第5章網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略

網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第1頁。最新新聞“.中國”域名全球?qū)⒂弥袊ヂ?lián)網(wǎng)信息中心（）4月28日在北京宣布：由()代表中國提交的簡、繁體“.中國”域名國際申請已通過互聯(lián)網(wǎng)名稱與編號分配機構(gòu)評審。這意味著誕生于1983年的域名系統(tǒng)在被英國語種獨霸27年之后，終于正式迎來了以中文為代表的多語種域名時代。預(yù)計未來數(shù)月內(nèi)，全球數(shù)十億華語網(wǎng)民將可直接使用簡體或繁體的“.中國”域名訪問互聯(lián)網(wǎng)。其中，“上海世博會.中國”已正式開通并使用。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第2頁。章節(jié)前言

網(wǎng)絡(luò)應(yīng)用時惡意和非法進入組織機構(gòu)網(wǎng)絡(luò)的最佳入口。網(wǎng)絡(luò)平臺的系統(tǒng)安全性和網(wǎng)絡(luò)應(yīng)用的安全性是截然不同的概念。因此，需要認(rèn)真對待每個網(wǎng)絡(luò)應(yīng)用，了解入侵是如何發(fā)生的，學(xué)習(xí)如何在他人找到網(wǎng)絡(luò)安全防護漏洞之前修補破綻，保護網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第3頁。§5.1網(wǎng)絡(luò)應(yīng)用的安全概述網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第4頁。5.1.1身份驗證身份驗證不僅是網(wǎng)絡(luò)應(yīng)用安全首先要解決的問題，還是最重要的階段；對大部分網(wǎng)絡(luò)應(yīng)用而言，用戶驗證包括用戶和密碼兩部分。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第5頁。5.1.2訪問控制

訪問控制是網(wǎng)絡(luò)應(yīng)用使用驗證方法來接受或拒絕對內(nèi)容和功能訪問的過程。以下是兩種主要的訪問控制方法：路徑挖掘（一般用于無法直接訪問的文件）客戶端緩存（限制緩存）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第6頁。5.1.3未授權(quán)的輸入

在網(wǎng)絡(luò)應(yīng)用響應(yīng)用戶的請求，襲擊者修改的請求，來繞過網(wǎng)站的安全機制。最常見的襲擊后果是跨站腳本，緩存溢出以及資料隱碼。服務(wù)器端的驗證是防止此類利用請求進行入侵的必須手段。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第7頁。5.1.4應(yīng)采取的措施編碼文檔的建立以及獨立的編碼審查；擅長應(yīng)用安全的第三方對系統(tǒng)以及升級應(yīng)用所使用的控制方式進行評估； 使用網(wǎng)絡(luò)應(yīng)用安全工具；定期進行系統(tǒng)安全檢查。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第8頁。5.2電子郵件系統(tǒng)安全策略1.對電子郵件進行加密2.對郵件和系統(tǒng)進行病毒保護選擇一款可靠的防毒軟件及時升級病毒庫識別郵件病毒打開實時監(jiān)控防火墻投石問路網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第9頁。5.2電子郵件系統(tǒng)安全策略2.對郵件和系統(tǒng)進行病毒保護盡量不在“地址薄”中設(shè)置聯(lián)系名單少使用信紙模塊設(shè)置郵箱自動過濾功能不使用郵件軟件中的預(yù)覽功能網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第10頁。5.2電子郵件系統(tǒng)安全策略3.垃圾郵件和郵件炸彈的防范措施盡量不要隨意公布自己的郵箱地址盡量開啟郵箱自動清除軟件進行過濾和刪除設(shè)置“接受信件大小”一般為信箱容量的三份之一可以使用戶按照郵件的來源、主題、長度、接受者來設(shè)置在本地的電子郵件客戶端程序上。4.采用防火墻技術(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第11頁。5.3安全策略服務(wù)是一種完全建立在現(xiàn)有互聯(lián)網(wǎng)標(biāo)準(zhǔn)之上、松散耦合的、跨語言和平臺的應(yīng)用程序之間通信的標(biāo)準(zhǔn)方法。一般而言，信息傳輸?shù)陌踩笥校罕Ｃ苄允跈?quán)數(shù)據(jù)完整性信息源認(rèn)證不可否認(rèn)性網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第12頁。5.3.1面臨的安全威脅

應(yīng)用由3部分構(gòu)成：提供服務(wù)的瀏覽器以及傳遞瀏覽器和服務(wù)器之間服務(wù)請求和響應(yīng)報文的網(wǎng)絡(luò)。這3部分都面臨安全威脅。從服務(wù)器角度看從瀏覽器角度看（惡意代碼的干擾）從網(wǎng)絡(luò)角度看（安全套接層技術(shù)）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第13頁。5.3.1面臨的安全威脅萬維網(wǎng)服務(wù)器安全漏洞主要源于兩個方面：服務(wù)器軟件錯誤而產(chǎn)生的安全漏洞；服務(wù)器配置不當(dāng)引起的；從目前來看，服務(wù)器上的安全漏洞是不可彌補的；網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第14頁。5.3.2安全防范技術(shù)可以將安全防范技術(shù)分為3個域：瀏覽器安全防范域；網(wǎng)絡(luò)安全防范域；服務(wù)器安全防范域；實際上都是保證服務(wù)的保密性、完整性和可用性；而從目前來看，前兩者做的比較好，拒絕服務(wù)網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)蠕蟲攻擊網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第15頁。5.3.3安全設(shè)置

的縮寫1.安全性摘要式身份驗證；安全套接字協(xié)議層；服務(wù)器網(wǎng)關(guān)加密；服務(wù)器證書向?qū)В坏刂芳坝蛳拗疲?身份驗證協(xié)議相容性；證書；網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第16頁。5.3.3安全設(shè)置2.可管理性重新啟動；（不用重啟電腦）備份和還原；進程賬戶；進程限制；改進的自定義錯誤消息；配置選項；遠程管理；終端服務(wù)；集中管理；網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第17頁。5.3.3安全設(shè)置3.可編程性可以使用服務(wù)器端的腳本和組件創(chuàng)建動態(tài)內(nèi)容，從而創(chuàng)建于瀏覽器無關(guān)的動態(tài)內(nèi)容。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第18頁。5.3.3安全設(shè)置4.信息發(fā)布一個可以對應(yīng)多個站點，便于服務(wù)提供商維護；網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第19頁。5.3.3安全設(shè)置5.虛擬服務(wù)器和虛擬目錄（1）配置虛擬服務(wù)器的3種方法：法；端口法；主機頭法；（兩種實現(xiàn)方法：站點創(chuàng)建向?qū)Ш驼军c屬性）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第20頁。5.3.3安全設(shè)置5.虛擬服務(wù)器和虛擬目錄（2）創(chuàng)建虛擬目錄的3種方法：使用本地主機目錄；使用另一臺主機的網(wǎng)絡(luò)共享目錄，需要提供一個有效的用戶名和密碼；重定向到；站點的重要屬性網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第21頁。5.3.4服務(wù)的安全保障措施用戶名、密碼的直接信任安全令牌和數(shù)字簽名的直接信任基于文檔的安全性防火墻對消息的處理網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第22頁。5.3.5制定站點安全策略的原則設(shè)置安全站點的基本原則即在滿足網(wǎng)站基本安全需要的基礎(chǔ)上，根據(jù)網(wǎng)站提供的服務(wù)和服務(wù)的對象來設(shè)置安全系統(tǒng)，評估和分析安全風(fēng)險。2.利用服務(wù)器記錄客戶信息網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第23頁。5.3.6配置安全的服務(wù)器認(rèn)真配置服務(wù)器，盡可能使用它的安全訪問特性；2.在2000系統(tǒng)上使用時，應(yīng)該檢查驅(qū)動器和共享的權(quán)限，將所有系統(tǒng)資源設(shè)置為只讀狀態(tài)；3.分批重點保存重要數(shù)據(jù)和文件；4.按最壞的安全形勢配置服務(wù)器系統(tǒng)；5.嚴(yán)格限制腳本的執(zhí)行權(quán)限和執(zhí)行范圍，防止外部用戶利用腳本執(zhí)行服務(wù)器系統(tǒng)的內(nèi)部指令。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全策略全文共27頁，當(dāng)前為第24頁。5.3.7及時消除服務(wù)器站點中的安全漏洞物理漏洞；2.軟件漏洞；3.系統(tǒng)不兼容性漏洞；4.沒有制定必要的安全策略；