前言：本站為你精心整理了Web的安全威脅分析論文范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要文章對(duì)web的安全威脅進(jìn)行分析，提出了Web安全防護(hù)措施，并基于Windows平臺(tái)簡(jiǎn)述了一個(gè)Web安全防護(hù)策略的具體應(yīng)用。

關(guān)鍵詞Web；網(wǎng)絡(luò)安全；安全威脅；安全防護(hù)

1引言

隨著Internet的普及，人們對(duì)其依賴也越來(lái)越強(qiáng)，但是由于Internet的開(kāi)放性，及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的安全考慮不完備，造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù)，Web站點(diǎn)被黑客入侵的事件屢有發(fā)生，Web安全問(wèn)題已引起人們的極大重視。

2Web的安全威脅

來(lái)自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣，依照Web訪問(wèn)的結(jié)構(gòu)，可將其分類為對(duì)Web服務(wù)器的安全威脅、對(duì)Web客戶機(jī)的安全威脅和對(duì)通信信道的安全威脅三類。

2.1對(duì)Web服務(wù)器的安全威脅

對(duì)于Web服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮：

2.1.1在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)（如存放用戶名、口令的文件）放置在不安全區(qū)域，被入侵后很容易得到。

2.1.2在Web數(shù)據(jù)庫(kù)中，保存的有價(jià)值信息（如商業(yè)機(jī)密數(shù)據(jù)、用戶信息等），如果數(shù)據(jù)庫(kù)安全配置不當(dāng)，很容易泄密。

2.1.3Web服務(wù)器本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。

2.1.4程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。用CGI腳本編寫的程序中的自身漏洞。

2.2對(duì)Web客戶機(jī)的安全威脅

現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用，活動(dòng)內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶透明的程序，它可以完成一些動(dòng)作，顯示動(dòng)態(tài)圖像、下載和播放音樂(lè)、視頻等。當(dāng)用戶使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí)，這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶機(jī)上運(yùn)行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機(jī)上的信息。主要用到JavaApplet和ActiveX技術(shù)。

JavaApplet使用Java語(yǔ)言開(kāi)發(fā)，隨頁(yè)面下載，Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng)，它不會(huì)訪問(wèn)系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實(shí)上JavaApplet存在安全漏洞，可能被利用進(jìn)行破壞。

ActiveX是微軟的一個(gè)控件技術(shù)，它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序，可以由微軟支持的多種語(yǔ)言開(kāi)發(fā)但只能運(yùn)行在Windows平臺(tái)。ActiveX在安全性上不如JavaApplet，一旦下載，能像其他程序一樣執(zhí)行，訪問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險(xiǎn)的。

Cookie是Netscape公司開(kāi)發(fā)的，用來(lái)改善HTTP的無(wú)狀態(tài)性。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車這樣要在一定時(shí)間內(nèi)記住用戶動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息，在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端，以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器，服務(wù)器用這個(gè)Cookie來(lái)記憶用戶和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像。Cookie不能用來(lái)竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息，它們只能在某種程度上存儲(chǔ)用戶的信息，如計(jì)算機(jī)名字、IP地址、瀏覽器名稱和訪問(wèn)的網(wǎng)頁(yè)的URL等。所以，Cookie是相對(duì)安全的。

2.3對(duì)通信信道的安全威脅

Internet是連接Web客戶機(jī)和服務(wù)器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對(duì)信道進(jìn)行偵聽(tīng)，竊取機(jī)密信息，存在著對(duì)保密性的安全威脅。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對(duì)信息完整性的安全威脅。此外，還有像利用拒絕服務(wù)攻擊，向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道，使網(wǎng)絡(luò)的速度便緩慢。

3Web的安全防護(hù)技術(shù)

3.1Web客戶端的安全防護(hù)

Web客戶端的防護(hù)措施，重點(diǎn)對(duì)Web程序組件的安全進(jìn)行防護(hù)，嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行?？梢栽跒g覽器進(jìn)行設(shè)置，如MicrosoftInternetExplorer的Internet選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉。在安全窗口中選擇自定義級(jí)別，將ActiveX組件的相關(guān)選項(xiàng)選為禁用。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別，也可以根據(jù)需要將c:windowscookie下的所有Cookie相關(guān)文件刪除。

3.2通信信道的安全防護(hù)

通信信道的防護(hù)措施，可在安全性要求較高的環(huán)境中，利用HTTPS協(xié)議替代HTTP協(xié)議。利用安全套接層協(xié)議SSL保證安全傳輸文件，SSL通過(guò)在客戶端瀏覽器軟件和Web服務(wù)器之間建立一條安全通信信道，實(shí)現(xiàn)信息在Internet中傳送的保密性和完整性。但SSL會(huì)造成Web服務(wù)器性能上的一些下降。

3.3Web服務(wù)器端的安全防護(hù)

限制在Web服務(wù)器中賬戶數(shù)量，對(duì)在Web服務(wù)器上建立的賬戶，在口令長(zhǎng)度及定期更改方面作出要求，防止被盜用。

Web服務(wù)器本身會(huì)存在一些安全上的漏洞，需要及時(shí)進(jìn)行版本升級(jí)更新。

盡量使EMAIL、數(shù)據(jù)庫(kù)等服務(wù)器與Web服務(wù)器分開(kāi)，去掉無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)。

在Web服務(wù)器上去掉一些不用的如SHELL之類的解釋器。

定期查看服務(wù)器中的日志文件，分析一切可疑事件。

設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性。

通過(guò)限制許可訪問(wèn)用戶IP或DNS。

從CGI編程角度考慮安全。采用編譯語(yǔ)言比解釋語(yǔ)言會(huì)更安全些，并且CGI程序應(yīng)放在獨(dú)立于HTML存放目錄之外的CGI-BIN下等措施。

4Web服務(wù)器安全防護(hù)策略的應(yīng)用

這里以目前應(yīng)用較多的Windows2000平臺(tái)和IIS的Web服務(wù)器為例簡(jiǎn)述Web服務(wù)器端安全防護(hù)的策略應(yīng)用。

4.1系統(tǒng)安裝的安全策略

安裝Windows2000系統(tǒng)時(shí)不要安裝多余的服務(wù)和多余的協(xié)議，因?yàn)橛械姆?wù)存在有漏洞，多余的協(xié)議會(huì)占用資源。安裝Windows2000后一定要及時(shí)安裝補(bǔ)丁4程序（W2KSP4_CN.exe），立刻安裝防病毒軟件。

4.2系統(tǒng)安全策略的配置

通過(guò)“本地安全策略”限制匿名訪問(wèn)本機(jī)用戶、限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問(wèn)等。通過(guò)“組策略”限制遠(yuǎn)程用戶對(duì)Netmeeting的桌面共享、限制用戶執(zhí)行Windows安裝任務(wù)等安全策略配置。

4.3IIS安全策略的應(yīng)用

在配置Internet信息服務(wù)（IIS）時(shí)，不要使用默認(rèn)的Web站點(diǎn)，刪除默認(rèn)的虛擬目錄映射；建立新站點(diǎn)，并對(duì)主目錄權(quán)限進(jìn)行設(shè)置。一般情況下設(shè)置成站點(diǎn)管理員和Administrator兩個(gè)用戶可完全控制，其他用戶可以讀取文件。

4.4審核日志策略的配置

當(dāng)Windows2000出現(xiàn)問(wèn)題的時(shí)候，通過(guò)對(duì)系統(tǒng)日志的分析，可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況，作為判斷故障原因的根據(jù)。一般情況下需要對(duì)常用的用戶登錄日志，HTTP和FTP日志進(jìn)行配置。

4.4.1設(shè)置登錄審核日志

審核事件分為成功事件和失敗事件。成功事件表示一個(gè)用戶成功地獲得了訪問(wèn)某種資源的權(quán)限，而失敗事件則表明用戶的嘗試失敗。超級(jí)秘書網(wǎng)

4.4.2設(shè)置HTTP審核日志

通過(guò)“Internet服務(wù)管理器”選擇Web站點(diǎn)的屬性，進(jìn)行設(shè)置日志的屬性，可根據(jù)需要修改日志的存放位置。

4.4.3設(shè)置FTP審核日志

設(shè)置方法同HTTP的設(shè)置基本一樣。選擇FTP站點(diǎn)，對(duì)其日志屬性進(jìn)行設(shè)置，然后修改日志的存放位置。

4.5網(wǎng)頁(yè)和下載的安全策略

因?yàn)閃eb服務(wù)器上的網(wǎng)頁(yè)，需要頻繁進(jìn)行修改。因此，要制定完善的維護(hù)策略，才能保證Web服務(wù)器的安全。有些管理員為方便起見(jiàn)，采用共享目錄的方法進(jìn)行網(wǎng)頁(yè)的下載和，但共享目錄方法很不安全。因此，在Web服務(wù)器上要取消所有的共享目錄。網(wǎng)頁(yè)的更新采用FTP方法進(jìn)行，選擇對(duì)該FTP站點(diǎn)的訪問(wèn)權(quán)限有“讀取、寫入”權(quán)限。對(duì)FTP站點(diǎn)屬性的“目錄安全性”在“拒絕訪問(wèn)”對(duì)話框中輸入管理維護(hù)工作站的IP地址，限定只有指定的計(jì)算機(jī)可以訪問(wèn)該FTP站點(diǎn)，并只能對(duì)站點(diǎn)目錄進(jìn)行讀寫操作。

5結(jié)束語(yǔ)

通過(guò)對(duì)Web安全威脅的討論及具體Web安全的防護(hù)，本文希望為用戶在安全上網(wǎng)或配置Web服務(wù)器安全過(guò)程中起到借鑒作用。