《信息安全技术》课件第10章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 信息 安全技术 课件 10
- 资源描述:
-
1、10.1 Web安全技术10.2 电子邮件安全技术10.3 身份认证技术10.4 PKI技术小结习题Web页面为用户提供了网络应用系统的接口以及海量的多媒体信息(包括文字、音频、视频信息),透过Web页,人们可以从事海量知识和信息的检索、网络办公以及网络交易等日常的工作、学习、娱乐活动。然而,有些人受利益驱动,利用了人们上网的心理和Web本身存在的漏洞,进行违法犯罪活动。10.1 Web安全技术安全技术 10.1.1 Web概述概述1.Web组成部分组成部分 Web最初是以开发一个人类知识库为目标,并为某一项目的协作者提供相关信息及交流思想的途径。Web的基本结构是采用开放式的客户端/服务器结
2、构(Client/Server),它们之间利用通信协议进行信息交互。1)服务器端(Web服务器)在服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器是驻留在服务器上的软件,它汇集了大量的信息。Web服务器的作用就是管理这些文档,按用户的要求返回信息。2)客户端(Web浏览器)客户端通常称为Web浏览器,用于向服务器发送资源请求,并将接收到的信息解码显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。如果文件中包含图像以及其他格式的文件(如声频、视频、Flash等)
3、,Web浏览器会做相应的处理或依据所支持的插件进行必要的显示。3)通信协议(HTTP协议)Web浏览器与服务器之间遵循HTTP协议进行通信传输。HTTP(Hyper Text TransferProtocol,超文本传输协议)是分布式的Web应用的核心技术协议,它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。Web服务器通过Web浏览器与用户交互操作,相互间采用HTTP协议通信(服务器和客户端都必须安装HTTP协议)。Web浏览器通过TCP协议3次握手与服务器建立起TCP/IP连接。在Web浏览器软件中,Netscape的Web浏览
4、器NN(Netscape Navigator)、NC(Netscape Communicator)具有最广泛的系统平台支持,可以在所有平台上运行;Microsoft的IE(Intemet Explorer)则是Windows平台上运行最常用的浏览器软件。2.Web安全问题安全问题Web的初始目的是提供快捷服务和直接访问,所以早期的Web没有考虑安全性问题。随着Web的广泛应用,Internet 中与Web相关的安全事故正成为目前所有事故的主要组成部分。图10-1-1所示的是我国国家应急响应与协调处理中心的2007年年报中提到的处理网络安全事件的图例。图 10-1-1 2007年国家应急响应与协
5、调处理中心处理网络安全事件的数量由图10-1-1知,与Web 安全有关的网页恶意代码和网站篡改事件占据了所有事件的六成,可见Web安全问题的严重性。10.1.2 Web安全目标安全目标Web安全目标主要分为以下3个方面:(1)保护Web服务器及其数据的安全。Web服务器安全是指系统持续不断地、稳定地、可靠地运行,保证Web服务器提供可靠的服务;未经授权不得访问服务器,保证服务器不被非法访问;系统文件未经授权不得访问,从而避免引起系统混乱。Web服务器的数据安全是指存储在服务器里的数据和配置信息未经授权不能窃取、篡改和删除;只允许授权用户访问Web发布的信息。(2)保护Web服务器和用户之间传递
6、信息的安全。保护Web服务器和用户之间传递信息的安全主要包括3个方面的内容:第一,必须确保用户提供给Web服务器的信息(用户名、密码、财务信息、访问的网页名等)不被第三方所窃听、篡改和破坏;第二,对从Web服务器端发送给用户的信息要加以同样的保护;第三,用户和服务器之间的链路也要进行保护,使得攻击者不能轻易地破坏该链路。(3)保护终端用户计算机及其他连入Internet的设备的安全。保护终端用户计算机的安全是指保证用户使用的Web浏览器和安全计算平台上的软件不会被病毒感染或被恶意程序破坏;确保用户的隐私和私人信息不会遭到破坏。保护连入Internet设备的安全,主要是保护诸如路由器、交换机的正
7、常运行,免遭破坏;保证不被黑客安装监控以及后门程序。10.1.3 Web安全技术的分类安全技术的分类Web安全技术主要包括Web服务器安全技术、Web应用服务安全技术和Web浏览器安全技术三类。1.Web服务器安全技术服务器安全技术 当前,Web 服务器存在的安全威胁有端口扫描、Ping 扫射、NetBIOS 和服务器消息块(SMB)枚举、拒绝服务攻击(DoS)、未授权访问、任意代码执行与特权提升、病毒、蠕虫和特洛伊木马等。为了应对日益严重的网络安全威胁,必须提高Web 服务器的安全保障能力,防止恶意攻击,提高服务器防篡改与自动修复能力。Web 防护可通过多种手段实现,这主要包括安全配置Web
8、服务器、网页防篡改技术、反向代理技术和蜜罐技术等。(1)安全配置Web服务器:充分利用Web服务器本身拥有的诸如主目录权限设定、用户访问控制、IP地址许可等安全机制,进行合理、有效的配置,确保Web服务的访问安全。(2)网页防篡改技术:将网页监控与恢复结合在一起,通过对网站的页面进行实时监控,主动发现网页页面内容是否被非法改动,一旦发现被非法篡改,可立即恢复被篡改的网页。(3)反向代理技术:当外网用户访问网站时,采用代理与缓存技术,使得访问的是反向代理系统,无法直接访问Web服务器系统,因此也无法对Web服务器实施攻击。反向代理系统会分析用户的请求,以确定是直接从本地缓存中提取结果还是把请求转
展开阅读全文