任主您好！此为初稿（案例）.docVIP

任主您好！此为初稿（案例） Web安全设置和对策 摘要：本文介绍了以WEB安全为现状，分析其存在的各类问题，并从操作系统安全和WEB服务器安全两方面，阐述了关于WEB安全的一些系统设置，并从IIS平台、APACHE平台的对WEB安全设置做了介绍,最后，通过以上分析，得到一些具有普遍现实操作价值的措施，以期给大众一些有益的指导。 关键词：WEB安全；IIS、APACHE安全设置。 1.背景及主要谈论内容 互联网进入中国20年来，已成为人们生活中不可分割的一部分。Web应用也迅速发展，各类网站数量直线上升。但伴随发展，日益突出的是安全问题，黑客攻击、病毒、漏洞等。人们在享受Web便利的同时也要忍受Web安全的威胁。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。系统平台的安全和Web服务器的安全是目前国内外Web安全的主要研究方面。 现有的常用系统，如WINDOWS、UNIX、LINUX，是黑客攻击的重点对象。系统平台安全研究主要在安全操作系统、安全数据库等，而服务器安全主要是Apache、IIS的安全配置与安全缺陷分析，包括安全模型，IIS安全锁等。本文主要谈论他们的安全性和设置。 （需进一步沟通，查看更多案例请联系QQ 1121961743） 2 系统平台安全 UNIX于1969年产生于ATT贝尔实验室，目前，也有许多国人开发的UNIX系统。对UNIX系统而言，主要的安全隐患来自一些应用的远程漏洞、本地漏洞和守护进程程序错误等安全漏洞。对UNIX，我们要做到的是周期性的常规检查，及时发现问题，及时解决问题。此外，周期性关注应用程序官方更新，打好补丁，也能在一定程度上保证UNIX系统安全。 Linux系统中的不必要服务、系统出入、登录密码、安全漏洞等是主要的安全关注点。这里，有一些工具可以很好保证WEB安全，像具备远程监察相关安全漏洞；检测系统缺失补丁的功能安全漏洞扫描器（Nessus和Nmap）。Linux的安全还需要通过保持经常性的安全检查，保持必威体育精装版的系统核心，采用安全工具，定用户账号的安全等级，以及增强安全防护工具等措施去保证。 Windows作为微软Microsoft软件帝国的城基，因其易学易用的特点而在桌面系统领域占据着统治地位。同时，随着众多业余编程用户的加入，使得Windows的服务器系统得到了越来越多的应用，在我国，70%的用户使用windows系统作为服务器系统。但Windows操作系统的大多数版本有一个共性：默认安装后安全性都非常差。比较明显的一个例子就是在用户登陆后，每个用户都具有硬盘分区的访问控制权。另外，系统还开放了一些服务（如Messenger服务),允许通过迂回的方式绕过用户审核直接进入系统。这都是WEB安全的潜在危险因素。 通俗的去比较Windows和UNIX安全性，有这么一种说法：UNIX你用什么，它给你什么；Windows它全部都给你，你爱用什么去拿什么。所以默认安装完成后，Windows系统安全性很不理想。这很清楚地说明我们需要关闭一些服务以便保证Windows系统的安全。接下来以windows servers 2003为例，说明一些提高windows系统的安全的设置。 一：文件系统权限。需要将at.exe、attrib.exe、cmd. Exe、format.exe 、net.exe、netstat.exe、regedit.exe、tftp.exe 文件全部设置为只允许用户访问。在C盘的权限问题上，只给system和administrators，另外要在Windows目录要加上用户默认权限以防ASP和ASPX程序运行失败。 二：网络通信。启动系统自身防火墙，改变端口。防火墙能很大程度上拦截外界对Windows 2003系统的非法入侵，阻止外界非法对Windows进行远程扫描，对提高服务器安全指数大有裨益。 三：用户设置。系统用户数量最好保持一个，并由管理员设置一个安全有效的密码，管理员名称需要定期去更改等等。 四：注册列表。SYN攻击、ICMP重定向报文攻击和关闭默认共享对提高系统安全都很有意义，这些都可以通过修改注册列表来实现。 3 WEB服务器安全3.1 IIS平台 IIS即internet information service，是由微软推出的服务平台。IIS拥有相当精简的管理和配置，下面主要分析以WIN2003为基础的IIS6的安全配置。 在IIS安装完成后会在WWWROOT下生成目录，其默认设置包括MSADC、IISSamples、IISHelp等在内的虚拟目录，这些设置并没有太多的额实际意义，他们位置不定，有时候在Program files下，有