Web系统安全配置及系统保护

单元三单元三网络系统的安全配置与管理网络系统的安全配置与管理 项目一项目一WebWeb 系统安全配置及系统保护系统安全配置及系统保护 教学目标教学目标 1．理解 WEB 系统的安全体系结构、安全需求、安全原则、安全制定策略与配置； 2．掌握系统安装正确选择、系统安装正确定制； 3．掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置； 4．掌握 Web 安全的基本配置； 教学要求教学要求 1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养 严谨科学的实践操作习惯； 2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3．教学环境： Windows 7 以及 Windows server2003/2008以上操作系统。 知识要点知识要点 1．WEB 系统的安全体系结构、安全需求； 2．WEB 服务器、浏览器的安全体系结构、安全原则、安全制定策略与配置； 技术要点技术要点 1．掌握系统安装正确选择、系统安装正确定制； 2．掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置； 3．掌握 Web 安全的基本配置； 技能训练技能训练 一．讲授与示范一．讲授与示范 正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和 其他内容复制到该文件夹中。 ( (一一) Web) Web系统安全概述系统安全概述 1 1．．WebWeb 的安全体系结构的安全体系结构 1）Web 的安全需求 2）Web 的安全体系结构 2 2．．WebWeb 服务器的安全需求服务器的安全需求 1）维护公布信息的真实完整 2）维持 Web 服务的安全可用 3）保护 Web 访问者的隐私 4）保证 Web 服务器不被入侵者作为“跳板”使用 3 3．．WebWeb 浏览器的安全需求浏览器的安全需求 1）保证浏览器系统不被病毒破坏 2）保证浏览器端个人安全信息不外泄 3）保证所交互的站点的真实性，避免被冒 4 4．．WebWeb 传输的安全需求传输的安全需求 1）保证发送者（信息）的真实性 2）保证传输信息的完整性 3）对特殊的安全性较高的Web，需要传输的保密性 4）对认证应用的 WEB，需要信息的不可否认性 5）对于防伪要求较高的Web 应用，保证信息的不可重用性 5 5．．WebWeb 系统的典型安全漏洞系统的典型安全漏洞 1）操作系统安全漏洞 2）网络系统的安全漏洞 3）应用系统的安全漏洞 4）网络安全防护系统不健全 5）其他安全漏洞 ( (二二)Web)Web系统的安全原则系统的安全原则 1 1．浏览器与服务器建立联接的过程．浏览器与服务器建立联接的过程 IP 地址或代理服务器的 IP 浏览器 客户机 服务器 通过一个域名 服务器转换 验证/决定客户权限客户的域名 IP 地址设 置不正确 服务器伪造地址 2 2．安全策略制定原则．安全策略制定原则 1 1）基本原则）基本原则 每个 Web站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安 全系统的基本依据。 2 2）服务器记录原则）服务器记录原则 管理者不得打开或查看客户或用户的统计资料，一般情况必须具有最高权限的管理者才能进行。 ( (三三)Web)Web服务器安全服务器安全 1 1．．WebWeb 服务器安全策略服务器安全策略 1）制定安全政策 做好安全威胁的分析、网络安全资源并进行重要等级划分、进行安全风险评估、制定安全策略的基本原则、 建立安全培训制度、具有意外事件处理。 2）认真组织和管理 WEB 服务器 选好 WEB 服务器设备和相关软件(多查询)、认真配置 WEB 服务器、安全管理 WEB 服务器、时刻关注安全 信息。 2 2．．WebWeb 服务器的安全配置及安全特性服务器的安全配置及安全特性 1 1）加强）加强 WebWeb 服务器隔离法服务器隔离法 利用智能 HUB 或二层以上交换机隔离Web服务器，使用防火墙过滤功能将WEB 服务器和内网隔离。 2 2））WebWeb 服务器备份服务器备份 真实可靠、备份存储的地方是非常可靠和安全的。 3 3）合理配置主机操作系统）合理配置主机操作系统 防止 IP 欺骗，避免口令泄露，不要使用弱口令，权限应合理设置，禁止远程管理，记录服务器的安全状态， 不要使用安全性脆弱的自动目录表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态，将敏 感文件放在基本系统中并设二级系统，可将WEB 服务器当作无权的用户运行。 4 4）合配置）合配置 WEBWEB 服务器软件服务器软件 A．访问控制规则要通过IP 地址、子网域名来控制，并用用户名和口令限制控制访问，最好用公用密钥加密 的方法控制访问； B．相关目录必须设置权限，谨用安全性较差的WEB 服务器功能； C．把服务限制在有限的文件空间范围内，记录服务器的安全状态； D．减少远程管理等功能。 5 5）排除站点中的安全漏洞）排除站点中的安全漏洞 A．物理的漏洞由未授权人员访问引起，他们能浏览那些不被允许的地方。 B．软件漏洞是由“错误授权”的应用程序引起，它会执行不应执行的功能。 C．不兼容问题漏洞是由不良系统集成引起。 6 6）安全管理）安全管理 WEBWEB 服务器服务器 A．更新 WEB 服务器内容采用本地更新安全方式 B．监视控制 Web站点出入情况 服务器日常受访次数、受访增加次数 用户来源、一周最忙的时间、一天内最忙的时间 服务器哪类信息被访问、哪张页面最受欢迎 每个目录用户访问，访问站点的浏览器、提交方式 C．测算命中次数 确定站点命中次数、确定站点访问者数目 D．定期对 WEB 服务器进行安全检查 ( (四四)Web)Web浏览器的安全浏览器的安全 IEIE 功能：功能：调用主机或服务器的系统中的有关的应用程序，以便正确显示从Web服务器取得的各类型信息。 1 1．．CookieCookie 的安全的安全 1）用途：储存注册口令、用户名、信用卡号等私人信息 2）在 IE 中禁止使用 Cookie 存储有关信息 2 2．．JavaJava 及及 Active XActive X 的安全性的安全性 1 1））PostScriptPostScript 文件的命令文件的命令 作用：作用：能显示简单的文本，也可运用一定的文件系统命令 命令：命令：Open、Create、Copy、Delete 等命令能用于引发安全问题或病毒 2 2））Java AppletJava Applet 的安全隐患的安全隐患 作用：作用：减少 Applet 偷看用户私人文档并传回服务器的可能、随意的主机建立连接的能力。 隐患：隐患：抢占系统资源，引发资源的浪费，造成拒绝服务攻击的脆弱性 3 3））Java ScriptJava Script 的安全漏洞的安全漏洞 能够截取用户的电子邮件地址和其他信息，截取本地主机上的文件，监视会话过程，也存在信息泄露和文件 上传的安全漏洞 4 4））Active XActive X 的安全隐患的安全隐患 由于 Active X 对它的控件能够完成的任务不加限制，因此每个Ac