92Web站点安全 加强服务器的安全,有以下几个步骤 (1)认真配置服务器,使用它的访问和安全特性 (2)可将Web服务器当作无权的用户运行 (3)检查驱动器和共享的权限,将系统设为只读状态 (4)可将敏感文件放在基本系统中,再设二级系统,所 有的敏感数据都不向因特网开放 5)充分考虑最糟糕的情况后,配置自己的系统 (6)检查HTTP服务器使用的Applet脚本和客户交互作用 的CGI脚本。防止外部用户执行内部指令 7)建议在 Windows nt服务器上运行Web服务器,这样 安全,尽管它不能提供像Unix和Sun那么多的功能 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.2 Web站点安全 加强服务器的安全,有以下几个步骤。 (1)认真配置服务器,使用它的访问和安全特性。 (2)可将Web服务器当作无权的用户运行。 (3)检查驱动器和共享的权限,将系统设为只读状态。 (4)可将敏感文件放在基本系统中,再设二级系统,所 有的敏感数据都不向因特网开放。 (5)充分考虑最糟糕的情况后,配置自己的系统。 (6)检查 HTTP服务器使用的Applet脚本和客户交互作用 的CGI脚本。防止外部用户执行内部指令。 (7)建议在Windows NT服务器上运行Web服务器,这样 安全,尽管它不能提供像Unix和Sun那么多的功能
92Web站点安全 923排除站点中的安全漏洞 最基本的安全措施是排除站点中的安全漏洞,使其 降到最少,通常表现为以下四种方式 (1)物理的漏洞由未授权人员访问引起,由于他们能浏 览那些不被允许的地方。用户不仅能浏览Web,而且可 以改变浏览器的配置并取得站点信息,例如IP地址, DNS入口等 2)软件漏洞是由“错误授权”的应用程序引起。例如 脚本和Aplt,它会执行不应执行的功能。一条首要规 则是,不要轻易相信脚本和 Applet。使用时,应确信 掌握它们的功能 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.2.3 排除站点中的安全漏洞 最基本的安全措施是排除站点中的安全漏洞,使其 降到最少,通常表现为以下四种方式。 (1)物理的漏洞由未授权人员访问引起,由于他们能浏 览那些不被允许的地方。用户不仅能浏览Web,而且可 以改变浏览器的配置并取得站点信息,例如IP地址, DNS入口等。 (2)软件漏洞是由“错误授权”的应用程序引起。例如 脚本和Applet ,它会执行不应执行的功能。一条首要规 则是,不要轻易相信脚本和Applet。使用时,应确信能 掌握它们的功能。 9.2 Web站点安全
92Web站点安全 (3)不兼容问题漏洞是由不良系统集成引起。一个硬件 或软件运行时可能工作良好,一日和其它设备集成后 (例如作为一个系统),就可能会出现问题。这类问题 很难确认,所以对每一个部件在集成进入系统之前,都 必须进行测试。 (4)缺乏安全策略。如果用户用他们的电话号码作为口 令,无论口令授权体制如何安全都没用。必须有一个包 含所有安全必备(如覆盖阻止等)的安全策略 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.2 Web站点安全 (3)不兼容问题漏洞是由不良系统集成引起。一个硬件 或软件运行时可能工作良好,一旦和其它设备集成后 (例如作为一个系统),就可能会出现问题。这类问题 很难确认,所以对每一个部件在集成进入系统之前,都 必须进行测试。 (4)缺乏安全策略。如果用户用他们的电话号码作为口 令,无论口令授权体制如何安全都没用。必须有一个包 含所有安全必备(如覆盖阻止等)的安全策略
92Web站点安全 92.4监视控制Web站点出入情况 为了防止和追踪黑客闯入和内部滥用,需要对Web站 点上的出入情况进行监视控制 监控请求 1)服务器日常受访次数是多少?受访次数增加了吗? 2)用户从那里连接的? (3)一周中哪天最忙?一天中何时最忙 (4)服务器上哪类信息被访问?哪些页面最受欢迎?每个 目录下有多少页被访问? 5)每个目录下有多少用户访问?访问站点的是哪些浏览 器?与站点对话的是哪种操作系统? 6)更多的选择哪种提交方式? 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.2 Web站点安全 9.2.4 监视控制Web站点出入情况 为了防止和追踪黑客闯入和内部滥用,需要对Web站 点上的出入情况进行监视控制。 1.监控请求 (1)服务器日常受访次数是多少?受访次数增加了吗? (2)用户从那里连接的? (3)一周中哪天最忙?一天中何时最忙? (4)服务器上哪类信息被访问?哪些页面最受欢迎?每个 目录下有多少页被访问? (5)每个目录下有多少用户访问?访问站点的是哪些浏览 器?与站点对话的是哪种操 作系统? (6)更多的选择哪种提交方式?
92Web站点安全 2.测算访问次数 如果想了解有多少人知道你的站点,他们到底关心 什么,访问次数是一个很重要的指标。这个指标直接影 响安全保护,也会促进安全性的提高和改善 (1)确定站点访问次数。访问次数是一个原始数字,仅 仅描述了站点上文件下载的平均数目 2)确定站点访问者数目。实际上,得到的数据是站点 上某个文件被访问的次数。显然,将访问次数与主页文 件联系在一起时,该数字接近于某个时期内访问者数目, 但也不是百分之百的准确。 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.2 Web站点安全 2.测算访问次数 如果想了解有多少人知道你的站点,他们到底关心 什么,访问次数是一个很重要的指标。这个指标直接影 响安全保护,也会促进安全性的提高和改善。 (1)确定站点访问次数。访问次数是一个原始数字,仅 仅描述了站点上文件下载的平均数目。 (2)确定站点访问者数目。实际上,得到的数据是站点 上某个文件被访问的次数。显然,将访问次数与主页文 件联系在一起时,该数字接近于某个时期内访问者数目, 但也不是百分之百的准确