥有者的形象。 2）维持Web服务的安全可用 为确保Web服务的确实有效，一方面要确保用户能够获得Web服务，防止系统本身可能出现的问题以及他人的恶意的破坏；另一方面，要确保所提供的服务是可信的，尤其是像金融或者电子商务这样的重要站点。 3）保护Web访问者的隐私 在服务器上一般保留着用户的个人信息，一般情况下，用户不希望自己的隐私被别人发现甚至利用，保护Web访问者的隐私是取得用户的信赖和使用Web服务器的前提。Web服务器应确保这些信息的存储安全、不被泄漏。 4）保证Web服务器不被入侵者作为“跳板”使用 首先，Web服务器不能被作为“跳板”来进一步侵入内部网络系统；其次，要保证Web服务器不被用作“跳板”来进一步危害其他