Web系统安全配置及系统保护.docVIP

单元三 网络系统的安全配置与管理 项目一　Web系统安全配置及系统保护 教学目标 1．理解WEB系统的安全体系结构、安全需求、安全原则、安全制定策略与配置； 2．掌握系统安装正确选择、系统安装正确定制； 3．掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置； 4．掌握Web安全的基本配置； 教学要求 1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯； 2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3．教学环境： Windows 7以及Windows server2003/2008以上操作系统。 知识要点 1．WEB系统的安全体系结构、安全需求； 2．WEB服务器、浏览器的安全体系结构、安全原则、安全制定策略与配置； 技术要点 1．掌握系统安装正确选择、系统安装正确定制； 2．掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置； 3．掌握Web安全的基本配置； 技能训练 一．讲授与示范 正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。 (一) Web系统安全概述 1．Web的安全体系结构 1）Web的安全需求 2）Web的安全体系结构 2．Web服务器的安全需求 1）维护公布信息的真实完整 2）维持Web服务的安全可用 3）保护Web访问者的隐私 4）保证Web服务器不被入侵者作为“跳板”使用 3．Web浏览器的安全需求 1）保证浏览器系统不被病毒破坏 2）保证浏览器端个人安全信息不外泄 3）保证所交互的站点的真实性，避免被冒 4．Web传输的安全需求 1）保证发送者（信息）的真实性 2）保证传输信息的完整性 3）对特殊的安全性较高的Web，需要传输的必威体育官网网址性 4）对认证应用的WEB，需要信息的不可否认性 5）对于防伪要求较高的Web应用，保证信息的不可重用性 5．Web系统的典型安全漏洞 1）操作系统安全漏洞 2）网络系统的安全漏洞 3）应用系统的安全漏洞 4）网络安全防护系统不健全 5）其他安全漏洞 (二)Web系统的安全原则 1．浏览器与服务器建立联接的过程 客户机浏览器服务器IP地址或代理服务器的IP地址 客户机 浏览器 服务器 IP地址或代理服务器的IP地址 客户的域名 通过一个域名服务器转换 服务器伪造地址 IP地址设置不正确 验证/决定客户权限 1）基本原则 每个Web站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安全系统的基本依据。 2）服务器记录原则 管理者不得打开或查看客户或用户的统计资料，一般情况必须具有最高权限的管理者才能进行。 (三)Web服务器安全 1．Web服务器安全策略 1）制定安全政策 做好安全威胁的分析、网络安全资源并进行重要等级划分、进行安全风险评估、制定安全策略的基本原则、建立安全培训制度、具有意外事件处理。 2）认真组织和管理WEB服务器 选好WEB服务器设备和相关软件(多查询)、认真配置WEB服务器、安全管理WEB服务器、时刻关注安全信息。 2．Web服务器的安全配置及安全特性 1）加强Web服务器隔离法 利用智能HUB或二层以上交换机隔离Web服务器，使用防火墙过滤功能将WEB服务器和内网隔离。 2）Web服务器备份 真实可靠、备份存储的地方是非常可靠和安全的。 3）合理配置主机操作系统 防止IP欺骗，避免口令泄露，不要使用弱口令，权限应合理设置，禁止远程管理，记录服务器的安全状态，不要使用安全性脆弱的自动目录表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态，将敏感文件放在基本系统中并设二级系统，可将WEB服务器当作无权的用户运行。 4）合配置WEB服务器软件 A．访问控制规则要通过IP地址、子网域名来控制，并用用户名和口令限制控制访问，最好用公用密钥加密的方法控制访问； B．相关目录必须设置权限，谨用安全性较差的WEB服务器功能； C．把服务限制在有限的文件空间范围内，记录服务器的安全状态； D．减少远程管理等功能。 5）排除站点中的安全漏洞 A．物理的漏洞由未授权人员访问引起，他们能浏览那些不被允许的地方。 B．软件漏洞是由“错误授权”的应用程序引起，它会执行不应执行的功能。 C．不兼容问题漏洞是由不良系统集成引起。 6）安全管理WEB服务器 A．更新WEB服务器内容采用本地更新安全方式 B．监视控制Web站点出入情况 服务器日常受访次数、受访增加次数 用户来源、一周最忙的时间、一天内最忙的时间 服务器哪类信息被访问、哪张页面最受欢迎 每个目录用户访问，访问站点的浏览器、提交方式 C．测算命中次数 确