第五章 网络应用系统的安全策略

第5章网络应用系统的安全策略最新IT新闻“.中国”域名全球将启用中国互联网信息中心（CNNIC）4月28日在北京宣布：由(CNNIC)代表中国提交的简、繁体“.中国”域名国际申请已通过互联网名称与编号分配机构评审。这意味着诞生于1983年的域名系统在被英国语种独霸27年之后，终于正式迎来了以中文为代表的多语种域名时代。预计未来数月内，全球数十亿华语网民将可直接使用简体或繁体的“.中国”域名访问互联网。其中，“上海世博会.中国”已正式开通并使用。章节前言网络应用时恶意和非法进入组织机构网络的最佳入口。网络平台的系统安全性和网络应用的安全性是截然不同的概念。因此，需要认真对待每个网络应用，了解入侵是如何发生的，学习如何在他人找到网络安全防护漏洞之前修补破绽，保护网络应用系统的安全。5.1.1身份验证身份验证不仅是网络应用安全首先要解决的问题，还是最重要的阶段；对大部分网络应用而言，用户验证包括用户ID和密码两部分。5.1.2访问控制访问控制是网络应用使用验证方法来接受或拒绝对内容和功能访问的过程。以下是两种主要的访问控制方法：路径挖掘（一般用于无法直接访问的文件）客户端缓存（限制缓存）5.1.3未授权的输入在网络应用响应用户的HTTP请求，袭击者修改HTTP的请求，来绕过网站的安全机制。最常见的袭击后果是跨站脚本，缓存溢出以及资料隐码。服务器端的验证是防止此类利用HTTP请求进行入侵的必须手段。5.1.4应采取的措施编码文档的建立以及独立的编码审查；擅长应用安全的第三方对系统以及升级应用所使用的控制方式进行评估；使用网络应用安全工具；定期进行系统安全检查。5.2电子邮件系统安全策略1.对电子邮件进行加密2.对邮件和系统进行病毒保护选择一款可靠的防毒软件及时升级病毒库识别邮件病毒打开实时监控防火墙投石问路5.2电子邮件系统安全策略2.对邮件和系统进行病毒保护尽量不在“地址薄”中设置联系名单少使用信纸模块设置邮箱自动过滤功能不使用邮件软件中的预览功能5.2电子邮件系统安全策略3.垃圾邮件和邮件炸弹的防范措施尽量不要随意公布自己的邮箱地址尽量开启邮箱自动清除软件进行过滤和删除设置“接受信件大小”一般为信箱容量的三份之一可以使用户按照邮件的来源、主题、长度、接受者来设置在本地的电子邮件客户端程序上。4.采用防火墙技术5.3Web安全策略Web服务是一种完全建立在现有互联网标准之上、松散耦合的、跨语言和平台的应用程序之间通信的标准方法。一般而言，信息传输的安全要求有：保密性授权数据完整性信息源认证不可否认性5.3.1部分构成：提供浏览器以及传递浏览器和服务器之间服务请求和响应报文的网络。这3部分都面临安全威胁。从服务器角度看从浏览器角度看（恶意代码的干扰）从网络角度看（安全套接层SSL技术）5.3.1面临的安全威胁万维网服务器安全漏洞主要源于两个方面：服务器软件错误而产生的安全漏洞；服务器配置不当引起的；从目前来看，服务器上的安全漏洞是不可弥补的；5.3.2个域：浏览器安全防范域；网络安全防范域；服务器安全防范域；实际上都是保证服务的保密性、完整性和可用性；而从目前来看，前两者做的比较好，拒绝服务网络攻击网络蠕虫攻击5.3.3windowsIIS安全设置InternetInformationServer的缩写IIS1.安全性摘要式身份验证；安全套接字协议层SSL；服务器网关加密SGC；WEB服务器证书向导；IP地址及Internet域限制；Kerberos5身份验证协议相容性；IIS证书；5.3.3windowsIIS安全设置2.可管理性重新启动IIS；（不用重启电脑）备份和还原IIS；进程账户；进程限制；改进的自定义错误消息；配置选项；远程管理；终端服务；集中管理；5.3.3windowsIIS安全设置3.可编程性ASP可以使用服务器端的脚本和组件创建动态内容，从而创建于浏览器无关的动态内容。5.3.3windowsIIS安全设置4.信息发布一个IP可以对应多个WEB站点，便于Internet服务提供商维护；5.3.3windowsIIS安全设置5.虚拟服务器和虚拟目录（1）配置虚拟服务器的3种方法：IP法；端口法；主机头法；（两种实现方法：WEB站点创建向导和WEB站点属性）5.3.3windowsIIS安全设置5.虚拟服务器和虚拟目录（2）创建虚拟目录的3种方法：使用本地主机目录；使用另一台主机的网络共享目录，需要提供一个有效的用户名和密码；重定向到URL；WEB站点的重要属性5.3.4WEB服务的安全保障措施1.用户名、密码的直接信任2.安全令牌和数字签名的直接信任3.基于文档的安全性4.防火墙对SOAP消息的处理5.3.5制定WEB站点安全策略的原则1.设置安全WEB站点的基本原则即在满足网站基本安全需要的基础上，根据网站提供的服务和服务的对象来设置安全系统，评估和分析安全风险。2.利用WEB服务器记录客户信息5.3.6配置安全的WEB服务器1.认真配置WEB服务器，尽可能使用它的安全访问特性；2.在windows2000server系统上使用时，应该检查驱动器和共享的权限，将所有系统资源设置为只读状态；3.分批重点保存重要数据和文件；4.按最坏的安全形势配置WEB服务器系统；5.严格限制脚本的执行权限和执行范围，防止外部用户利用脚本执行WEB服务器系统的内部指令。5.3.7及时消除WEB服务器站点中的安全漏洞1.物理漏洞；2.软件漏洞；3.系统不兼容性漏洞；4.没有制定必要的安全策略；5.3.8严密监控进出WEB服务器站点的数据流1.监控WEB服务器站点访问请求；2.统计WEB服务器站点访问次数；5.4电子商务系统安全策略1.简述windowsIIS安全设置有哪些？2.简述制定WEB站点安全策略的原则是什么？