Web的安全威胁与防护

Web的安全威胁与防护
Web的安全威胁与防护
摘要文章对Web的安全威胁进行分析，提出了Web安全防护措施，并基于Windows平台简述了一个Web安全防护策略的具体应用。

关键词 Web；网络安全；安全威胁；安全防护
1 引言
随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。

WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。

2 Web的安全威胁
来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，可将其分类为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。

2.1对Web服务器的安全威胁
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，恶意用户都有可能利用这些漏洞去获得重要信息。

Web服务器上的漏洞可以从以下几方面考虑：
2.1.1在Web服务器上的机密文件或重要数据（如存放用户名、口令的文件）放置在不安全区域，被入侵后很容易得到。

2.1.2在Web数据库中，保存的有价值信息（如商业机密数据、用户信息等），如果数据库安全配置不当，很容易泄密。

2.1.3Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据，甚至造成系统瘫痪。

2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。

用CGI脚本编写的程序中的自身漏洞。

2.2对Web客户机的安全威胁
现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。

网页的活动内容是指在静态网页中嵌入的对用户透明的程序，它可以完成一些动作，显示动态图像、下载和播放音乐、视频等。

当用户使用浏览器查看带有活动内容的网页时，这些应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删除客户机上的信息。

主要用到Java Applet 和ActiveX技术。

2、基于XML技术
将用户自定义的三维数据集成到XML文档中，通过浏览器对其进行解析后实时展现给用户。

通过三维建模工具和可视化软件实现；在三维对象和三维场景展示时，文件数据量小。

需要安装插件；文件传输快，可被快速下载；呈现的图象质量较好；与其他多技术集成能力强；兼容性好，适合于三维对象和场景的展示。

直接将交互的虚拟场景嵌入到视频中去。

通过实景照片和场景集成软件来实现；在场景模拟时，文件数据量较小。

需要下载插件；用户可快速浏览文件；三维场景的质量高；兼容性好，可以实现360度全景虚拟环境。

版本浏览器预装插件；文件传输慢，下载时间长；呈现的图像质量不高；与其他多技术集成能力及兼容性弱，适合于三维对象和场景的展示。

Java Applet使用Java语言开发，随页面下载，Java使用沙盒(Sandbox)根据安
全模式所定义的规则来限制Java Applet的活动，它不会访问系统中规定安全范围之外的程序代码。

但事实上Java Applet存在安全漏洞，可能被利用进行破坏。

ActiveX是微软的一个控件技术，它封装由网页设计者放在网页中来执行特定的任务的程序，可以由微软支持的多种语言开发但只能运行在Windows平台。

ActiveX在安全性上不如Java Applet，一旦下载，能像其他程序一样执行，访问包括操作系统代码在内的所有系统资源，这是非常危险的。

Cookie是Netscape公司开发的，用来改善HTTP的无状态性。

无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很难。

Cookie实际上是一段小消息，在浏览器第一次连接时由HTTP服务器送到浏览器端，以后浏览器每次连接都把这个Cookie的
一个拷贝返回给Web服务器，服务器用这个Cookie来记忆用户和维护一个跨多个页面的过程影像。

Cookie不能用来窃取关于用户或用户计算机系统的信息，它们只能在某种程度上存储用户的信息，如计算机名字、IP地址、浏览器名称和访问的网页的URL等。

所以，Cookie 是相对安全的。

2.3对通信信道的安全威胁
Internet是连接Web客户机和服务器通信的信道，是不安全的。

像Sniffer这样的嗅探程序，可对信道进行侦听，窃取机密信息，存在着对保密性的安全威胁。

未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。

此外，还有像利用拒绝服务攻击，向网站服务器发送大量请求造成主机无法及时响应而瘫痪，或者发送大量的IP数据包来阻塞通信信道，使网络的速度便缓慢。

3 Web的安全防护技术
3.1 Web客户端的安全防护
Web客户端的防护措施，重点对Web程序组件的安全进行防护，严格限制从网络上任意下载程序并在本地执行。

可以在浏览器进行设置，如Microsoft Internet Explorer的Internet选项的高级窗口中将Java相关选项关闭。

在安全窗口中选择自定义级别，将ActiveX组件的相关选项选为禁用。

在隐私窗口中根据需要选择Cookie的级别，也可以根据需要将c:\windows\cookie下的所有Cookie 相关文件删除。

3.2通信信道的安全防护
通信信道的防护措施，可在安全性要求较高的环境中，利用HTTPS协议替代HTTP 协议。

利用安全套接层协议SSL保证安全传输文件，SSL通过在客户端浏览器软件和Web服务器之间建立一条安全通信信道，实现信息在Internet中传送的保密性和完整性。

但SSL会造成Web服务器性能上的一些下降。

3.3 Web服务器端的安全防护
限制在Web服务器中账户数量，对在Web服务器上建立的账户，在口令长度及定期更改方面作出要求，防止被盗用。

Web服务器本身会存在一些安全上的漏洞，需要及时进行版本升
级更新。

尽量使EMAIL、数据库等服务器与Web服务器分开，去掉无关的网络服务。

在Web服务器上去掉一些不用的如SHELL之类的解释器。

定期查看服务器中的日志文件，分析一切可疑事件。

设置好Web服务器上系统文件的权限和属性。

通过限制许可访问用户IP或DNS。

从CGI编程角度考虑安全。

采用编译语言比解释语言会更安全些，并且CGI程序
应放在独立于HTML存放目录之外的CGI-BIN下等措施。

4 Web服务器安全防护策略的应用
这里以目前应用较多的Windows2000平台和IIS的Web服务器为例简述Web服务器端安全防护的策略应用。

4.1系统安装的安全策略
安装Windows2000系统时不要安装多余的服务和多余的协议，因为有的服务存在有漏洞，多余的协议会占用资源。

安装Windows2000后一定要及时安装补丁4程序（W2KSP4_CN.exe），立刻安装防病毒软件。

4.2系统安全策略的配置
通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。

通过“组策略”限制远程用户对Netmeeting 的桌面共享、限制用户执行Windows安装任务等安全策略配置。

4.3IIS安全策略的应用
在配置Internet信息服务（IIS）时，不要使用默认的Web站点，删除默认的虚拟目录映射；建立新站点，并对主目录权限进行设置。

一般情况下设置成站点管理员和Administrator两个用户可完全控制，其他用户可以读取文件。

4.4审核日志策略的配置
当Windows 2000出现问题的时候，通过对系统日志的分析，可以了解故障发生前系统的运行情况，作为判断故障原因的根据。

一般
情况下需要对常用的用户登录日志，HTTP和FTP日志进行配置。

4.4.1设置登录审核日志
审核事件分为成功事件和失败事件。

成功事件表示一个用户成功地获得了访问某种资源的权限，而失败事件则表明用户的尝试失败。

4.4.2设置HTTP审核日志
通过“Inte rnet服务管理器”选择Web站点的属性，进行设置日志的属性，可根据需要修改日志的存放位置。

4.4.3设置FTP审核日志
设置方法同HTTP的设置基本一样。

选择FTP站点，对其日志属性进行设置，然后修改日志的存放位置。

4.5网页发布和下载的安全策略
因为Web服务器上的网页，需要频繁进行修改。

因此，要制定完善的维护策略，才能保证Web服务器的安全。

有些管理员为方便起见，采用共享目录的方法进行网页的下载和发布，但共享目录方法很不安全。

因此，在Web服务器上要取消所有的共享目录。

网页的更新采用FTP方法进行，选择对该FTP站点的访问权限有“读取、写入”权限。

对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址，限定只有指定的计算机可以访问该FTP站点，并只能对站点目录进行读写操作。

5 结束语
通过对Web安全威胁的讨论及具体Web安全的防护，本文希望为用户在安全上网或配置Web服务器安全过程中起到借鉴作用。

5应用领域
5.1企业和电子商务
企业将他们的产品发布成网上三维的形式，能够展现出产品外形的方方面面，加上互动操作，演示产品的功能和使用操作，充分利用互连网高速迅捷的传
播优势来推广公司的产品。

对于网上电子商务，将销售产品展示做成三维形式，顾客通过观察和操作能够对产品有更加全面的认识了解，决定购买的几率大幅增加，为销售者带来更多的利润。

5.2教育业
计算机辅助教学(CAI)的引入，弥补了传统教学所不能达到的许多方面。

在表现一些空间立体化的知识，如原子、分子的结构、分子的结合过程、机械的运动时，三维的展现形式必然使学习过程形象话，学生更容易接受和掌握。

使用具有交互功能的3D课件，学生可以在实际的动手操作中得到更深的体会。

5.3娱乐游戏业
动态HTML、flash动画、流式音视频，使整个互连网呈现生机黯然。

动感的页面较之静态页面更能吸引更多的浏览者。

三维的引入，必将造成新一轮的视觉冲击，使网页的访问量提升。

娱乐站点可以在页面上建立三维虚拟主持这样的角色来吸引浏览者。

6虚拟现实展示与虚拟社区
使用Web3D实现网络上的VR展示，只须构建一个三维场景，人以第一视角在其中穿行。

场景和控制者之间能产生交互，加之高质量的生成画面使人产生身临其境的感觉。

对于象虚拟展厅、建筑房地产虚拟漫游展示，提供了解决方案。

7发展现状与前景
目前Web3D技术的发展可谓“百家争鸣”，其中最有特点和影响力的有Viewpoint、Cult3D、Atmosphere等。

Viewpoint的主要运用市场是作为物品展示的产品宣传和电子商务领域。

许多著名的公司与电子商务网站使用了此技术作为产品展示。

Cult3D的内核是基于JAVA，它甚至可以嵌入JAVA类，利用JAVA 来增强交互和扩展，但是对于Viewpoint,他的Xml构架能够和浏览器与数据库达到方便通信。

Cult3D的开发环境比Viewpoint人性化和条理化，开发效率也要高得多。

Atmosphere是Adobe公司推出的一个可以通过互连网连接多用户的三维环境式在线聊天工具。

Atmosphere使用了viewpoint的技术，提供了对自然重力和碰撞的模拟，使浏览的感受极具真实性。

由于Web3D与X3D技术的发展没有一个统一的解决方案，而且它对硬件系统的要求比较高，所以目前来说要在互联网上普及这一技术应用还有待时日。

尽管如此，它将创造一种融多媒体、三维图形、网络通讯、虚拟现实为一体的新型媒体，兼具先进性和普及性，是关
心三维图形、多媒体、新一代网页开发和虚拟现实技术的人士所密切注意的。