web系统安全配置及系保护统保护.docVIP

单元三 网络系统的安全配置与管理 项目一　Web系统安全配置及系统保护 教学目标 1．理解WEB系统的安全体系结构、安全需求、安全原则、安全制定策略与配置； 2．掌握系统安装正确选择、系统安装正确定制； 3．掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置； 4．掌握Web安全的基本配置； 教学要求 1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯； 2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3．教学环境： Windows 7以及Windows server2003/2008以上操作系统。 知识要点 1．WEB系统的安全体系结构、安全需求； 2．WEB服务器、浏览器的安全体系结构、安全原则、安全制定策略与配置； 技术要点 1．掌握系统安装正确选择、系统安装正确定制； 2．掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置； 3．掌握Web安全的基本配置； 技能训练 一．讲授与示范 正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。 (一) Web系统安全概述 1．Web的安全体系结构 1）Web的安全需求 2）Web的安全体系结构 2．Web服务器的安全需求 1）维护公布信息的真实完整 2）维持Web服务的安全可用 3）保护Web访问者的隐私 4）保证Web服务器不被入侵者作为“跳板”使用 3．Web浏览器的安全需求 1）保证浏览器系统不被病毒破坏 2）保证浏览器端个人安全信息不外泄 3）保证所交互的站点的真实性，避免被冒 4．Web传输的安全需求 1）保证发送者（信息）的真实性 2）保证传输信息的完整性 3）对特殊的安全性较高的Web，需要传输的必威体育官网网址性 4）对认证应用的WEB，需要信息的不可否认性 5）对于防伪要求较高的Web应用，保证信息的不可重用性 5．Web系统的典型安全漏洞 1）操作系统安全漏洞 2）网络系统的安全漏洞 3）应用系统的安全漏洞 4）网络安全防护系统不健全 5）其他安全漏洞 (二)Web系统的安全原则 1．浏览器与服务器建立联接的过程 2．安全策略制定原则 1）基本原则 每个Web站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安全系统的基本依据。 2）服务器记录原则 管理者不得打开或查看客户或用户的统计资料，一般情况必须具有最高权限的管理者才能进行。 (三)Web服务器安全 1．Web服务器安全策略 1）制定安全政策 做好安全威胁的分析、网络安全资源并进行重要等级划分、进行安全风险评估、制定安全策略的基本原则、建立安全培训制度、具有意外事件处理。 2）认真组织和管理WEB服务器 选好WEB服务器设备和相关软件(多查询)、认真配置WEB服务器、安全管理WEB服务器、时刻关注安全信息。 2．Web服务器的安全配置及安全特性 1）加强Web服务器隔离法 利用智能HUB或二层以上交换机隔离Web服务器，使用防火墙过滤功能将WEB服务器和内网隔离。 2）Web服务器备份 真实可靠、备份存储的地方是非常可靠和安全的。 3）合理配置主机操作系统 防止IP欺骗，避免口令泄露，不要使用弱口令，权限应合理设置，禁止远程管理，记录服务器的安全状态，不要使用安全性脆弱的自动目录表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态，将敏感文件放在基本系统中并设二级系统，可将WEB服务器当作无权的用户运行。 4）合配置WEB服务器软件 A．访问控制规则要通过IP地址、子网域名来控制，并用用户名和口令限制控制访问，最好用公用密钥加密的方法控制访问； B．相关目录必须设置权限，谨用安全性较差的WEB服务器功能； C．把服务限制在有限的文件空间范围内，记录服务器的安全状态； D．减少远程管理等功能。 5）排除站点中的安全漏洞 A．物理的漏洞由未授权人员访问引起，他们能浏览那些不被允许的地方。 B．软件漏洞是由“错误授权”的应用程序引起，它会执行不应执行的功能。 C．不兼容问题漏洞是由不良系统集成引起。 6）安全管理WEB服务器 A．更新WEB服务器内容采用本地更新安全方式 B．监视控制Web站点出入情况 服务器日常受访次数、受访增加次数 用户来源、一周最忙的时间、一天内最忙的时间 服务器哪类信息被访问、哪张页面最受欢迎 每个目录用户访问，访问站点的浏览器、提交方式 C．测算命中次数 确定站点命中次数、确定站点访问者数目 D．定期对WEB服务器进行安全检查 (四)Web浏览器的安全 IE功能：调用主机或服务器的系统中的有关的应用程序，以便正确显示从Web