论文部分内容阅读
【摘 要】随着计算机的发展,Web服务器的应用已经非常广泛,可以说任何网络的核心都在于服务器,其中最主要的就是Web服务器。许多重要的数据都存储在服务器上,因此服务器也成为了网络不安全因素的重点。服务器的安全问题、敏感数据的防窃取和防篡改问题已经越来越被大家所重视。如何有效地保证服务器的安全,实现信息的保密性、完整性和有效性,已经成为研究的重要课题之一。
【关键词】Web服务器 安全策略 需求 防范
一、引言
随着基于Web的应用系统越来越多,Web又称World Wide Web(万维网),其基本结构是采用开放式的客户/服务器结构(Client/Server),分成服务器端、客户接收端以及传输规程三个部分:服务器规定传输设定、信息传输格式和服务器本身的开放式结构;客户机统称浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示;通信协议是Web浏览器与服务器之间进行通讯传输的规范。
二、Web安全需求
(一)Web带来的利益
1.建立和使用网站不再是什么困难的事情。软件丰富,硬件价格低廉,技术的普及,使得很多人都可以建立和使用网站来处理数据和信息。2.Web服务,可以减轻商家的负担,提高用户的满意度。因为它可以节省大量的人力,用户随时可以利用Web浏览器给商家反馈信息、提出意见和建议,并且可以得到自己的服务;商家则可以利用网络的Web,使得自己很容易的把服务推广到全球网络覆盖的地方,而不一定必须派专人作为商务代表常驻世界各地。3.Web增进了相互合作。传统的人们为了交流,要花费许多时间和金钱,长途跋涉或者等候邮局的包裹信函。通过Web,团队之间可以互相交流,费用低廉。
(二)Web带来的忧虑
1.信息泄漏。攻击者非法访问、获取目标机器(Web服务器或者浏览器)上的敏感信息;或者中途截取Web服务器和浏览器之间传输的敏感信息;或者由于配置、软件等的原因无意泄漏的敏感信息;2.拒绝服务。该威胁不容易抵御。攻击者的直接目的不在于侵入计算机,而是在短时间内向目标发送大量的正常的请求包并使得目标机器维持相应的连接,或者发送需要目标机器解析的大量无用的数据包。使得目标机器资源耗尽还是应接不暇,根本无法相应正常的服务。3.系统崩溃。通过Web篡改、毁坏信息,甚至篡改、删除关键文件,格式磁盘等等使得Web服务器或者浏览器崩溃。4.跳板。这种危险使得非法破坏者常常逍遥法外。攻击者非法侵入目标机器,并以此为基地,进一步攻击其他目标,从而使得这些目标机器成为“替罪羊”,遭受困扰甚至法律处分。
三、Web服务器安全策略
(一)Web服务器的安全策略和安全机制
Web服务器的安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略,这些安全策略因需求的不同而各不相同。对Web服务提供者来说,安全策略的一个重要的组成是哪些人可以访问哪些Web文档,同时还定义获权访问Web文档的人和使用这些访问的人的有关权力和责任。
安全机制是实现安全策略的技术或手段。必须根据需要和目标来设置安全系统,估计和分析可能的风险。定义安全策略,选择一套安全机制,首先要做的是威胁分析,主要包括以下几个方面:
1.有多少外部入口点存在?有哪些威胁?2.研究谁会对网络产生威胁:威胁来自黑客,还是训练有素的有知识的入侵者,还是来自工业间谍?3.分析会有什么样的威胁:入侵者访问哪些数据库、表、目录或信息?威胁是网络内部的非授权使用,还是移动数据?4.数据是遭受到了破坏,还是受到了攻击?攻击是网络内、外的非授权访问,还是地址欺骗、IP欺骗及协议欺骗等?
(二)安全管理Web服务器
安全管理Web服务器,可以从以下几个方面采取一些预防措施:1.对于在Web服务器上所开设的账户,应在口令长度及修改期限上作出具体要求,防止被盗用。2.限制在Web服务器开账户,定期删除一些短进程的用户。3.尽量在不同的服务器上运行不同的服务(如mail服务和Web服务等)程序。4.如果不需要,尽量关闭Web服务器上的特性服务,否则,有可能遭受到该特性所导致的安全威胁。5.定期查看服务器中的日志logs文件,应该定期地记录Web服务器的活动,分析一切可疑事件。
(三)Web服务器的安全防范
1.服务器自身防护。服务器自身的防护可分为两种方式:一种是内防:通过操作系统加固,首先在一个干净的服务器上安装操作系统,通过封闭技术将服务器变为一个可信机,在可信机的基础上,通过开放服务的方式再安装Web应用程序,最后再将操作系统进行封闭。别的应用程序在操作系统不开放的情况下,将无法安装。另一种方法是外防,不加固操作系统而是通过安防的形式实现防护,在Web应用服务器上安装软件杀毒软件、防火墙,再通过组策略设置严格的管控。
2.做好系统和数据的防护。在Web应用系统中,系统和数据安全是最重要的,系统一旦崩溃,Web应用将无法正常的访问,直接影响到用户,数据的损坏、丢失往往损失更大,很多数据是不可再生的。为了预防系统和数据的损坏和丢失,最好的办法是通过硬盘阵列进行备份,备份可分为本地备份和异地备份两种。
3.访问限制防护。大部分Hacker对Web服务器的非法访问都是通过非法技术手段,篡权取得超级管理员的管理权限,进而非法的访问、篡改Web服务器资源。可通过使用RAS功能,进行实时防范,更重要的是系统管理员要加强防范意识,经常查看系统账号,将不用的账号及时删除,并对Administrator密码定期更换。
参考文献:
[1]OTHMAR KAYS. 网络安全技术[M]. 北京:中国水利水电出版社, 1998
[2]霍宝锋. 常见网络攻击方法及其对策研究[J]. 计算机工程,2002,(8):9-11
[3]宁章. 计算机及网络安全与防护基础[M]. 北京:北京航空航天大学出版社,1999
[4]戴红.王海泉,黄坚.计算机网络安全[M].电子工业出版社,2004.
[5]夏龄;基于NT的Web服务器的安全问题及策略[J];西南民族大学学报(自然科学版);2003年05期.
[6]盛郁;郭景川;;影响网络信息安全性的因素与对策[A];’2001天津信息技术、电子、仪器仪表学术会议论文集[C];2001年
【关键词】Web服务器 安全策略 需求 防范
一、引言
随着基于Web的应用系统越来越多,Web又称World Wide Web(万维网),其基本结构是采用开放式的客户/服务器结构(Client/Server),分成服务器端、客户接收端以及传输规程三个部分:服务器规定传输设定、信息传输格式和服务器本身的开放式结构;客户机统称浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示;通信协议是Web浏览器与服务器之间进行通讯传输的规范。
二、Web安全需求
(一)Web带来的利益
1.建立和使用网站不再是什么困难的事情。软件丰富,硬件价格低廉,技术的普及,使得很多人都可以建立和使用网站来处理数据和信息。2.Web服务,可以减轻商家的负担,提高用户的满意度。因为它可以节省大量的人力,用户随时可以利用Web浏览器给商家反馈信息、提出意见和建议,并且可以得到自己的服务;商家则可以利用网络的Web,使得自己很容易的把服务推广到全球网络覆盖的地方,而不一定必须派专人作为商务代表常驻世界各地。3.Web增进了相互合作。传统的人们为了交流,要花费许多时间和金钱,长途跋涉或者等候邮局的包裹信函。通过Web,团队之间可以互相交流,费用低廉。
(二)Web带来的忧虑
1.信息泄漏。攻击者非法访问、获取目标机器(Web服务器或者浏览器)上的敏感信息;或者中途截取Web服务器和浏览器之间传输的敏感信息;或者由于配置、软件等的原因无意泄漏的敏感信息;2.拒绝服务。该威胁不容易抵御。攻击者的直接目的不在于侵入计算机,而是在短时间内向目标发送大量的正常的请求包并使得目标机器维持相应的连接,或者发送需要目标机器解析的大量无用的数据包。使得目标机器资源耗尽还是应接不暇,根本无法相应正常的服务。3.系统崩溃。通过Web篡改、毁坏信息,甚至篡改、删除关键文件,格式磁盘等等使得Web服务器或者浏览器崩溃。4.跳板。这种危险使得非法破坏者常常逍遥法外。攻击者非法侵入目标机器,并以此为基地,进一步攻击其他目标,从而使得这些目标机器成为“替罪羊”,遭受困扰甚至法律处分。
三、Web服务器安全策略
(一)Web服务器的安全策略和安全机制
Web服务器的安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略,这些安全策略因需求的不同而各不相同。对Web服务提供者来说,安全策略的一个重要的组成是哪些人可以访问哪些Web文档,同时还定义获权访问Web文档的人和使用这些访问的人的有关权力和责任。
安全机制是实现安全策略的技术或手段。必须根据需要和目标来设置安全系统,估计和分析可能的风险。定义安全策略,选择一套安全机制,首先要做的是威胁分析,主要包括以下几个方面:
1.有多少外部入口点存在?有哪些威胁?2.研究谁会对网络产生威胁:威胁来自黑客,还是训练有素的有知识的入侵者,还是来自工业间谍?3.分析会有什么样的威胁:入侵者访问哪些数据库、表、目录或信息?威胁是网络内部的非授权使用,还是移动数据?4.数据是遭受到了破坏,还是受到了攻击?攻击是网络内、外的非授权访问,还是地址欺骗、IP欺骗及协议欺骗等?
(二)安全管理Web服务器
安全管理Web服务器,可以从以下几个方面采取一些预防措施:1.对于在Web服务器上所开设的账户,应在口令长度及修改期限上作出具体要求,防止被盗用。2.限制在Web服务器开账户,定期删除一些短进程的用户。3.尽量在不同的服务器上运行不同的服务(如mail服务和Web服务等)程序。4.如果不需要,尽量关闭Web服务器上的特性服务,否则,有可能遭受到该特性所导致的安全威胁。5.定期查看服务器中的日志logs文件,应该定期地记录Web服务器的活动,分析一切可疑事件。
(三)Web服务器的安全防范
1.服务器自身防护。服务器自身的防护可分为两种方式:一种是内防:通过操作系统加固,首先在一个干净的服务器上安装操作系统,通过封闭技术将服务器变为一个可信机,在可信机的基础上,通过开放服务的方式再安装Web应用程序,最后再将操作系统进行封闭。别的应用程序在操作系统不开放的情况下,将无法安装。另一种方法是外防,不加固操作系统而是通过安防的形式实现防护,在Web应用服务器上安装软件杀毒软件、防火墙,再通过组策略设置严格的管控。
2.做好系统和数据的防护。在Web应用系统中,系统和数据安全是最重要的,系统一旦崩溃,Web应用将无法正常的访问,直接影响到用户,数据的损坏、丢失往往损失更大,很多数据是不可再生的。为了预防系统和数据的损坏和丢失,最好的办法是通过硬盘阵列进行备份,备份可分为本地备份和异地备份两种。
3.访问限制防护。大部分Hacker对Web服务器的非法访问都是通过非法技术手段,篡权取得超级管理员的管理权限,进而非法的访问、篡改Web服务器资源。可通过使用RAS功能,进行实时防范,更重要的是系统管理员要加强防范意识,经常查看系统账号,将不用的账号及时删除,并对Administrator密码定期更换。
参考文献:
[1]OTHMAR KAYS. 网络安全技术[M]. 北京:中国水利水电出版社, 1998
[2]霍宝锋. 常见网络攻击方法及其对策研究[J]. 计算机工程,2002,(8):9-11
[3]宁章. 计算机及网络安全与防护基础[M]. 北京:北京航空航天大学出版社,1999
[4]戴红.王海泉,黄坚.计算机网络安全[M].电子工业出版社,2004.
[5]夏龄;基于NT的Web服务器的安全问题及策略[J];西南民族大学学报(自然科学版);2003年05期.
[6]盛郁;郭景川;;影响网络信息安全性的因素与对策[A];’2001天津信息技术、电子、仪器仪表学术会议论文集[C];2001年