web安全策略解决方案 第一部分 web的安全需求 1.1 Web安全的体系结构,包括主机安全,网络安全和应用安全; 1.2 Web浏览器和服务器的安全需求; 在已知的web服务器(包括软硬件)漏洞中,针对该类型web服务器的攻击最少; 对服务器的管理操作只能由授权用户执行; 拒绝通过web访问web服务器上不公开发布的内容; 禁止内嵌在OS或者 web server软件中的不必要的网络服务; 有能力控制对各种形式的.exe程序的访问; 能够对web操作进行日志记录,以便于进行入侵检测和入侵企图分析; 具有适当的容错功能; 1.3 Web传输的安全需求 Web服务器必须和内部网络隔离: 有四种实现方式,应选择使用高性能的cisco防火墙实现隔离 Web服务器必须和数据库隔离; 维护一份web站点的安全拷贝:来自开发人员最终发布的版本(内容安全); 其次,存储的地点是安全的(另一台独立的位于防火墙之后的内网的主机); 还有,定期备份应该使用磁带,可擦写光盘等媒介; 1.4 Web面临的威胁:信息泄露,拒绝服务,系统崩溃,跳板。 第二部分 web服务器的安全策略 主机操作系统是web的直接支撑着,必须合理配置主机系统,为WEB 服务器提供安全支持: 只提供必要的服务; 某种服务被攻击不影响其它服务; 使用运行在其它主机上的辅助工具并启动安全日志; 设置web服务器访问控制规则: 通过IP,子网,域名来控制; 通过口令控制; 使用公用密钥加密算法; 设置web服务器目录权限; 关闭安全性脆弱的web服务器功能例如:自动目录列表功能;符号连接等 谨慎组织web服务器的内容: 链接检查; CGI程序检测(如果采用此技术); 定期对web服务器进行安全检查; 辅助工具:SSH; 文件系统完整性检测工具; 入侵检测工具; 日志审计工具; 第三部分 web攻击与反攻击 入侵检测方法: 物理检查; 紧急检查; 追捕入侵者; 攻击的类型: 拒绝服务; 第四部分 源代码的安全及约束规则 不能留有后门程序和漏洞,包括系统架构是否合理,是否符合安全需求汇编反汇编、病毒反病毒。 最后,至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样,因人而异。 |