摘 要
越来越多的人使用电脑来接触互联网,事实上,使用Web技术的实现基于网络的不断完善和发展的交流网站,人们可以利用计算机网络技术,方便得到想要的任何信息。计算机网络的发展,也促进了相关产业的发展,但发展的必然趋势在于它的一代又一代的高速和以多媒体为中心的计算机网络。然而在计算机网络的使用中,对个人信息账户信息以及整个网页的信息安全却值得我们进一步的研究,来对数据进行加密。这样才能让更多的使用者的信息得到安全保障。本次的论文着重研究网页安全策略和对网页完全的实现进行定制一个详细的方案。
关键词:Web网页;安全策略;信息安全;
abstract
More and more people use the computer to access to computer and Internet access, in fact, the use of Web technology based on a communication network of Web sites of continuous improvement and development, people can use the computer network technology, easy to get any information you want. With the development of computer network, it also promotes the development of related industries, but the inevitable trend of the development is the generation of high speed and multimedia based computer network. However, in the use of computer network, the information security of personal account information and the whole web page is worth further study. In order to allow more users to get information security. This paper focuses on the research of web security strategy and the implementation of the web page.
Key words: Web page; security policy; information security;
目 录
1概 述 5
1.1网页发展情况概述 5
1.1.1HTTP协议的发展 5
1.1.2超文本技术的发展 7
1.1.3 网页后台开发技术的发展 8
1.2网页安全威胁形势 8
1.3 研究意义 10
2 网页安全系统原理 10
2.1网页系统概述 10
2.1.1 硬件子系统 10
2.1.2 软件子系统 10
2.2网页安全问题分析 11
2.3网页安全的体系结构 11
3 网页安全策略原理 12
3.1网页访问的控制策略 12
3.1.1 设立严格而安全的用户身份验证与权限控制机制 12
3.1.2服务器IP安全策略限制网络访问 13
3.1.3 采用证书或加密狗 14
3.2网页服务器的安全策略 14
3.2.1服务器物理安全策略 14
3.2.2 服务器密码安全策略 14
3.2.3 严格配置服务器文件的访问安全策略 14
3.2.4 修改远程访问端口和用户 14
3.2.5 即使修复系统漏洞 15
3.2.6 开启并合理配置系统防火墙 15
3.2.7 安装安全软件 15
3.2.8 接入硬件防护设备 15
4 网页安全实现 15
4.1 网页服务器安全实现 15
4.2 传输安全实现 16
4.3访问安全实现 16
致 谢 17
1概 述
1.1网页发展情况概述
网页是一个包含HTML标签的纯文本文件,它可以存放在世界某个角落的某一台计算机中,是万维网中的一“页”,是超文本标记语言格式[1]。如图1-1所示,访问一个网页需要遵循超文本传输协议(HTTP协议),由客户端发起一个请求TCP请求,这个请求通过互联网建立一个到服务器指定端口的TCP连接。服务器则在那个端口监听客户端发送过来的请求。一旦收到请求,服务器(向客户端)发回一个状态行,比如"HTTP/1.1 200 OK",和(响应的)消息,消息的消息体可能是请求的文件、错误消息、或者其它一些信息,这就是一个网页的访问方式。因此网页的发展和计算机的发展、互联网的发展、HTTP协议的发展、HTML超文本标记语言的发展等多个方面是密不可分的。
图1-1 HTTP协议工作流程
1.1.1HTTP协议的发展
20世纪30年代,Vannevar Bush预言了一种文本的非线性结构——一种被称为Memex的设想。尽管到了1945年,大西洋月刊才刊登了他的文章《As We May Think》。这篇文章的中心思想是建议将所有知识以某种全新的关系一一联系起来。但是第一台计算机ENIAC到了1946年才发明出来,而最早的网络雏形阿帕网到了1969年才由美国国防部高级研究计划管理局进行研究建设,因此这篇文章提出的设想并没有办法在那个时代实现。尽管如此,这篇文章在隔了半个世纪依然对网页的发展起到了举足轻重的作用。
1963年,美国哲学家、社会学家Ted Nelson提出了一种全新的使用电脑处理文本信息的方法,并称之为超文本,这种方法是超文本传输协议标准的基础架构。通过他本人同万维网协会、Internet工作小组共同进行的深入研究,终于定义了一种客户端和服务器端请求和应答的标准(TCP),即超文本传输协议,它规定了一个网页的访问过程中如何发出和监听访问请求、以及如何对收到的数据进行校验和纠错。由于他对HTTP协议的卓越贡献,他本人也被称为HTTP之父。
刚开始的超文本传输协议标准1.0版本(HTTP/1.0)中,每次请求完成后都会关闭TCP链接,因此他每请求一个资源都需要重新建立链接,这样就造成了服务器无法判断之前一次存取资源时的状态,并且没有Host域这一概念,因此,1.0版本只是作为一个草案,并未被正式提出。
随着Ted Nelson与万维网协会、Internet工作小组深入的研究提出了超文本传输协议标准1.1版本(HTTP/1.1),默认建立持久连接,每次连接都能够读取到多个网页资源,并提出了Host域、Range头域等标准,使得带宽得到了优化。超文本传输协议标准1.1版本迄今为止仍然被广泛使用。
随着时代的发展,超文本传输协议标准1.1版本已经不能满足安全传输的需求了,互联网工程任务组下的Hypertext Transfer Protocol Bis工作小组着手研发超文本传输协议标准2.1版本,并于2013年8月进行了首次合作测试。该协议最重要的亮点是引入了加密通讯,并允许域名管理员不通过第三方证书管理机构就能够自行发行证书。它在HTTP协议中加入了安全套接层,默认使用服务器的443端口进行通讯,其通讯过程如图1-2所示,保证了客户端和服务端之间的通讯安全。
图1-2 HTTPS通讯过程
HTTP/2.0还在HTTP/1.1语义兼容的基础上,采用了多路复用的技术,解决了遵循超文本传输协议标准1.1版本访问网页时,浏览器客户端在同一时间针对同一域名下的请求超过限制数目会被阻塞的情况,大大降低了网页访问的延迟。如图1-3所示,以Akamai 公司建立的一个官方的演示为例,同时请求 379 张图片,超文本传输协议标准2.0版本所需加载时间仅为1.61秒,大大低于使用1.1版本所需的加载时间14.70秒。
图1-3 使用HTTP/1.1和HTTP/2.0访问Akamai 公司演示站测试结果
由于2.0版本的超文本传输协议标准需要进行证书加密,因此,该协议只能用在HTTPS的连接上,使用HTTP方式访问网页依然使用1.1版本的超文本传输协议。
1.1.2超文本技术的发展
超文本标记语言(HTML)是为网页创建和其它可在网页浏览器中看到的信息设计的一种标记语言[3],其本质是一段遵循一定规则的文本,由浏览器负责解释并呈现相关内筒。它具有简易性、可扩展性、平台无关性、通用性四大特点。它的出现使得网页的制作变得不再复杂,并且能够支持将不同数据格式的文件嵌入到网页中,使得网页呈现形式更加丰富/我们可以通过图片来进行网页美化,能够在网页中播放音乐和视频,这都得益于HTML超文本标记语言的推出。他提出的超链接概念,让用户能够在一个网页中激活一个统一资源定位器(URL)的指针,实现网页的跳转访问。
1993年,国际互联网工程任务组提出了一个震惊世界的草案,提出了HTML语言。2年后,HTML2.0诞生了。1996年负责HTML维护的万维网联盟(W3C)将HTML3.2推荐为标准版本。到了1997年-1999年之间W3C又将HTML4.0和HTML4.01推荐为HTML的标准,该版本整理了历史版本的HTML标签,在兼容的基础上划定了一系列的过时标签,并不推荐开发者继续使用它们,更多的推荐开发者使用CSS来设计网页的展示样式,使开发者能够快速的复用之前其他标签的样式,提高了开发速度,这个版本得到了非常多的开发公司和浏览器公司的支持,因此HTML4是目前使用范围较广的HTML版本。
早期的HTML语言为了能够让更多的网页设计开发者使用,因此整个语法结构都较为松散、凌乱,这给后续的修改和借鉴带来了非常多的麻烦。而浏览器开发公司接受了这一事实,尽力的去解读这些不规范的HTML文件,因此,官方推出了语法和结构更为严格的可扩展超文本标记语言(XHTML)。XHTML采用了XML的严格规则。XHTML 1.1、 XHTML 1.0、HTML 4.01这三个版本目前依然是W3C推荐的版本,使用严格规则的XHTML有利于网页的后续维护,提高网页兼容性,目前一直被大多数网页编辑器公司采用。
为了加快一个网页设计开发的速度,做到更好的人机交互和更美观的界面,网页已经悄悄地从HTML4向HTML5过渡。HTML5和CSS3的出现,使得很多绚丽的网页效果只需要采用一个标签或者设置几个CSS属性就能够实现,不再需要像HTML4那样采用JavaScript等脚本语言来进行编程。尽管在2016年HTML5才正式提出标准化,但有许多网站已经开始使用了HTML5。由于HTML5对脚本语言的封装,它降低了水平参差不齐的网页前端开发者编写JS脚本产生的安全风险。 但是,目前有部分浏览器对HTML5的支持仍然有待改善,如Internet Explorer,因此,这给许多前端开发者带来了许多困难,HTML4依然没有被HTML5完全替代。
1.1.3 网页后台开发技术的发展
早期的网页大多为静态网页,即所有的访问者访问某一页面看到的内容是相同的,他不能确定访问者的身份信息,也不能未不同使用者展示不同的内容。静态网页的编辑门槛较高,修改一个静态网页需要用户掌握一定的HTML编写技术。随着技术的不断进步,动态网页走进时代的舞台。动态网页是建立在数据库技术以及网页后台开发技术的基础上的,能够根据用户的不同请求参数或者身份生成不同的HTML文件并回传给浏览器。
较早出现的网页后台开发技术是公用网关接口(CGI),由于CGI进程不能常驻内存,它会导致频繁访问CGI程序时产生大量的磁盘读写操作。并且因为CGI的开发维护复杂、可靠性和安全性低,CGI很快就被淘汰。
微软公司在随后又推出了ASP技术,它具有开发简单、功能强大等优点,深受许多开发者的喜爱,特别是其代码在服务端独立运行,回发到网页中的只有HTML代码,因此保证了代码不会外漏,提高了安全性。因此ASP技术逐渐替代了CGI技术。
由于ASP大量采用Cookies,其不需编译解释运行等特点又造成了运行效率低,更多的网页后台开发技术和语言走进了人们的视野。目前常见的网页后台开发技术有ASP.NET、PHP和JSP。
1.2网页安全威胁形势
随着我国大力推进互联网建设,网页数量与日俱增,技术不断革新。云计算和移动部署改变了互联网原有形态的同时,高级持续性威胁(APT)、零日漏洞、针对性攻击等高级威胁外,诸如僵尸网络、物联网攻击等也给网页安全带来了极大的挑战。近年来,连续发生了雅虎数据泄露、2.73亿电子邮箱信息被泄露、希拉里邮件门事件、OpenSSL“心脏滴血漏洞”和“水牢漏洞”、 4.27亿MySpace数据泄漏等等,网页安全威胁形式不容乐观。
2016年11月26日,中国电信北研院联合绿盟科技、安恒信息等企业发布了《2016年上半年网站安全报告》。该报告指出,2016年高危网站漏洞占比有所增加,平均每个网站漏洞数升至773个,其中,高危漏洞平均每个网站有2个。该研究院一共检测382947个网站,平均每个月遭受124次攻击,平均每天发生130起安全事件,网站可用性通断占比接近百分之80[4]。[ [6]李鑫,季振州,刘韦辰 等.防火墙过滤规则集冲突检测算法[J].北京邮电大学学报,2006,29(4),90-93
]
根据辽宁日报报道,如图1-4所示,自2015年10月至2016年3月,该省遭受后门攻击网站大部分时间依然处于较高的水平,网站攻击较为活跃。
图1-4 辽宁省遭后门攻击网站数量月度统计
如图1-4所示,从国内安全软件最为专业的厂商之一——360安全中心发布的2016年网站漏洞数据来看,在其监测的网站中,存在漏洞的网站高达百分之65.5,其中,存在高危漏洞的网站占百分之29.2。这些网页随时存在着被攻破的危险,网页安全防护情况不容乐观。
图1-4 2016年360安全中心监测存在安全漏洞的网站比例
经中国电信北研院调研发现,有百分之60的政企事业单位的网站管理人员低估了网站安全的重要性。从中国电信北研院发布的数据分析可见,大部分政府单位都采购配备了较为昂贵的安全设备,但由于管理人员的水平不足、经费不足等各方面原因,仅有百分之6的单位能够对模拟扫描和攻击进行拦截和预警,其他单位的网页安全设备并不能发挥出应有的作用。[ [4]刘宗田,刘莹 等.Web站点安全与防火墙技术[M].北京:机械工业出版社,1998:7-8,15-21
[1]刘宗田,刘莹 等.Web站点安全与防火墙技术[M].北京:机械工业出版社,1998:7-8,15-21
][]
综合以上数据可以看出,网页安全威胁随着新技术的出现也不断增长,安全防护工作任重而道远。
1.3 研究意义
由1.3章节列出的数据不难看出,,网页安全威胁形势还较为严峻,大量的漏洞爆发和网页攻击已经开始影响到了我们的生活。就我国而言,网页安全威胁还处于较严重的水平,而与之相对应的网页安全防护水平仍处于初始阶段。因此,对Web网页安全策略的研究及其实现方案的制定是十分重要的。本文通过分析目前常见的Web网页攻击手段,制定一套相对应的、较为安全的防护方案,对于减少网络安全事件的发生、为公众提供一个平安、健康地互联网环境有一定的意义。
2 网页安全系统概述
2.1网页系统概述
网页系统可以分为硬件子系统和软件子系统。硬件系统主要是提供网页访问过程中需要的网络、服务器和安全防护。软件系统由存储在硬件系统设备中的软件资源构成。
2.1.1 硬件子系统
所有的网页都是采用浏览器/客户机(B/S)模式进行浏览和访问的,因此,一台服务器和一台客户机是硬件子系统最基础的组成部分。
网页的浏览还需要网络的支持,因此,相应的网络设备也是硬件子系统中的重要组成部分,最简单的网络设备是网卡和网线。两台安装了网卡的电脑通过一根网线就能够构成一个简单局域网。当然在互联网中,要访问网页还需通过交换机、路由器、信号基站等设备来提供网络的支持。所有的在访问网页过程中的网络硬件设备都被归纳到硬件子系统的范畴。
随着互联网技术的不断进步,安全设备更加丰富,硬件防火墙成为了所有服务器机房的标配,而靶主机、入侵检测设备、安全审计系统、安全网关、隔离网闸等也都逐渐配置到各个服务器托管机房中,他们也是整个硬件子系统中的一员。
2.1.2 软件子系统
网页系统要能够访问,首先必须要有写有HTML的文件和相关超文本资源。他们是要显示网页的核心部分。
由于动态网页技术具有易于维护的特点,它被广泛采用在各个网站中。动态网页的实现需要一套网站后台管理系统的支持和数据库系统的支持,服务器操作系统也是十分必要的。
服务器中的网页资源要能够被访问以及网站后台管理系统要能够正常的运行,还需要在服务器上安装相关的系统服务软件和组件,常见的系统服务有IIS、Apache、Tomcat等,常见的组件有.Net框架、FSO组件、JMail组建等。
服务器安全软件也是构成整个网页系统的一个重要部分,它能够实现对所有访问请求的过滤、筛选、威胁分析等,保证网页的安全运行。
大部分网页安全设备都具有用户自定义配置的功能,因此,设备上运行和存储的配置文件和软件也是构成软件子系统的重要组成部分。
2.2网页安全问题分析
由于一个网页的访问需要有硬件设备的支持,也需要有相应的软件系统的支撑,因此,硬件设备的安全出现问题和相应软件的安出现问题,都会对网页安全构成威胁。
针对于硬件设备的安全威胁包含物理方式的攻击,如盗抢、损毁设备、设备丢失、因设备老化等自身原因导致设备无法正常运转,都是不容忽视的安全威胁,因此,在安全的环境中运行设备、制定相应的设备管理和定期排查制度、做好本地异地数据备份工作都是十分有必要的。
而针对硬件设备的技术攻击手段也十分常见,如分布式拒绝服务攻击(DDOS)等。这就要求我们需要根据需要添加、检查、升级设备或制定相应的负载均衡和防攻击策略,才能够保证网页安安全。
由于支持网络运营的系统、程序十分复杂,逻辑性容易出现漏洞,因此,针对软件系统的攻击手段复杂多样,端口利用、网页木马、一句话木马、SQL注入攻击、跨站脚本攻击(XSS)、暴力破解、文件名欺骗、域名挟持、Cookies伪造、请求伪造攻击、重定向攻击等,这些攻击所利用的漏洞在目前运行的网站上十分容易找到,因此,对于他们的防护也是十分有必要的。[ [3]金理清.ASP网站安全性问题探析[J].计算机网络与信息安全,2009,5(33),9203-9211.
]
2.3网页安全的体系结构
网页安全体系结构可以划分为数据安全层、应用安全层、用户安全层、系统安全层、网络安全层、物理安全层6层。具体策略如图2-2所示。
图2-2 网页安全体系结构
3 网页安全策略原理
3.1网页访问的控制策略
基于网页服务的分布式应用,如电子商务、电子政务的快速发展,而典型的网页服务正面临着各种新的安全问题。访问网页服务的用户需要的网页服务发布,查阅权限的不同受到了严格控制,即在网页服务层,用户可以查询不同级别的Web服务提供者发布的数据[5]。因此,网页的访问控制策略的制定是十分必要的。
网页访问策略的控制可以采用如下几种方式。
3.1.1 设立严格而安全的用户身份验证与权限控制机制
动态网站在编写网页程序时,需要做到严格而安全的用户身份验证和权限控制。设立一个用户登录界面,校验用户输入的账号和密码是否匹配,如果系统安全要求较高,还应加入更多的验证信息加以验证。严格而安全的身份验证和权限控制机制包含如下要点:
1、防止暴力破解
用户登录系统应该设立防止暴力破解的手段,设立复杂的图片或Flash验证码并记录用户尝试登录的次数,一旦尝试次数过多应禁止其登录。
2、用户输入数据加密
用户输入的账号密码的安全十分重要,因此应该对用户的密码进行加密处理,登录页面的值传递必须使用安全的POST方式,不要采用Get方式,密码应进行不可逆的加密操作(如MD5加密),传输过程中尽量使用加密的HTTPS协议,防止攻击着通过抓包窃取用户数据。在数据库中存储的用户数据也应通过严格的加密,禁止明文方式存取用户密码。
3、用户验证和身份标识应存储在服务端
许多网站通过创建Cookies将用户身份记录在客户端,这个数据是不安全的,能够被复制和伪造,应采用更安全的在服务端创建Session的方式记录用户身份数据,并以服务端身份标识数据为判断用户身份的依据。用户身份验证过程一定要在服务端中完成,特别是在采用AJAX技术时更应该注意。
4、防止SQL注入
SQL注入是一种网页攻击的常见方式,轻则可以绕过身份验证登录,严重的可以获取到所有数据。因此,整个网站所有网页的设计都应该进行SQL注入攻击防护。防护SQL注入攻击第一步应该对用户输入的内容进行检测,过滤危险字符串,第二步,应构造参数化的SQL语句,避免使用连接符进行SQL语句构造,设定每个参数的类型、长度,减少SQL攻击的可能性。
5、强制密码安全机制
有不少用户使用简单密码或者个人数据如生日信息、工号、手机号等作为用户的密码,这些密码容易被破解或加密,即使网站的整体安全性再高,只要有几个用户的密码被破解,就会产生非常严重的影响。因此,应该制定较强安全性规则,校验用户输入的密码强度,不符合规范的密码禁止用户使用。
6、引入基于用户行为分析的用户身份识别
在安全性要求较高的网站上,可以引入用户行为分析的用户身份识别,最基础的分析方式是根据客户机的IP、浏览器等数据进行合理性分析。甚至可以基于大数据对用户的使用和浏览习惯等进行分析,及时发现用户账户被盗用。
7、权限限制合理
如果用户的权限限制不合理,用户就可以直接访问到一些不喜欢被他看到的内容或者无法访问需要访问的内容。因此,需要合理的对用户权限进行规划,才能保证网站的访问策略安全
8、权限验证逻辑合理
验证用户权限逻辑的合理性十分关键,防止用户通过权限验证漏洞提权或入侵系统。[ [8]李文景《网络管理原理及技术》人民邮电出版社]
3.1.2服务器IP安全策略限制网络访问
设置服务器的黑名单和白名单,IP是一台计算机在互联网中唯一身份的标识。将有攻击行为的IP列入服务器或者安全设备的黑名单,可以有效减少该用户进行攻击的可能性。如果网页仅允许部分人群查看,则可以采用白名单方式,将用户的IP或者IP段添加到白名单中,并可以将IP与对应用户身份进行绑定。这种方式的限制十分有效[ [2]雷震甲 主编.网络工程师教程(第三版)[M].北京:清华大学出版社.2009:
]
3.1.3 采用证书或加密狗
在安全性要求很高的网页上,如网上银行、公安内部系统等,可以采用证书或加密狗的形式访问控制策略,攻击者单独获取到用户的账号密码依然无法登录系统或进行更多的操作,需要同时取得用户的加密狗或证书才能获取该用户的所有权限。这是一种十分严格的访问控制策略
3.2网页服务器的安全策略
网页服务器的安全在网页安全中尤为重要,要保证服务器安全,需要采用严格的服务器安全策略。
3.2.1服务器物理安全策略
要保证服务器的安全需要保证服务器在安全的环境中运行,严格控制环境的温度、湿度,配置严格的安保设施,制定严格的安保、检查、保养、使用条例,做好资产管理和登记工作。 为了避免设备故障等原因造成不可恢复的损失,需要对服务器数据进行备份。备份需要在本地服务器上进行备份,也需要在其他存储介质或远程服务器上及时进行备份。应建立一套服务器监控体系,一旦服务器出现无法工作或无法访问时能够自动发出警报并切换到备用的服务器或镜像站中。
3.2.2 服务器密码安全策略
服务器使用的所有密码必须使用足够复杂的密码,防止攻击者窃取密码,密码需要不定期更换,避免长时间使用一个密码。服务器的密码应该是独立的,不与其他密码相同,避免受到撞库攻击。
3.2.3 严格配置服务器文件的访问安全策略
服务器上存储了很多文件,需要对每个文件的访问安全策略加以限制,避免攻击者越权访问或借助相关工具提权。
3.2.4 修改远程访问端口和用户
网页服务器一般都允许进行远程操作。默认的端口已经众所周知,极易被利用。因此,可以修改服务器远程访问端口,如Windows远程桌面端口、Telnet访问端口、数据库端口、FTP文件管理端口、网页的后台管理系统端口等,并主动防御端口扫描。还应创建一个伪造的低权限管理用户,如Windows操作系统下创建一个隶属于guests组的administrator用户,即使该用户密码被破解,也无法真正对系统进行操作。
3.2.5 即使修复系统漏洞
由于操作系统和相关软件代码量大,很难做到逻辑无误,这些不严谨的逻辑经常被攻击者利用。因此,服务器上要及时安装相应的补丁,防止用户利用已知漏洞攻击服务器。
3.2.6 开启并合理配置系统防火墙
以Windows操作系统为例,防火墙能够有效方式一大部分攻击,因此,开启并合理配置防火墙,设置访问策略,以便拦截攻击。
3.2.7 安装安全软件
服务器上安装的安全软件包括杀毒软件、防火墙、Web应用防护软件等。这些软件可以监控服务器上的文件和程序以,过滤服务器的访问请求,拦截许多已知的手段通过网页等其他方式入侵服务器,防止程序编写时存在的漏洞被利用。
3.2.8 接入硬件防护设备
网页的管理者可以根据自己的经济情况,选择接入相应的防护设备。如硬件防火墙等。由于大部分服务器机房中都不仅仅运行一台服务器,因此,还应注意局域网内其他主机的攻击,因此可以选择切断局域网内的相互访问,或接入边界防御设备。
4 网页安全实现
网页安全策略的制定取决于网页的浏览者情况,针对不同使用人群范围制定的策略不尽相同,本章节以一个企业或政府官方新闻发布网站为例,制定网页安全策略,具有典型性。
4.1 网页服务器安全实现
首先,应选择一个较为安全的服务器系统,使用最新的正版系统尤为关键。许多网页服务器采用盗版的系统和软件,这些系统可能已被破解者修改,可能存在无法稳定运行或预留了后门等情况。在安装操作系统之后,应为该系统设置一个足够复杂的、独立的密码,修改默认管理员用户名、远程访问端口。在进入操作系统后因首先安装杀毒软件和防火墙,再修复系统漏洞,开启并配置服务器的防火墙,对服务器上系统文件的权限予以限定,之后从可信的网站上下载需要安装的软件进行安装和配置,有条件的还要接入硬件防火墙、入侵检测系统、安全审计系统、服务器监控系统。在安装完Web应用服务后,应安装Web应用防护软件并进行合理的设置。全部安装完毕后需要做好服务器的灾难备份工作。服务器配置完毕后需要对全盘进行杀毒,避免误感染到病毒导致服务器存在安全隐患。最后应进行安全检查和审计。在网页服务器运行的过程中需要随时监管他的运行情况,查看系统日志和安全防护日志,调整安全防护策略,不定期修改密码。这样做基本能够保证网页服务器的安全。
4.2 传输安全实现
网页采用B/S模式传输,因此传输安全十分重要。传输安全要防止服务器和客户端浏览器之间数据传输时数据包被窃取和篡改和拦截。购买或自己发行一张可靠的证书,所有数据包特别是敏感字段需要先进行加密再传输才能够保证其安全。因此,应该采用更加安全的HTTPS方式进行网页访问,避免数据被窃取和篡改。对于数据的拦截方面的防御,可以借助日常行为分析等方式,及时发现。
4.3访问安全实现
对网页访问安全构成威胁的方式有很多,一般情况下,浏览着都是通过域名对服务器进行访问。域名挟持攻击和ARP攻击是主要的攻击手段。要避免不安全的访问,客户机需要安装杀毒软件和防火墙,并将其更新到最新版,注意检查Host文件是否被篡改。用户不要通过不安全的有线网络或WIFI访问网站,并注意分辨信息的真假,记住网站的访问地址并注意校验,注意防御钓鱼网站。[ [7]石志国.计算机网络安全教程[M].北京:清华大学出版社,2007.
]
致 谢
在这次毕业设计开始慢慢的靠近结束了,在这次的Web网页安全策略研究及其实现方案的论文中,我学到了很多,不仅能够真正的利用自己所学到东西对当前Web网页安全进行研究和对其实现做出分析判断,并且在本次论文的研究中,老师对我的细心教导让我尤为感动。作为文科专业知识掌握不是很牢固的我,在对系统的研究上缺少相应的经验。很多章节和数据的建立没办法独立完成,老师们却不断的支持我,鼓励我,让我在不断的困难中迎头向前。为我讲解分析问题和解决问题的方法。并不断的用自己的开发经验,让我学会用开发的思想我、去解决客服问题。在这里,我要特别的感谢我的指导老师。本次的毕业设计也脱离不开同学们的建议,由于在论文的框架设计中,对整体研究内容的设计比较粗糙。论文论据也经常有缺角。在同学们的建议下,我慢慢的找到了改进的方法并投入到我的毕业设计中。
很感谢我的母校为我提供了一个良好的学习环境,让我能够在这样的环境中不断的鞭策自己,努力学习,感谢我的舍友和朋友们,耐心的帮助我。
参考文献
[1]刘宗田,刘莹 等.Web站点安全与防火墙技术[M].北京:机械工业出版社,1998:7-8,15-21
[2]雷震甲 主编.网络工程师教程(第三版)[M].北京:清华大学出版社.2009:1-2,250-276
[3]金理清.ASP网站安全性问题探析[J].计算机网络与信息安全,2009,5(33),9203-9211.
[4]刘宗田,刘莹 等.Web站点安全与防火墙技术[M].北京:机械工业出版社,1998:7-8,15-21
[5]杜娟,王英,崔建明 等.ASP服务平台安全体系构建.河南理工大学学报,2009,28(3),333-336
[6]李鑫,季振州,刘韦辰 等.防火墙过滤规则集冲突检测算法[J].北京邮电大学学报,2006,29(4),90-93
[7]石志国.计算机网络安全教程[M].北京:清华大学出版社,2007.
[8]李文景《网络管理原理及技术》人民邮电出版社