网站安全的威胁与防护.pdfVIP

网站安全的威胁与防护

对目前日益严峻的网站安全问题进行分析，提出了网站安全防护措施，通过

基于UNIX和Windows等常用平台，介绍WEB网站的防护经验。

标签：网站;安全;防护

1网站技术简介安全威胁的来源

1.1WWW技术简介

WorldWideWeb称为万维网，简称Web。分成服务器端、客户接收机及通

讯协议三个部分。

1.1.1服务器(Web服务器)

服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本

开放结构。Web服务器的作用就是管理这些文档，按用户的要求返回信息。

1.1.2客户接收机(Web浏览器)

客户机系统称为Web浏览器，用于向服务器发送资源索取请求，并将接收

到的信息进行解码和显示。Web浏览器是客户端软件，它从Web服务器上下载

和获取文件，翻译下载文件中的HTML代码，进行格式化，根据HTML中的内

容在屏幕上显示信息。

1.1.3通讯协议(HTTP协议)

Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperText

TransferProtocol，超文本传输协议)是分布式的Web应用的核心技术协议，在

TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web

页面请求的格式，以及Web页面在Internet上的传输方式。

1.2服务器安全威胁

对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，

恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以

下几方面考虑：

Web服务器操作系统本身存在一些漏洞，能被黑客利用侵入到系统，破坏一

些重要文件，甚至造成系统瘫痪。

Web数据库中安全配置不完整，存在弱口令或被数据库注入等安全漏洞，

导致数据丢失或服务中断。

Web服务器上的数据存储结构不合理，没有划分安全区域或重要数据没有

存放在安全区域，导致被侵入。

Web服务器上运行的程序存在安全漏洞，或应用程序所需要的权限过高没

有优化，容易被黑客侵入。

1.3客户端安全威胁

现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的

主要威胁。主要用到JavaApplet、ActiveX、Cookie等技术都存在不同的安全隐

患。

1.4数据传输中的安全威胁

Internet是连接Web客户机和服务器通信的信道，是不安全的。未经授权的

用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。此外，

还有像利用拒绝服务攻击，向网站服务器发送大量请求造成主机无法及时响应而

瘫痪，或者发送大量的IP数据包来阻塞通信信道，使网络的速度便缓慢。

2WEB安全保护的原则

2.1实用的原则

针对网站架构，网站安全问题主要分为以下四个方面：服务器安全、边界安

全、Internet和Extranet上的安全，在攻击行为发生前，做到防患于未然是预防

措施的关键。

2.2积极预防的原则

对WEB系统进行安全评估，权衡考虑各类安全资源的价值和对它们实施保

护所需要的费用，通过评估，确定不安全情况发生的几率，采用必要的软硬件产

品，加强网站日常安全监控。

2.3及时补救的原则

在攻击事件发生后尽快恢复系统的正常运行，并找出发生攻击事件问题的原

因，将损失降至最低，并研究攻击发生后应对措施。

3建立安全的Web网站

3.1合理配置主机系统

3.1.1仅提供必要的服务

默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、

Sendmail、FTP、NFS、IP转发等，WindowsNT系统将提供RPC、IP)转发、FTP、

SMTP等。而且，系统在缺省的情况下自动启用这些服务，或提供简单易用的配

置向导。为此，在安装操作系统时，应该只选择安装必要的协议和服务；对于

UNIX系统，应检查/etc/rc.d/目录下的各个目录中的文件，删除不必要的文