PPT《第5章Web安全》

第5章Web安全 5.

1 Web技术简介5.2 Web的安全需求5.3 Web服务器安全策略5.4 Web浏览器安全策略5.5 Web站点安全八要素5.6 小结 网络安全就是网络上的信息安全.从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域.网络安全的具体含义从不同角度有不同的内容.网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题.其重要性,正随着全球信息化步伐的加快而变得越来越重要.安全问题刻不容缓. 20世纪80年代末,Berners-Lee和他的助手创建了一个从各种各样资源中链接信息的接口.最终的结果是定义了URL、HTTP和HTML等规范,而WWW(World Wide Web)就基于此.今天,Web技术可使用户创建格式化的信息页面,而这些页面又可 链接 到其他信息页面并访问整个网络.简言之,Web是可通过Web浏览器访问的信息集合.第一个重要的Web浏览器是Mosaic.当前,Netscape Navigator和Microsoft Internet Explorer共执Web浏览器市场之牛耳. 5.1 Web技术简介 除文字外,Web页面还包括图像、声音、动画及其他特殊的效果.单独的页面能被链接到其他页面,以提供对附加信息的访问.Web的发展速度是惊人的.现实是Internet 和Web对于各种安全泄密非常脆弱.因此,各个机构对于Web安全的要求在逐渐增加.Web本质上是运行在Internet和TCP/IP内联网上的客户/服务器应用程序.WWW为用户带来世界范围的超级文本服务.此外,WWW还可以为用户提供传统的因特网服务,如Telnet、FTP、Gopher、Usernet、News等.基于Web的开发技术有Java、XML、Ejb、Enhydra、Jboss、Linux、Mysql等. 从硬件上来说,服务器是指具有固定的地址,并为网络用户提供服务的节点,它是实现资源共享的重要组成部分.服务器主要有网络服务器、打印服务器、终端服务器、磁盘服务器和文件服务器等.它是一种高性能计算机,作为网络的节点,存储、处理网络上80%的数据、信息,因此也称为网络的灵魂.从软件的角度上,Web服务器是驻留在服务器上的一个程序,使用超文本传输协议HTTP(hypertext transfer protocol),它和用户方面的浏览器不断地传送各种信息.当然,还存在着使用其他协议标准的服务器,如FTP、GOPHER和5.1.1 Web服务器 WAIS等.Web服务器的作用就是管理WWW的大量信息,处理用户发来的各种请求,将满足用户要求的信息返回给用户.Web服务器是Internet上最暴露的服务器.如果说用于防止Internet从内部网络进行攻击的防火墙是最重要网络安全领域的话,Web服务器就可以说是第二个需要高度安全的领域了.服务器安全由几个安全区域组成,安全必须在每一个区域得以实现.(1) 基础设施区.该区用于定义服务器在网络中的位置.这个区域必须能够防止数据窃听、网络映射和端口扫描等黑客技术的威胁. (2) 网络协议区.该区一般指的是TCP/IP通信.操作系统内核对通信负责并保证一个透明的通信流,因此内核必须经过必要的配置.(3) 服务区.该区定义需要哪些服务.服务器上最好只配置完成必要操作所必须的服务.(4) 应用区.为安全起见,每个服务最好单独配置,否则可能被用来发送垃圾邮件.(5) 操作系统区.最后的保护机制是操作系统本身. Web浏览器是一个安装在硬盘上用于阅读Web信息的客户端的应用软件,就像一个字处理程序一样.通俗地讲,把用户连接到网上并显示网上有什么的软件就是浏览器――是一个面向WWW的窗口.浏览器在很大程度上决定了能看到或不能看到什么,能做或不能做什么.浏览器在网络上与Web服务器打交道,从服务器上下载文件,把在互联网上找到的文本文档(和其他类型的文件)翻译成网页. HTML是网络所基于的格式化语言.浏览器的缓存(cache)是另一个重要的因素.Web浏览器有许多种,包括: Mosaic、Netscape Navigator、Netscape Communicator、Internet Explorer和Lynx等. 5.1.2 Web浏览器 HTTP(超文本传输协议)是WWW浏览器和WWW服务器之间的应用层通信协议,是用于分布式协作超文本信息系统的、通用的、面向对象的协议.它是C/S(client/server)结构的协议,允许用户接收另一台计算机上的信息.HTTP协议通过扩展命令,可用于类似的任务,如域名服务或分布式面向对象系统.HTTP会话过程包括4个步骤: 连接、请求、应答和关闭.HTTP协议是基于TCP/IP之上的协议,它不仅保证正确传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示等. 5.1.3 HTTP协议 HTML即超文本标记语言,是用于创建Web文档(即Homepage文档)的编程语言,是WWW的描述语言.HTML文本是由HTML命令组成的描述性文本,HTML命令可以说明文字、图形、动画、声音、表格、链接等.HTML的结构包括头部(Head)、主体(Body)两大部分,其中头部描述浏览器所需的信息,而主体则包含所要说明的具体内容.设计HTML语言的目的是为了能把存放在一台计算机中的文本或图形与另一台计算机中的文本或图形方便地联系在一起,形成有机的整体. 5.1.4 HTML语言 HTML文档看起来与网页在浏览器上显示的不同,在屏幕上看到的网页是浏览器对HTML文档的翻译;