1.3 论文构成及研究内容
本文根据对Web安全概念做出的定义,分系统安全、程序安全、数据安全和通信安全对Web安全问题所涉及的四个主要方面分章节做出相应的论述。系统安全方面,介绍和分析两大类操作系统类UNIX和Windows,并对Apache和IIS平台的安全设置进行了一定分析。程序安全方面,主要介绍了ASP和PHP这两种个人常有的编程语言,并对企业级开发语言ASP.Net和JSP做了粗略的介绍。通信安全方面,通过对客户端脚本ActiveX和JavaScript,以及Cookies的研究,大致地对Web客户端安全做出了分析。数据安全方面,一是论述了常见数据库的安全,二是介绍了时下最新的数据安全威胁——盗链和采集,并给出了相应的解决办法。
2 WEB安全概述
2.1 WEB安全的定义
Web作为建立在Internet基础上的应用,Web安全的定义不可避免地与网络安全和信息安全概念相重叠,其内涵和外延可看作网络安全和信息安全的一个子集。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。[1]国家信息安全重点实验室对信息安全给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”据此我们给Web安全做出如下定义:Web安全是指信息在网络传输过程中不丢失、不被篡改和只被授权用户使用,包括系统安全、程序安全、数据安全和通信安全。本文即根据此定义分章论述。
2.2 WEB安全面临的问题
2.2.1 WEB服务器的安全
在Web安全中,服务器的安全是最基础也是最困难的,因为服务器的源代码庞杂,如FreeBSD6.0的汇编行数达到1,271,723,OpenBSD则有1,260,707[2],Windows Vista更是达到惊人的5000万行。针对Web服务器具体的安全威胁主要体现在:服务器程序编写不当导致的远程代码执行;应用程序编写不当、过滤不严格造成的代码注入,可能引起信息泄漏、文件越权下载、验证绕过、远程代码执行等;乐观相信用户输入、过滤不严格导致跨站脚本攻击,在欺骗管理员的前提下,通过精心设计的脚本获得服务端Shell;针对服务器系统的拒绝服务攻击。
2.2.2 WEB客户端的安全
当用户使用浏览器查看、编辑网络内容时,采用了ActiveX、Java Applet、Cookie等技术的应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。对于恶意程序的侵害,用户很难实时的判断程序性质,因此,在获得高度交互的Web服务时,如何抵御这些安全威胁绝非简单的客户端设置就可以解决的。同时,跨站脚本攻击对于客户端的安全威胁同样无法忽视,跨站脚本攻击属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。与之相对的是,利用跨站脚本攻击的蠕虫已经在网络中肆虐过。
2.2.3 WEB通信的安全
和其他的Internet应用一样,Web信道同样面临着网络嗅探和以拥塞信道、耗费资源为目的的拒绝服务攻击的威胁。需要注意的是,很多针对Web应用的攻击并非只针对服务端、客户端或信道,综合利用各方面的安全漏洞进行攻击的案例数不胜数。
2.3 WEB安全的对策
2.3.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
2.3.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。
2.3.3 信息加密策略
信息加密的目的是保护Web服务的数据、文件、密码和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
2.3.4 安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
3 系统平台安全
作为Web应用的基础,操作系统以及提供Web服务的应用软件的安全直接关系到整个Web服务和应用的安全。Internet发展到现在,用于实现Web服务的操作系统主要是类UNIX系统(包括AIX,HP-UX,SCO, FreeBSD, NetBSD, OpenBSD,Solaris,Linux发行版等)和windows系统,搭建Web服务的平台则主要使用Apache和IIS。本章将对他们的安全性和设置进行大致的分析和说明。
3.1 操作系统
3.1.1 UNIX操作系统
UNIX于1969年产生于AT&T贝尔实验室,并同时诞生了划时代的编程语言C。在三十多年的发展过程中,产生了众多分支。比较著名的有:SUN公司的SunOS,后来发展为跨平台的工作站操作系统Solaris;同样基于加州大学伯克利分校BSD的NetBSD、FreeBSD和OpenBSD,其中FreeBSD因易于在PC上安装而影响巨大,NetBSD注重于不同的CPU 结构和网络服务,OpenBSD注重安全性;还有就是由芬兰赫尔辛基大学Linus Torvalds开创的Linux和众多的发行版,如RedHat,Suse,Novell,Debian,Turbolinux。随着中国计算机网络的发展,国人也开发出了众多的类UNIX系统,如国防科大的麒麟,中科院的红旗,为中国的信息化建设提供了安全的基础平台。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
