应用安全.ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Cookie ✓ 经常清除已浏览网址 ✓ 调整自动完成功能
❖ 定制安全策略,包括:定义安全资源,进行重要等级划
分;进行安全风险评估;制订安全策略的基本原则;建立安 全培训制度;具有意外事件处理措施。
❖ 认真组织Web服务器
认真选择Web服务器设备和相关软件; 仔细配置Web服务器; 谨慎组织Web服务器的相关内容 安全管理Web服务器
❖ 跟踪最新安全指南
2.3 Web安全概述
❖ Web是一个运行于Internet和TCP/IP Intranet之上 的基本的Client/Server应用。
❖ Web安全性涉及所有计算机与网络的安全性内容。 同时还具有新的挑战。Web具有双向性,Web Server易于遭受来自Internet的攻击,而且实现 Web浏览、配置管理、内容发布等功能的软件异 常复杂,其中隐藏许多潜在的安全隐患。
当数据包被删节或被篡改时,有相应的检查方法
❖ 保证传输信息的保密性:敏感信息必须采用加密方式传
输,防止被截获而泄密
❖ 对于身份认证要求高的Web,需要保证信息的不可 否认性:必须有识别发送信息是否为发送方所发的方法
❖ 对于防伪要求高的Web应用,保证信息的不可重用 性:努力做到信息即使被中途截取,也无法被再次使用
❖ IPSec可提供端到端的安全性机制,可在网络层上对数据 包进行安全处理。IPSec可以在路由器、防火墙、主机和 通信链路上配置,实现端到端的安全、虚拟专用网络和安 全隧道技术等。
❖ 基于网络层使用IPSec来实现Web安全的模型:
HTTP
FTP
SMTP
TCP IP/IPSec
传输层安全性
❖ 在TCP传输层之上实现数据的安全传输是另一种安全 解决方案:安全套接层SSL和TLS(Transport Layer Security)通常工作在TCP层之上,可以为更高层协议 提供安全服务。
应用安全
北京科技大学计算机系 王昭顺 教授 2008年10月
主要内容
❖ 应用安全基础设施 ❖ Web应用安全 ❖ 电子邮件安全 ❖ 电子商务安全 ❖ 电子政务安全
一、应用安全基础设施
❖ 密码技术
应用系统的安全是建立在密码体制、安Biblioteka Baidu协议的基础之 上。高效合理的密钥管理和授权管理是应用系统安全的 基础。
机取证提供支持;
2.5 Web浏览器的安全策略
❖ 浏览器自动引发的应用
PostScript文件、配置/bin/csh作为查看器、Java Applet的安 全性、 JavaScript的安全性、 ActiveX的安全性
对策
✓ 在安全选项中设置浏览器各类脚本的处理; ✓ 管理Cookie的技巧:在Internet选项中选择“隐私”选项来管理
能出现的问题,以及他人恶意的破坏 ❖ 确保服务器提供的服务(特别是金融和电子商
务的站点)是可信的 ❖ 保护Web访问者的IP地址、电子邮件地址、所
用计算机名称、单位名称、所访问页面内容、 访问时间及传输数据量甚至个人的信用卡号码 等信息。
Web浏览器的安全需求
❖ 传输来的内容中,有些是浏览器用户在网页中能看 到的;还有些是浏览器不能显示的,存入硬盘。这 些浏览器不能显示的内容可能是协议工作内容(对 用户透明),也可能是恶意代码。
❖ PKI技术
密钥管理涉及密钥的生成、分发、存储、使用和销毁等 环节。
❖ 授权管理基础设施PMI(Privilege Management Infrastructure)
授权服务主要解决在网络中“每个实体能做什么”的问 题。
二、 Web应用安全
❖ Web安全威胁 ❖ Web的安全需求 ❖ Web安全概述 ❖ Web服务器的安全策略 ❖ Web浏览器的安全策略
2.1 Web安全威胁
Web威胁的种类 ❖ 信息泄漏 ❖ 拒绝服务 ❖ 代码执行 ❖ 病毒、木马 ❖ Web服务器漏洞 ❖ ….
web漏洞种类
2.2 Web的安全需求
❖ Web服务器的安全需求 ❖ Web浏览器的安全需求 ❖ Web传输过程的安全需求
Web服务器的安全需求
❖ 最基本的要求:维护公布信息的真实完整 ❖ 保证Web服务器不被入侵者作为“跳板”使用 ❖ 确保用户能够获得Web服务,防止系统本身可
安全Web服务器
安全Web服务器在提供常规的Web服务的同时, 还具有以下特点:
❖ WEB页面加密存储方法,确保存储在WEB服务器 上的页面文件的安全性;
❖ WEB页面的原始性鉴别技术; ❖ 分密级访问控制,确保不被非法访问; ❖ 严格的传输加密技术,确保信息不被监听; ❖ 数字水印日志,确保日志文件不可更改,为计算
HTTP
FTP SSL或者TLS
TCP IP
SMTP
应用层安全性
❖ 将安全服务直接嵌入在应用程序中,从而在应用层实 现通信安全,如下图所示。
❖ 安全电子交易SET(Secure Electronic Transaction) 是一种安全交易协议,S/MIME、PGP是用于安全电子 邮件的一种标准。它们都可以在相应的应用中提供机 密性、完整性和不可抵赖性等安全服务。
❖ 实现Web安全的方法很多,从TCP/IP协议的角度 可以分成3种:网络层安全性、传输层安全性和应 用层安全性。
网络层安全性
❖ 传统的安全体系一般都建立在应用层上。这些安全体系虽 然具有一定的可行性,但也存在着巨大的安全隐患,因为 IP包本身不具备任何安全特性,很容易被修改、伪造、查 看和重播。
❖ 确保浏览器不被恶意代码(特别是病毒和木马)侵 袭
恶意代码可能窃取Web浏览器计算机上的隐私; 甚至破坏计算机的设备; 也可能使用户在网上冲浪时误入歧途(访问某些特殊网
站)
Web传输过程的安全需求
❖ 保证传输方(信息)的真实性:要求所传输的数据包必须
是发送方发出的,而不是他人伪造的
❖ 保证传输信息的完整性:要求所传输的数据包完整无缺,
Kerberos UDP
S/MIME
PGP
SET
SMTP, HTTP TCP
IP
Web通信安全的实现
❖ 网络层——IP安全性(IPSec) ❖ 传输层——SSL/STL ❖ 应 用 层 ——S/MIME, PGP, PEM, SET,
Kerberos,SHTTP,SSH
2.4 Web服务器的安全策略
❖ 定制安全策略,包括:定义安全资源,进行重要等级划
分;进行安全风险评估;制订安全策略的基本原则;建立安 全培训制度;具有意外事件处理措施。
❖ 认真组织Web服务器
认真选择Web服务器设备和相关软件; 仔细配置Web服务器; 谨慎组织Web服务器的相关内容 安全管理Web服务器
❖ 跟踪最新安全指南
2.3 Web安全概述
❖ Web是一个运行于Internet和TCP/IP Intranet之上 的基本的Client/Server应用。
❖ Web安全性涉及所有计算机与网络的安全性内容。 同时还具有新的挑战。Web具有双向性,Web Server易于遭受来自Internet的攻击,而且实现 Web浏览、配置管理、内容发布等功能的软件异 常复杂,其中隐藏许多潜在的安全隐患。
当数据包被删节或被篡改时,有相应的检查方法
❖ 保证传输信息的保密性:敏感信息必须采用加密方式传
输,防止被截获而泄密
❖ 对于身份认证要求高的Web,需要保证信息的不可 否认性:必须有识别发送信息是否为发送方所发的方法
❖ 对于防伪要求高的Web应用,保证信息的不可重用 性:努力做到信息即使被中途截取,也无法被再次使用
❖ IPSec可提供端到端的安全性机制,可在网络层上对数据 包进行安全处理。IPSec可以在路由器、防火墙、主机和 通信链路上配置,实现端到端的安全、虚拟专用网络和安 全隧道技术等。
❖ 基于网络层使用IPSec来实现Web安全的模型:
HTTP
FTP
SMTP
TCP IP/IPSec
传输层安全性
❖ 在TCP传输层之上实现数据的安全传输是另一种安全 解决方案:安全套接层SSL和TLS(Transport Layer Security)通常工作在TCP层之上,可以为更高层协议 提供安全服务。
应用安全
北京科技大学计算机系 王昭顺 教授 2008年10月
主要内容
❖ 应用安全基础设施 ❖ Web应用安全 ❖ 电子邮件安全 ❖ 电子商务安全 ❖ 电子政务安全
一、应用安全基础设施
❖ 密码技术
应用系统的安全是建立在密码体制、安Biblioteka Baidu协议的基础之 上。高效合理的密钥管理和授权管理是应用系统安全的 基础。
机取证提供支持;
2.5 Web浏览器的安全策略
❖ 浏览器自动引发的应用
PostScript文件、配置/bin/csh作为查看器、Java Applet的安 全性、 JavaScript的安全性、 ActiveX的安全性
对策
✓ 在安全选项中设置浏览器各类脚本的处理; ✓ 管理Cookie的技巧:在Internet选项中选择“隐私”选项来管理
能出现的问题,以及他人恶意的破坏 ❖ 确保服务器提供的服务(特别是金融和电子商
务的站点)是可信的 ❖ 保护Web访问者的IP地址、电子邮件地址、所
用计算机名称、单位名称、所访问页面内容、 访问时间及传输数据量甚至个人的信用卡号码 等信息。
Web浏览器的安全需求
❖ 传输来的内容中,有些是浏览器用户在网页中能看 到的;还有些是浏览器不能显示的,存入硬盘。这 些浏览器不能显示的内容可能是协议工作内容(对 用户透明),也可能是恶意代码。
❖ PKI技术
密钥管理涉及密钥的生成、分发、存储、使用和销毁等 环节。
❖ 授权管理基础设施PMI(Privilege Management Infrastructure)
授权服务主要解决在网络中“每个实体能做什么”的问 题。
二、 Web应用安全
❖ Web安全威胁 ❖ Web的安全需求 ❖ Web安全概述 ❖ Web服务器的安全策略 ❖ Web浏览器的安全策略
2.1 Web安全威胁
Web威胁的种类 ❖ 信息泄漏 ❖ 拒绝服务 ❖ 代码执行 ❖ 病毒、木马 ❖ Web服务器漏洞 ❖ ….
web漏洞种类
2.2 Web的安全需求
❖ Web服务器的安全需求 ❖ Web浏览器的安全需求 ❖ Web传输过程的安全需求
Web服务器的安全需求
❖ 最基本的要求:维护公布信息的真实完整 ❖ 保证Web服务器不被入侵者作为“跳板”使用 ❖ 确保用户能够获得Web服务,防止系统本身可
安全Web服务器
安全Web服务器在提供常规的Web服务的同时, 还具有以下特点:
❖ WEB页面加密存储方法,确保存储在WEB服务器 上的页面文件的安全性;
❖ WEB页面的原始性鉴别技术; ❖ 分密级访问控制,确保不被非法访问; ❖ 严格的传输加密技术,确保信息不被监听; ❖ 数字水印日志,确保日志文件不可更改,为计算
HTTP
FTP SSL或者TLS
TCP IP
SMTP
应用层安全性
❖ 将安全服务直接嵌入在应用程序中,从而在应用层实 现通信安全,如下图所示。
❖ 安全电子交易SET(Secure Electronic Transaction) 是一种安全交易协议,S/MIME、PGP是用于安全电子 邮件的一种标准。它们都可以在相应的应用中提供机 密性、完整性和不可抵赖性等安全服务。
❖ 实现Web安全的方法很多,从TCP/IP协议的角度 可以分成3种:网络层安全性、传输层安全性和应 用层安全性。
网络层安全性
❖ 传统的安全体系一般都建立在应用层上。这些安全体系虽 然具有一定的可行性,但也存在着巨大的安全隐患,因为 IP包本身不具备任何安全特性,很容易被修改、伪造、查 看和重播。
❖ 确保浏览器不被恶意代码(特别是病毒和木马)侵 袭
恶意代码可能窃取Web浏览器计算机上的隐私; 甚至破坏计算机的设备; 也可能使用户在网上冲浪时误入歧途(访问某些特殊网
站)
Web传输过程的安全需求
❖ 保证传输方(信息)的真实性:要求所传输的数据包必须
是发送方发出的,而不是他人伪造的
❖ 保证传输信息的完整性:要求所传输的数据包完整无缺,
Kerberos UDP
S/MIME
PGP
SET
SMTP, HTTP TCP
IP
Web通信安全的实现
❖ 网络层——IP安全性(IPSec) ❖ 传输层——SSL/STL ❖ 应 用 层 ——S/MIME, PGP, PEM, SET,
Kerberos,SHTTP,SSH
2.4 Web服务器的安全策略