论文：Web安全对策研究

Web安全对策研究

摘 要

本文主要以Web应用和服务的大众化平台——网站系统的安全为研究对象包括服务器、操作系统、数据库、编程语言和客户端，分析Web应用中存在的各种安全问题、Web网络的安全性设置问题、如何保护Web站点上的机密数据问题、各种Web服务器的安全设置问题和各种程序语言的安全问题。在研究方法上，根据系统论的观点，将Web安全的各个问题分类，按照系统平台安全、程序安全、数据安全和通信安全的结构来组织全文。并采用理论分析与实践结合的方法来书写文章的内容。通过以上分析，得出了一些加强Web安全的可操作性经验和对策。这些对策体现了现在通用的最佳实践原则。

关键词： 网站； Web安全 ；系统安全

Research on Web Security’s Countermeasures

Abstract
This thesis researched the security of the website system ，which is the popular Web applications and services platform. This system is include servers, operating system, database, web procedure and the client. The thesis analysis the various security issues of Web applications, how to set up a security configuration, how to protect the confidential data on the website, all kinds of Web server's security settings and various programming language’s security. In the research methods, according to the theory of system, this thesis sort out Web security issues as system Platform security, process security, communication security and security of the data. And the thesis' structure was organized by the classification. The contents of the thesis were written not only by theoretical analysis but also by practice approach. After the research, we got some strengthening of the security Web operational experience and countermeasures. Those countermeasures are in the rule of best practice.

keyword：Website；Web Security；System Security

目 录
摘 要 I

Abstract II

目 录 III

1 绪论 1

1.1 课题背景及目的 1

1.2 国内外研究状况 1

1.3 论文构成及研究内容 2

2 WEB安全概述 3

2.1 WEB安全的定义 3

2.2 WEB安全面临的问题 3

2.2.1 WEB服务器的安全 3

2.2.2 WEB客户端的安全 3

2.2.3 WEB通信的安全 4

2.3 WEB安全的对策 4

2.3.1 物理安全策略 4

2.3.2 访问控制策略 4

2.3.3 信息加密策略 5

2.3.4 安全管理策略 5

3 系统平台安全 6

3.1 操作系统 6

3.1.1 UNIX操作系统 6

3.1.2 LINUX安全设置 6

3.1.3 WINDOWS系统 7

3.2 WEB服务器平台 8

3.2.1 IIS平台 8

3.2.1.1 删除不必要的虚拟目录 8

3.2.1.2删除危险的IIS组件 8

3.2.1.3为IIS中的文件分类设置权限 9

3.2.1.4删除不必要的应用程序映射 9

3.2.2 APACHE平台 10

3.2.2.1 APACHE服务器的安全特性 10

3.2.2.2 APACHE主要的安全缺陷 10

3.2.2.3 APACHE的安全配置 11

4 程序安全 12

4.1 ASP程序 12

4.1.1 源代码泄露 12

4.1.2 SQL注入 12

4.2 PHP程序 13

4.2.1 关闭错误显示 13

4.2.2 开启安全模式 13

4.3 ASP.NET和JSP 程序 14

5 数据安全 14

5.1 常用数据库 14

5.1.1 ACCESS数据库 14

5.1.1.1 ACCESS数据库的存储隐患 14

5.1.1.2 ACCESS数据库的解密隐患 15

5.1.1.3 防止ACCESS数据库被下载 15

5.1.2 MSSQL数据库 15

5.1.2.1使用加密协议 15

5.1.2.2 修改所使用的TCP/IP端口 16

5.1.3 MYSQL数据库 16

5.1.3.1 帐户安全 16

5.1.3.2 访问安全 16

5.2 防盗链和采集 16

5.2.1 防盗链 17

5.4.2 防采集 17

6 网络安全 17

6.1 客户端安全性 18

6.1.1 ACTIVEX 18

6.1.2 JAVASCRIPT 18

6.1.3 COOKIES 18

6.2 黑客攻击 18

6.2.1 获得系统权限 19

6.2.2 中止WEB服务 19

6.3 防火墙 19

6.3.1 包过滤防火墙 19

6.3.2 代理防火墙 19

6.3.3 双穴主机防火墙 20

总　 结 21

致 谢 21

参考文献 23

1 绪论
1.1 课题背景及目的
中国的互联网发展已进入了第二个十年，随着互联网的基础设施的建设，人们观念意识的变革，互联网越来越成为人们生活中不可分割的一部分。基于互联网的Web应用如火如荼，迅速发展，各类网站数量也呈井喷式增长，随之而来的，是日益突出的安全问题。不断被发现的漏洞，黑客的恶意攻击，在网络上疯狂爬行的蠕虫，迅速扩散的病毒，盗取虚拟财物的木马，所有这一切都令人惶惶不可终日。人们一方面享受着 Web带来的好处，另一方面却要忍受着不可预料的安全威胁。本课题就是针对这种尴尬的现状，全面地介绍和分析Web服务和应用中存在的各种漏洞和所面临的各种威胁，探讨Web安全问题的对策。

1.2 国内外研究状况
目前和相当一段时间内，国内外关于Web安全的研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。安全协议的制定方面，已经提出了大量实用的安全协议，具有代表性的有：电子商务协议SET，IPSec协议，SSL/TLS协议，简单网络管理协议SNMP， PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。这些协议的安全性分析特别是电子商务协议，IPSec协议，TLS协议是当前协议研究中的热点。系统平台的安全方面主要研究安全操作系统、安全数据库等，以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置；还有就是针对黑客常用的攻击手段制定安全策略。网站程序的安全编程方面，主要研究规范化编程以及现有编程语言（ASP,ASP.NET,PHP,CGI,JSP等）的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面，目前在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有主要的发展方向和产品种类上，都包含了密码技术的应用，并且是非常基础性的应用。 Web服务器的安全控制方面，主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置，如Apache的访问控制机制、安全模块，IIS的安全锁定等。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!