申请网站
忘记密码
密 码:
登录名:
建站咨询热线:
0532-88781131
、
18562723728
知识普及 » 网站安全的威胁与防护
网站安全的威胁与防护
奈薇建站网
于
2009-09-28 18:20
发表
阅读次数
3551
次
摘 要:对目前日益严峻的网站安全问题进行分析,提出了网站安全防护措施,通过基于UNIX和Windows等常用平台,介绍WEB网站的防护经验。
关键词:网站;安全;防护
1 网站技术简介安全威胁的来源
转自:
奈微建站网
(www.nev.cn)
1.1 WWW技术简介
World Wide Web称为万维网,简称Web。分成服务器端、客户接收机及通讯协议三个部分。
1.1.1 服务器(Web服务器)
服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档,按用户的要求返回信息。
1.1.2 客户接收机(Web浏览器)
客户机系统称为Web浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。
1.1.3 通讯协议(HTTP协议)
Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperText Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。
1.2 服务器安全威胁
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:
Web服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。
Web数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,导致数据丢失或服务中断。
Web服务器上的数据存储结构不合理,没有划分安全区域或重要数据没有存放在安全区域,导致被侵入。
Web服务器上运行的程序存在安全漏洞,或应用程序所需要的权限过高没有优化,容易被黑客侵入。
1.3 客户端安全威胁
现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。主要用到Java Applet、ActiveX、Cookie等技术都存在不同的安全隐患。
1.4 数据传输中的安全威胁
Internet是连接Web客户机和服务器通信的信道,是不安全的。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。
2 WEB安全保护的原则
2.1 实用的原则
针对网站架构,网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全,在攻击行为发生前,做到防患于未然是预防措施的关键。
2.2 积极预防的原则
对WEB系统进行安全评估,权衡考虑各类安全资源的价值和对它们实施保护所需要的费用,通过评估,确定不安全情况发生的几率,采用必要的软硬件产品,加强网站日常安全监控。
2.3 及时补救的原则
在攻击事件发生后尽快恢复系统的正常运行,并找出发生攻击事件问题的原因,将损失降至最低,并研究攻击发生后应对措施。
3 建立安全的Web网站
3.1 合理配置主机系统
3.1.1 仅提供必要的服务
默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等,Windows NT系统将提供RPC、IP)转发、FTP、SMTP等。而且,系统在缺省的情况下自动启用这些服务,或提供简单易用的配置向导。为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于UNIX系统,应检查/etc/rc.d/目录下的各个目录中的文件,删除不必要的文件;对于Windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件。一般情况下,应关闭Web服务器的IP转发功能。
对于专门提供Web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作Web服务器系统,对外只提供Web服务,没有其他任务。这样,可以保证(1)使系统最好地为Web服务提供支持;(2)管理人员单一,避免发生管理员之间的合作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。
对于必须提供其他服务,则必须仔细设置目录、文件的访问权限,确保远程用户无法通过Web服务获得操作权限。
3.1.2 使用必要的辅助工具,简化安全管理
启用系统的日志(系统帐户日志和Web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。
3.2 合理配置Web服务器
在Unix OS中,以非特权用户而不是Root身份运行Web服务器。
(1)设置Web服务器访问控制。通过IP地址控制、子网域名来控制,未被允许的IP地址、IP子网域发来的请求将被拒绝;
(2)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应。
(3)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。
3.3 设置Web服务器有关目录的权限
为了安全起见,管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。
服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改。
服务器根目录下存放CGI脚本程序,用户对这些程序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作。
服务器根目录下的某些文件需要由Root来写或者执行,如Web服务器需要Root来启动,如果其他用户对Web服务器的执行程序有写权限,则该用户可以用其他代码替换掉Web服务器的执行程序,当Root 再次执行这个程序时,用户设定的代码将以Root身份运行。
转自:
奈微建站网
(www.nev.cn)
3.4 安全管理Web服务器
Web服务器的日常管理、维护工作包括Web服务器的内容更新,日志文件的审计,安装一些新的工具、软件,更改服务器配置,对Web进行安全检查等。
网站安全的威胁与防护相关标签:
网站改版
,
网站设计公司
,
网站规划
,
做网站
相关热点推荐
企业网站建设之认知用户
网站建设与设计应掌握的
建设一个常规的公司网站
做网站设计应该更看重框
店铺推广之SEO入门
新手建站注意事项
关于网站建设的问题
分析网站排名下降的影响
关键词排名下降原因及解
企业网站建设的策略
如何提高网站的流量和访
交叉设计促进网站风格统
青岛网站建设报价与费用
网站优化十大方法-基本
网站关键词暴跌的原因分
您怎么看待2015中国
网站:首页所应该达到的
青岛网站制作带你解密.
网站建设办法与内容要相
视觉层次感提升网页设计
如何突出页面设计重点内
青岛网页设计中最常用到
科普网站设计、制作中的
网站目录改版后做网址跳
青岛网站建设之SEO优
八大要领做网站就这么简
关于“反馈提示”的交互
空状态设计是提升产品用
保持网站流量对网站改版
网站登录窗口的设计
网站设计上的图片表现方
青岛网站制作哪家强
青岛网站设计哪家公司性
如何做到网站的最佳优化
奈薇建站网配套网站服务
青岛网站设计如何突出网
网站关键词摆放的四个关
站运营的四个关键词
网站形成视觉冲击的几种
中小企业建网站要多少钱
奈薇建站网青岛网站建设公司/青岛网站制作公司,专业提供"气质"型网站建设及精美网站制作服务,同时欢迎各地网站建设公司、网站制作公司代理我们的奈薇建站系统共同发展
热点地区:
青岛网站建设价格
青岛即墨网站制作公司
开发区信息港
山东在线门户