安全套接层协议SSL培训课件.pptVIP

SSL仍然不失为一套全面完善的安全策略中有效的组成元素。然而，与网络安全的其它工具软件一样，仅使用单一的防护软件都是远远不够的。对SSL的过高评价有可能带来高的安全风险，它仅仅是网络安全工具的一种，必须和其它网络安全工具紧密结合，方能构造出全面、完善、安全可靠的网络。 6.6 Web安全威胁 Web的全称是World Wide Web。Web面 临的主要安全威胁如下： Web服务器上的Web网页很容易收到攻击 Web 的下层软件结构复杂，存在大量的安 全漏洞 当Web服务器遭到破坏时，本地站点上的数据和系统也将面临威胁。（威胁的蔓延） 浏览器:如IE和Netscape等 Web服务器: IIS、 Domino?Go?WebServer Netscape?Enterprise?Server Appache 在浏览器端安装支持SSL的客户端证书（可选），然后把URL中的“http://”更换为“https://”。 CGI程序的安全性问题 CGI是Common Gateway Interface（通用网关接口）的简写，它是一个Web服务器主机提供信息服务的标准接口，通过提供这样一个标准接口，Web服务器能够执行应用程序并将它们的输出，如文字、图形、声音等传递给一个Web浏览器 CGI程序是WWW安全漏洞的主要来源 编写安全的CGI脚本 6.6.1 WWW的安全 Web服务器端安全性 服务器发布信息，提供服务 静态信息，各种HTML页面 动态信息，利用脚本或者各种扩展引擎响应客户的请求 安全性 目录安全性 只有指定范围的文件才可以被访问 例如，禁止URL中出现“..” Cgi文件的安全性，此目录禁止通过Web读写 检查每一个cgi文件，不要保留有漏洞的cgi文件，特别是系统预装的一些cgi示例文件，这些文件往往为了说明功能，而忽略了安全性的考虑 要求鉴别：由于协商的原因，要注意安全性最低的鉴别协议 授权机制：保护好口令的安全存储，以及客户信息的保存 日志：打开系统中对于Web服务的日志功能，以及Web服务的日志记录 服务器端的安全防护 有些应用使用SSL/TLS，为Web Service申请一个证书 Web Server往往是网络攻击的入口点 为了提供Web Service，必须要开放端口和一些目录，还要接受各种正常的连接请求 防火墙对Web Server的保护是有限的 为了安全，请: 及时打上Web Server软件厂商提供的补丁程序 特别是一些主流的服务软件，比如MS的IIS 控制目录和文件的权限 Web应用开发人员注意 在服务端的运行代码中，对于来自客户端的输入一定要进行验证 防止缓冲区溢出 安全Web服务器 安全Web服务器在提供常规的Web服务的同时，还具有以下特点： WEB页面加密存储方法，确保存储在WEB服务器上的页面文件的安全性； WEB页面的原始性鉴别技术； 分密级访问控制，确保不被非法访问； 严格的传输加密技术，确保信息不被监听； 数字水印日志，确保日志文件不可更改，为计算机取证提供支持； Web客户端的安全性 客户端安全性涉及到 Cookie的设置，保护用户的隐私 PKI设置，确定哪些是可信任的CA 对可执行代码的限制，包括JavaApplet，ActiveXcontrol 如果你的机器是多个人合用的，则 Web页面的缓存区域，将会留下用户最近访问过的页面 历史记录 口令自动保存和提示 …… 4.2.6 Plug-in的安全性 Plug-in在运行时完全作为浏览器的一部分 不要盲目执行任何从Internet上下载的程序 4.2.7 ActiveX的安全性 ActiveX技术是Microsoft提出的一组使用COM使得软件部件在网络环境中进行交互的技术集。 ActiveX的安全模型 用户可以禁用ActiveX 6.6.2 WWW的安全 4.2.8 cookie的安全性 cookie是对HTTP协议的一种补充，用来改善HTTP协议的无状态性 用户要注意防止cookie文件被盗 用户可以完全删除cookie文件 6.6.2 WWW的安全 4.3.1 Java的特点 Java是一种简单的、面向对象的、分布式的、解释型的、健壮的、安全的、体系中立的、可移植的、高性能的、多线程的、动态的语言。 特点 简单性 去掉了C和C++中的一些无用特性 接管了容易出错的任务 自动垃圾收集 系统精简 6.6.3Java的安全性 4.3.1 Java的特点 面向对象 分布式 支持基于网络的应用程序 解释性 Java是一门解释性的语言 Java程序在JVM（Java虚拟机）上运行 健壮性 强类型语言 内存模式改进 例外处理 6.