第15章应用安全.ppt

一、Web安全 2、Web安全措施 （1）定期扫描加固； （2）安装Web服务器保护系统 （3）采用完善的认证和加密措施 （4）设立代理服务器 （5）谨慎设置浏览器安全选项 一、Email安全 1、Email系统组成 Email系统主要由邮件分发代理、邮件传输代理、邮件用户代理及邮件工作站组成。 (1)邮件分发代理MDA：负责将邮件数据库中的邮件分发到用户的邮箱中。在分发邮件时，MDA还承担邮件自动过滤、邮件自动回复和邮件自动触发等任务。常见的MDA开放原代码程序有hinmail和promail等。 (2)邮件传输代理MTA：负责邮件的接收和发送，通常采用SMTP协议传输邮件。常见的MTA程序有sendmail、qmail和Postfix等。 (3)邮件用户代理MUA：MUA并不接收邮件，而是负责将邮箱中的邮件显示给用户。MUA常用的协议有POP3和IMAP，常见的程序有pine、kmai1等。 (4)邮件工作站：是邮件用户直接操作的计算机，负责显示、撰写邮件等。 Email安全目标 根据邮件系统的组成，可以将邮件安全的目标总结如下： (1)邮件分发安全：邮件分发时，可能遇到垃圾邮件、邮件病毒、开放转发等威胁，所以邮件分发安全应能阻止垃圾邮件和开放转发，并查杀己知病毒。 (2)邮件传输安全：邮件在传输过程中可能被窃听、篡改，因此必须保障邮件传输的 机密性和完整性。同时，邮件在传输中采用SMTP协议，该协议允许远程查询邮件账户， 因此，如何在高安全要求的系统中保护邮件账户的状态(如存在、可用等)也是安全的目标。 (3)邮件用户安全：邮件用户通过工作站，采用PoP3或IMAP等协议浏览邮件．这个过程中需要确认用户的身份，否则将导致邮件被非授权访问。同时，邮件在用户工作站上显示时，可能需要在本地执行显示软件，因而容易使病毒或其他有害代码发作。所以在工作站端，也要能支持病毒查杀功能。 Email安全措施 针对以上安全目标，常用的支全措施如下： (1)身份认证：包括邮件转发认证、邮件收发认证等、即在要求转发邮件时，必须经过认证，而不是开放转发。而在用户要求接收或发送邮件时，必须经过身份认证，以避免邮件在邮箱中被窃取。要特别强调的是，认证的口令要有足够强度，以防在线口令被破解。 (2)加密、签名：在传输中，必须采用加密和签名措施来保障重要邮件的机密性和完整性。目前，电子邮件己渐渐成为商务信函的重要形式，因此，必要时还要进行发送和接收签 名，以防止否认。在这方面，己有成熟的安全协议PGP和S/MIME等，将在后面详细介绍。 (3)协议过滤：为了防止邮件账号远程查询，要对SMTP的协议应答进行处理，如对VERY、EXPN等命令不予应答，或无信息应答。 (4)设立防火墙：经常设立内、外邮件服务器，在内、外服务器问设立防火墙。外服务器负责对外邮件的传输收发，而内服务器才是真正的用户邮件服务器。所有来自公网上的邮件操作均止于外服务器，再由外服务器转发。这样可以将真正的邮箱和公网隔离。 (5)安装邮件病毒过滤系统；在邮件服务器上安装邮件病毒过滤软件，使大部分邮件病毒在邮件分发时被分捡过滤。同时在邮件客户端也安装防病毒软件，在邮件打开显示前查杀病毒。 三、电子商务安全 SET协议是一种基于信用卡网上电子商务交易的安全标准，主要是为了解决用户、商家和银行之间通过信用卡支付的交易安全而设计的，用以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及互操作性。SET协议的核心技术包括电子安全证书、电子数字签名、电子信封等。 SET协议得到许多著名IT公司的支持，如IBM，MicROSOFT，RSA，Netscape等。 1、SET的安全目标 在一次完整的电子商务交易中，SET涉及到消费者(卡用户)、商家、收单银行、发卡银行和公证书中心（CA）等实体。 ．卡用户：持有信用卡的消费者； ．商家：提供网络购物的电子商店与提供电子交易服务的企业组织； ．收单银行：使用支付网关为电子商家提供处理卡的授权及支付服务的金融机构； ．发卡银行：负责信用卡的发放、账目管理、付款清算等业务的银行； ．证书中心(CA)：通常由一些发卡机构共同委派，负责向卡用户、电子商家发行X.509v3 公开密钥证书的机构。 SET的安全目标就是保障信息流在各实体间安全流动。具体如下： (1)保护信息的机密性；卡用户的账号以及支付信息必须通过安全的途径在Internet上 传输。值得注意的是，卡用户的某些信息对于商家而言应该是不可见的； (2)保护数据的完整性：