Web信息安全的研究.docVIP

Web信息安全的研究 　　引言:互联网为信息共享、信息交流、信息服务创造了理想空间,网络技术的发展和应用,为图书馆提升信息服务能力和品质提供了巨大的推动力。然而,互联网使用也同时带来了一定的风险。对于Web系统开发和管理人员来说,保证Web站点的安全是一个关键而又复杂的问题。 　　 　　1 基于Web的信息系统安全 　　 　　1.1基于Web的信息系统的体系结构 　　基于Web的信息系统一般由浏览器、Web服务器,数据库服务器组成,结构如图所示。 　　基于的信息系统结构 　　由图可见,基于Web信息系统的安全将涉及服务器所采用的操作系统、数据库管理系统、Web服务器、应用程序等领域。 　　1.2 信息系统运作模式 　　实现基于Web服务的管理信息系统,首先把管理信息系统所需完成的各种功能分解,形成一定粒度的小功 　　能模块,每一个模块用一个Web服务或者多个集成的Web服务来完成。所有的Web服务建立后注册到企业私有UDD I中,并根据粒度和功能进行分类。然后根据信息系统需求,从企业私有UDD I中查找引用相关Web服务集成信息系统。当企业要开发新的或者升级已有应用程序时,首先开发实现新功能的Web服务并注册到企业私有UDD I中,然后根据UDD I中的Web服务技术描述,集成各种功能的Web服务形成所需系统。 　　 　　2 web信息系统的安全性分析 　　 　　信息系统的安全性包含两部分内容:一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。在开放的网络环境下,系统安全的保障则更加困难。基于的信息系统安全体系大致分为网络系统、操作系统、web服务器及应用程序和数据库等多个层次。 　　web信息安全隐患主要有以下5个方面: 　　(1)网络系统安全隐患。(2)操作系统安全隐患。(3)Web服务器安全隐患。(4)数据库及应用程序安全隐患。(5)安全意识和管理制度。 　　 　　3 基于IIS的web信息系统安全策略 　　 　　3.1网络系统的安全策略 　　一般web网站都要对Internet开放,网站所在的网络系统的安全性能对web网站影响很大。网络系统的安全设计要在网络整体规划中明确,所涉及的内容很多,针对保护web网站提出的几点措施有:设置防火墙,合理划分VLAN,正确启用Internet服务和安装入侵检测和实时监控软件等。 　　3.2操作系统的安全策略 　　操作系统的安全是Web网站最基本也是最重要的安全保证。 　　3.2.1 安全安装 　　操作系统的安全安装要注意以下几点:尽量选择英文版的操作系统,服务器硬盘至少建立两个分区,采用NTFS文件分区格式,系统安装依据最小安装原则,安装最新Server Packs和补丁。 　　3.2.2 安全配置 　　尽管安装时做了很多工作,但系统还是存在非常多的安全隐患。根据“最少的服务+最小的权限=最大的安全”的原则,需要进一步对系统进行安全配置: 　　(1)关闭不必要的服务,除非必要,建议禁用不用的服务。 　　(2)关闭不必要的端口,通过TCP/IP筛选只打开必要的端口。 　　(3)更改系统内建的超级用户Administrator的名称,禁用Guest账号。 　　3.2.3 安全管理 　　操作系统的安全管理包括很多方面的工作主要有:记录服务器安装配置情况和更改日志、留意Microsoft最新安全公告、及时打补丁、更具情况的变化增加安全设置、经常查看安全审核日志、备份系统配置信息和其它重要数据等。 　　3.3管理制度与安全意识 　　安全不仅仅是技术问题,更多的时候是意识和制度的问题。首先是要重视网络和网站安全的设计。建立机房制度和重要设备的操作规章;其次要制定用户操作守则,对用户进行安全知识培训和操作方法培训;对于安全性要求较高的网站,建议采用国际化标准(ISO)的安全管理模式,即PDCA模式来进行网站的安全管理。 　　 　　4 Web安全问题的研究 　　 　　4.1对Web服务软件及其主机环境安全的威胁 　　由于Web 系统设计的最高目标是考虑如何使各种服务软件尽可能地到达无缝连接,还有在系统设计当初也没考虑其安全问题,使得对Web 安全的研究困难重重。另外,Web 环境的以下特点也使得研究变得复杂化:与所在的位置无关、无状态性、代码和用户的移动性、通信双方互为陌生或不可信。 　　保护Web服务软件及其主机环境的安全,首先要认清其主要威胁或可能的脆弱点。Web安全的根本威胁来自复杂性、访问控制、科说明性和审计。 　　4.2 研究途径和方法 　　广为采用的方法和手段大致分为两类: 　　从保证其信息的保密性和存取控制出发,利用加密的办法解决WWW的安全性问题,如SHTT