Web安全威胁与安全防护.docVIP

Web的安全威胁与安全防护 　　提要本文对Web的安全威胁进行分析,提出Web安全防护措施,并基于Windows平台,简述一个Web安全防护策略的具体应用。 　　关键词:Web;网络安全;安全防护 　　中图分类号:F49文献标识码:A 　　 　　随着Internet的发展,Web应用渗透到了人们生活中的各个角落。如今,Web业务平台已经在电子商务、企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上,Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。针对Web网站的攻击呈现规模化、隐蔽化趋势。Web威胁所具备的渗透性和利益驱动性,已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径,Web安全威胁已经成为对企业来说最为猛烈的攻击之一。 　　Web攻击的最终目标是企业数据和获取商业利益。对付Web威胁,传统的防护模式已不能够有效化解越来越多的Web攻击者将合法网站做目标。尽管大多Web2.0网站自身都会采取防挂马、防注入等保护措施,但研究结果显示:社区驱动型安全工具在保护Web用户避开不良内容以及安全风险方面是无效的。面对来势汹汹的新型Web威胁,传统安全措施无法跟上Web内容不断变化的步伐。一方面恶意软件也可能出现在声誉良好、受到大家信任的网站上,就像出现在其他网站恶意上一样容易;另一方面网络应用程序越来越多,传统的防护模式已经力不从心,即便是如今已经运用的非常成熟的“病毒特征码查杀”技术,随着病毒爆发的生命周期越来越短,其传统的安全系统防御模型更是滞后于病毒的传播,用户只能处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。即使利用市场上现有最快速的反病毒系统和服务机制,企业仍然不能防范必威体育精装版的威胁,因为服务方往往无法及早和完整地介入整个新病毒事件。 　　Web安全问题基本解决方案: 　　1、确定Web安全目标。根据网站所处的环境、网站本身的目标和风险程度等因素来确定Web安全目标。如,Web服务器是在Intranet中使用还是面向Internet, Web网站是否代表整个企业或组织?它是否用作电子商务或电子政务? 　　2、实施整体安全方案。由于Web安全涉及的因素较多,??须从整体安全的角度来解决Web安全问题,实现物理级、系统级、网络级和应用级的安全。一般从以下几方面实施:第一,提高操作系统的安全性,确保服务器本身的安全;第二,部署防火墙阻止外部非法访问和入侵;第三,控制内部非法访问和入侵;第四,Web服务器本身的安全配置;第五,Web应用程序和脚本编程安全;第六,后端数据库的安全;第七,Web通信安全;第八,保护数据和应用的其他安全措施;第九,Web安全测试和评估。 　　为综合检测Web安全,需要使用漏洞扫描和风险评估工具定期对Web服务器进行扫描和测试,及时发现和解决安全问题。就目前情形来看,安全漏洞集合是导致Web服务器遭受攻击的主要因素,因此应在攻击者发动攻击之前,及早发现网络上可能存在的安全漏洞并加以弥补。 　　安全扫描和评估简介: 　　1、安全扫描是对计算机系统或者其他网络设备进行与安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效地防范黑客入侵。安全扫描只是简单将检测结果罗列出来,直接提供给测试者,而不对信息进行任何分析处理。安全评估除了具备最基本的安全扫描功能外,还能够对扫描结果进行说明,给出建议,对系统总体安全状况作总体评价,同时以多种方式生成包括文字图表等内容的评估报表。 　　2、扫描工具。从安全扫描范围来看,此类工具可分为两大类:专项扫描工具和综合扫描评估工具。专项扫描工具有专门端口扫描工具、针对特定应用和服务的扫描工具(如扫描Web服务器及CGI安全漏洞的Stealth等、针对SQL Server的SqlExec)。综合扫描评估工具的扫描内容非常广泛,扫描结果报告翔实,并给出相应的解决办法,非常适合管理员的系统评估测试。综合扫描评估工具一般都是商用软件。从安全评估技术来看,此类工具可分为两大类:一类是基于网络的扫描工具,如ISS公司的Internet Scanner、AXENT公司的NetRecon等,通过网络远程探测其他主机的安全风险漏洞,还可通过模拟攻击测试系统的防护能力;另一类是基于主机的扫描工具,如ISS公司的System Scannet,AXENT公司的ESM,用于测试服务器本身的安全漏洞,一般需要在所测试的主机上安装相应的代理软件且实施起来不方便。对于Web服务器的安全测试评估来说,可以纳入整个企业网络的整体安全评估,也可以独立地进行安全评估。由于Web安全所涉及的范围