Web服務(wù)器安全策略

1、Web服務(wù)器安全策略計算機(jī)網(wǎng)絡(luò)安全2022/7/26 11:16:27Web安全2Web服務(wù)器安全策略1.1 定制安全政策1.2 認(rèn)真組織Web服務(wù)器1.3 跟蹤最新安全指南1.4 意外事件的處理2022/7/26 11:16:27Web安全31.1 定制安全政策1 定義安全資源，進(jìn)行重要等級劃分2 進(jìn)行安全風(fēng)險評估3 制定安全策略的基本原則4 建立安全培訓(xùn)制度5 具有意外事件處理措施2022/7/26 11:16:27Web安全41.2 認(rèn)真組織Web服務(wù)器服務(wù)器的安全策略，有很多內(nèi)容，簡單說明幾個必須的內(nèi)容:2022/7/26 11:16:27Web安全51 認(rèn)真選擇Web服務(wù)器設(shè)備和相關(guān)

2、軟件對于Web服務(wù)器，最顯著的性能要求是響應(yīng)時間和吞吐率。其中，典型的功能包括： 提供靜態(tài)頁面和多種動態(tài)頁面的能力； 接受和處理用戶信息的能力； 提供站點搜索服務(wù)的能力； 遠(yuǎn)程管理的能力。而典型的安全方面的要求包括：在已知的Web服務(wù)器漏洞中，針對該類型的最少；對服務(wù)器的管理操作只能由授權(quán)用戶執(zhí)行； 拒絕通過Web訪問不公開的信息； 能夠禁止內(nèi)嵌的不必要的網(wǎng)絡(luò)服務(wù)； 能夠控制各種形式的可執(zhí)行程序的訪問； 能對某些Web操作進(jìn)行日志記錄，便于執(zhí)行入侵監(jiān)測和入侵企圖分析； 能夠具有一定的容錯性。2022/7/26 11:16:27Web安全62 仔細(xì)配置Web服務(wù)器（1） 將Web服務(wù)器與內(nèi)部網(wǎng)絡(luò)

3、分隔開來（2） 維護(hù)安全的Web站點的拷貝（3） 合理配置主機(jī)系統(tǒng)（4） 合理配置Web服務(wù)器軟件2022/7/26 11:16:27Web安全7（1） 將Web服務(wù)器與內(nèi)部網(wǎng)絡(luò)分隔開來Web服務(wù)器被入侵的時候，可能的危害有： Web服務(wù)器系統(tǒng)被破壞甚至崩潰； 入侵者收集敏感信息，如用戶名，口令等； 入侵者借助入侵的服務(wù)器為基礎(chǔ)，進(jìn)一步破壞其他網(wǎng)絡(luò)。所以，為了避免上述情況，我們應(yīng)當(dāng)把Web服務(wù)器隔離開來，可以采用： 使用智能HUB或者二層交換機(jī)隔離； 所有內(nèi)部網(wǎng)絡(luò)的交換信息都采用加密方式； 使用防火墻包過濾功能將Web服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離； 使用帶有防火墻功能的三、四層交換機(jī)。2022/7/2

4、6 11:16:27Web安全8（2） 維護(hù)安全的Web站點的拷貝備份系統(tǒng)是系統(tǒng)管理員的法寶。所以，一般情況下，Web服務(wù)器都采用多臺備份機(jī)器在服務(wù)。但是要保證兩點：首先，備份的內(nèi)容是真實可靠的；其次，備份存儲的地方是非常可靠的，安全的。2022/7/26 11:16:27Web安全9（3） 合理配置主機(jī)系統(tǒng)主機(jī)的操作系統(tǒng)是Web的直接支撐者，合理地配置主機(jī)系統(tǒng)，能夠為Web服務(wù)器提供強(qiáng)健的安全支持。可以從兩個方面考慮：僅僅提供必要的服務(wù)配置軟件簡單，只需考慮一種Web服務(wù)； 管理人員單一，便于管理； 用戶訪問方式單一，便于管理； 訪問日志文件較少，便于審計； 避免多種服務(wù)之間的故障沖突。選擇

5、使用必要的輔助工具選擇輔助工具，簡化主機(jī)安全管理:UNIX系統(tǒng)的tcp_wrapper 工具，對系統(tǒng)起到一定的安全保護(hù)作用。2022/7/26 11:16:27Web安全10（4） 合理配置Web服務(wù)器軟件在設(shè)置Web服務(wù)器訪問控制規(guī)則的時候，要注意一些事項，Web服務(wù)器一般提供如下幾種類型的訪問控制方法： 通過IP地址、子網(wǎng)域名來控制。這種方法要盡量避免 “欺騙”。 通過用戶名/口令限制控制訪問。這種方法要盡量避免口令被竊取。 通過公用密鑰加密的方法控制訪問。對于Web服務(wù)器的有關(guān)目錄必須設(shè)置權(quán)限。具體設(shè)置在此不詳細(xì)描述。謹(jǐn)慎使用安全性比較脆弱的Web服務(wù)器功能，比如，自動目錄列表功能，符號

6、連接功能，用戶維護(hù)目錄功能，等等。把服務(wù)限制在有限的文件空間范圍內(nèi)。配置好Web服務(wù)器的管理功能。盡量禁止遠(yuǎn)程管理等功能。要記錄Web服務(wù)器的安全狀態(tài)信息。2022/7/26 11:16:27Web安全113 謹(jǐn)慎組織Web服務(wù)器的相關(guān)內(nèi)容Web服務(wù)器的相關(guān)內(nèi)容必須謹(jǐn)慎組織，以保證網(wǎng)站的信譽(yù)。其內(nèi)容主要包括以下幾個方面：（1） 聯(lián)接檢查，檢查源程序，察看聯(lián)接URL和相應(yīng)的內(nèi)容是否圖文一致，察看URL所提供的內(nèi)容是否和網(wǎng)頁的描述一致；（2） CGI程序檢測，防止非法用戶的惡意使用CGI程序，造成破壞。2022/7/26 11:16:27Web安全124 安全管理Web服務(wù)器Web服務(wù)器的安全管理

7、不是一勞永逸的，需要認(rèn)真維護(hù)。（1） 更新Web服務(wù)器內(nèi)容盡量采用安全方式，比如，盡可能的避免網(wǎng)絡(luò)更新，而是采用本地方式；（2） 經(jīng)常審查有關(guān)日志記錄。按照HTTP協(xié)議的規(guī)定;（3） 進(jìn)行必要的數(shù)據(jù)備份;（4） 定期對Web服務(wù)器進(jìn)行安全檢查。（5）使用 輔助工具。2022/7/26 11:16:27Web安全13常用的Web服務(wù)器響應(yīng)代碼有： 200：用戶請求被正確響應(yīng)； 302：URL被重定向到其他文件； 400：用戶請求有錯誤； 401：所訪問的文件要求進(jìn)行身份認(rèn)證； 403：所請求的文件被禁止訪問； 404：所請求的文件沒找到； 500：服務(wù)器內(nèi)部錯誤； 501：Web服務(wù)器沒安裝所請

8、求的應(yīng)用方法； 503：服務(wù)器資源不足。2022/7/26 11:16:27Web安全14（3） 進(jìn)行必要的數(shù)據(jù)備份。備份是對付任何意外事故的保留方法，是系統(tǒng)的最后的安全防線。2022/7/26 11:16:27Web安全15（4） 定期對Web服務(wù)器進(jìn)行安全檢查。安全檢查的目的有兩個： 及時發(fā)現(xiàn)Web服務(wù)器系統(tǒng)的安全缺陷；及時發(fā)現(xiàn)入侵蹤跡。2022/7/26 11:16:27Web安全16（5） 輔助工具SSH，是一個網(wǎng)絡(luò)遠(yuǎn)程登錄的工具，在認(rèn)證機(jī)制和加密傳輸?shù)幕A(chǔ)上提供執(zhí)行命令，拷貝文件等功能，可以防止IP欺騙，DNS欺騙等。免費的運(yùn)行于UNIX系統(tǒng)的Tripe Wire，能夠幫助管理員發(fā)現(xiàn)被非法篡改的文件。入侵檢測工具，如SATAN；日志審計工具，如Analog。2022/7/26 11:16:27Web安全171.3 跟蹤最新安全指南1 及時更新系統(tǒng)軟件和應(yīng)用軟件的版本，避免已存在漏洞的仍舊使用；2 了解最新發(fā)現(xiàn)的安全漏洞和新的攻擊工具的特點，以便做好預(yù)防；3 了解、掌握最新的安全保護(hù)技術(shù)和工具；4 修訂原來的安全策略，引進(jìn)必要的安全工具。由于各個網(wǎng)站安全需求不同，遭受攻擊的幾率和手段不盡相同，因此系統(tǒng)的安全工作要結(jié)合系統(tǒng)本身特點來進(jìn)行。2022/7/26