WEB安全研究
金丽君
摘要:本文主要针对WEB安全问题越来越引起人们的重视这一现状,初步地介绍了国内外对WEB安全问题的研究现状,全面地介绍和分析了WEB服务和应用中存在的各种威胁,并探讨了WEB安全问题的防护对策,来提高计算机网络的安全性。关键词:WEB安全、安全威胁、安全防护
Abstract:This article will focus WEB security has drawn increasing attention to this situation, the initial introduction to security issues at home and abroad on the WEB Research, a comprehensive description and analysis of the WEB services and applications that exist in a variety of threats, and to explore the WEB security protection measures.
一、引言
1.1研究背景及目的
随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险,网上信息的安全和保密是一个至关重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性,计算机网络的安全以及防范措施已迫在眉睫。网络安全评估技术是评价计算机网络安全的重要手段,现今在众多的安全技术中已经占据越来越重要的位置。通过风险评估,对系统进行细致而系统的分析,在系统分析的基础上对系统进行综合评价,最后通过评价结果来了解系统中潜在的危险和薄弱环节,并最终确定系统的安全状况,为以后的安全管理提供重要依据。
随着Internet的普及,人们对其依赖也越来越强,但是由于Internet的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务,Web站点被黑客入侵的事件屡有发生,Web安全问题已引起人们的极大重视。本课题是基于Web安全的这一现状,来对Web服务器安全进行研究,通过WEB安全扫描来减小网络漏洞对服务器造成的威胁。
1.2 WEB安全国内外研究现状
目前和相当一段时间内,国内外关于Web安全的研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。安全协议的制定方面,已经提出了大量实用的安全协议,具有代表性的有:电子商务协议SET,IPSec协议,SSL/TLS协议,简单网络管理协议SNMP, PGP协议,PEM协议,S-HTTP协议,S/MIME协议等。这些协议的安全性分析特别是电子商务协议,IPSec协议,TLS协议是当前协议研究中的热点。系统平台的安全方面主要研究安全操作系统、安全数据库等,以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置;还有就是针对黑客常用的攻击手段制定安全策略。网站程序的安全编程方面,主要研究规范化编程以及现有编程语言(ASP,https://www.doczj.com/doc/7e11883141.html,,PHP,CGI,JSP等)的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面,目前在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等;在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。 Web服务器的安全控制方面,主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置,如Apache的访问控制机制、安全模块,IIS的安全锁定等。
1.3 国内外对扫描系统的研究现状
1.3.1 国外研究现状
在使用漏洞扫描技术来确保网络安全方面,国外的研究工作起步较早。历史上的第一个扫描器War Dialer,实现了自动扫描功能,并且以统一的格式记录扫描结果。这是扫描技术上取得的极大的发展,推动了网络安全性能的发展。1990年,美国国家标准局启动了针对当时的操作系统脆弱性问题进行研究的Research In Secured Operating Systems项目在美国伊利诺伊大学发表了关于软件漏洞的调查报告年。
1992年,Chris Klaus编写了一个扫描工具ISS(Internet security scanner 网络安全扫描器),它是在因特网上进行安全评估扫描最早的工具之一。
1993年,美国海军研究实验室收集了不同操作系统的安全缺陷,然后对每
一缺陷按其来源、成因、发现时间和部分代码进行分类。
1995年,在Dan Farmer和Wietse Venema编写的SATAN(security administrator tool for analyzing networks基于网络的安全管理工具)扫描引擎的带动下,促进了安全扫描技术的发展,并推动一些安全检测产品的产生。
1996年,普渡大学COAST实验室的Taimur、Aslam、Ivan Krsul和Eugene H.Spaford第一次高水平地定义了缺陷的范围,漏洞分类方法被第一次用于该实验室的漏洞库。开始时由一些个人收集漏洞,后来这项工作变成CERIAS(The Center for Education and Research In Information Assurance and Security 信息、保障和安全教育研究中心)的研究项目。
同时,一些国家纷纷建立安全组织和机构来关注网络安全的问题,特别是对漏洞检测和评估方面:
CNCERT/CC是一个网络安全问题的主要研究中心,由美国国防部资助,目的是在网络安全问题发生时,快速有效协调专家处理互联网社区的安全问题。US.CERT将和NCSD一起工作,阻止和减轻网络攻击,并减少网络漏洞。该机
构成立的初衷是借助CNCERT/CC的能力加速美国对网络事件的响应。
Symantec是互联网安全技术的全球领导厂商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案。基于网络的漏洞和风险评估开发的NetRecon是一个基于网络的漏洞和风险评估工具,用于发现、发
掘和报告网络安全漏洞。
Nessus是一种有多种功能的强大工具,是由法国巴黎Renaud Derasion和另外两个黑客编写的。Nessus是一种用来自动检测和发现已知安全问题的强大工具,它的设计用来帮助IT相关人员在黑客对这些漏洞进行利用前确定和解决这些己知安全问题的。Nessus是第一个在志愿的基础上由黑客开发的扫描程序。
1.3.2 国内研究现状
国内在扫描技术方面起步较晚,是在国外扫描技术的基础上发展起来的,在研究方面取得了一定的成果,但与国际水平相比,还存在着一定的差距,对漏洞扫描技术的研究相对要缓慢一些,还有一个需要高速发展的阶段。
目前,从事漏洞检测与评估系统的组织机构主要是一些网络安全公司,有这些公司开发并且使用广泛的有著名的奇虎360安全卫士,金山清理专家和瑞星系
统安全漏洞扫描系统。
1.3.
2.1 360安全卫士是由奇虎公司推出的完全免费的安全类上网辅助工具软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,系统实时保护,修复系统漏洞等功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,为用户提供系统安全保护。
1.3.
2.2 金山清理专家是有金山软件公司开发一款免费清理软件,它能扫描系统中的恶意软件、系统漏洞、病毒、可疑文件等情况,并在检测后根据系统情况提供系统漏洞补丁,IE修复等功能,从一定程度上修复操作系统和应用程序漏洞,降低了安全风险。
1.3.
2.3瑞星系统安全漏洞扫描系统是由瑞星公司从杀毒软件中分离出来,对Windows系统存在的系统漏洞和安全设置缺陷进行检查,并提供相应的补丁下载和安全设置缺陷自动修补的工具,为用户提供系统漏洞扫描,病毒查杀,未知病毒检测等功能,从而保障用户信息安全的防御体系。
二、WEB安全概述
2.1 WEB安全定义
WEB作为建立在Internet基础上的应用,WEB安全的定义不可避免地与网络安全和信息安全概念相重叠,其内涵和外延可看作网络安全和信息安全的一个子集。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。[1]国家信息安全重点实验室对信息安全给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”据此我们给WEB安全做出如下定义:WEB安全是指信息在网络传输过程中不丢失、不被篡改和只被授权用户使用,包括系统安全、程序安全、数据安全和通信安全。
2.2 WEB的安全威胁
来自网络上的安全威胁与攻击多种多样,依照WEB访问的结构,可将其分类为对WEB服务器的安全威胁、对WEB客户机的安全威胁和对通信信道的安全威胁三类。
2.2.1 对WEB服务器的安全威胁
对于WEB服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。WEB服务器上的漏洞可以从以下几方面考虑:
2.2.1.1在WEB服务器上的机密文件或重要数据(如存放用户名、口令的文件)放置在不安全区域,被入侵后很容易得到。
2.2.1.2在WEB数据库中,保存的有价值信息(如商业机密数据、用户信息等),如果数据库安全配置不当,很容易泄密。
2.2.1.3 WEB服务器本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要的数据,甚至造成系统瘫痪。
2.2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。
2.2.2对WEB客户机的安全威胁
现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序,它可以完成一些动作,显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时,这些应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。主要用到Java Applet和ActiveX技术。
Java Applet使用Java语言开发,随页面下载,Java使用沙盒(Sandbox)根据安全模式所定义的规则来限制Java Applet的活动,它不会访问系统中规定安全范围之外的程序代码。但事实上Java Applet存在安全漏洞,可能被利用进行破坏。
ActiveX是微软的一个控件技术,它封装由网页设计者放在网页中来执行特定的任务的程序,可以由微软支持的多种语言开发但只能运行在Windows平台。ActiveX在安全性上不如Java Applet,一旦下载,能像其他程序一样执行,访问包括操作系统代码在内的所有系统资源,这是非常危险的。
Cookie是Netscape公司开发的,用来改善HTTP的无状态性。无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很难。Cookie实
际上是一段小消息,在浏览器第一次连接时由HTTP服务器送到浏览器端,以后浏览器每次连接都把这个Cookie的一个拷贝返回给WEB服务器,服务器用这个Cookie来记忆用户和维护一个跨多个页面的过程影像。Cookie不能用来窃取关于用户或用户计算机系统的信息,它们只能在某种程度上存储用户的信息,如计算机名字、IP地址、浏览器名称和访问的网页的URL等。所以,Cookie是相对安全的。
2.2.3对通信信道的安全威胁
Internet是连接Web客户机和服务器通信的信道,是不安全的。像Sniffer 这样的嗅探程序,可对信道进行侦听,窃取机密信息,存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。
2.3 WEB的安全防护对策
2.3.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
2.3.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。
各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。
2.3.3 信息加密策略
信息加密的目的是保护Web服务的数据、文件、密码和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
2.3.4 安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。三、WEB服务器安全防护策略的应用
这里以目前应用较多的Windows2000平台和IIS的Web服务器为例简述Web 服务器端安全防护的策略应用。
3.1系统安装的安全策略
安装Windows2000系统时不要安装多余的服务和多余的协议,因为有的服务存在有漏洞,多余的协议会占用资源。安装Windows2000后一定要及时安装补丁程序(W2KSP4_CN.exe),立刻安装防病毒软件。
3.2系统安全策略的配置
通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任务等安全策略配置。
3.3 IIS安全策略的应用
在配置Internet信息服务(IIS)时,不要使用默认的Web站点,删除默认的虚拟目录映射;建立新站点,并对主目录权限进行设置。一般情况下设置成站
点管理员和Administrator两个用户可完全控制,其他用户可以读取文件。
3.4审核日志策略的配置
当Windows 2000出现问题的时候,通过对系统日志的分析,可以了解故障发生前系统的运行情况,作为判断故障原因的根据。一般情况下需要对常用的用户登录日志,HTTP和FTP日志进行配置。
3.4.1设置登录审核日志
审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限,而失败事件则表明用户的尝试失败。
3.4.2设置HTTP审核日志
通过“Internet服务管理器”选择Web站点的属性,进行设置日志的属性,可根据需要修改日志的存放位置。
3.4.3设置FTP审核日志
设置方法同HTTP的设置基本一样。选择FTP站点,对其日志属性进行设置,然后修改日志的存放位置。
3.5网页发布和下载的安全策略
因为Web服务器上的网页,需要频繁进行修改。因此,要制定完善的维护策略,才能保证Web服务器的安全。有些管理员为方便起见,采用共享目录的方法进行网页的下载和发布,但共享目录方法很不安全。因此,在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行,选择对该FTP站点的访问权限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址,限定只有指定的计算机可以访问该FTP 站点,并只能对站点目录进行读写操作。
四、我的研究内容
主要从三个模块来设计与实现WEB安全扫描,模块分解下图所示:
本分布式网络安全评估系统主要涉及到操作系统扫描、系统文件扫描、浏览器扫描、进程扫描、WEB服务器安全扫描、Windows服务的扫描、注册表的扫描、共享文件的扫描、驱动的扫描、应用程序的扫描及其其他漏洞扫描,共11个模块。我所研究的内容是该系统中的一部分,及WEB服务器安全扫描,主要从以上三个模块来研究和实现WEB服务器安全扫描,通过扫描系统的实现来加强WEB服务器的完全。
五、总结
随着WEB的迅速普及,安全已不容忽视。从普通的浏览器到WEB服务器,安全问题都一直贯穿着。正确看待WEB的安全问题,对自身有着很重要的作用。现在是一个互联网的时代,很多的事情都是通过网络来处理的,没有一个安全的保证是有很大风险的。
本文阐述了国内外对WEB安全的研究现状和扫描系统的研究现状,从WEB安全的定义入手论述到WEB所面临的威胁,针对WEB所面临的威胁给出了相应的安全防护措施,并着重介绍了WEB服务器端的安全防护措施,采取有效的防护措施来增强服务器的安全性。
六、参考文献
[1] 张国祥.基于Apache的Web安全技术的应用研究[J].武汉理工大学学报,
2004,(3).
[2] 单欧.SSL在web安全中的应用[J].信息网络安全,2004,(6).
[3] 孔凡飞.基于WS Security的电子商务Web服务安全的概要设计[D]杭州:浙江大学,20030201:25.
[4] 邓集波.WEB中基于角色访问控制的静态授权研究[D]武汉:华中科技大学,20020510:18.
[5] 周颖.Web服务安全性研究及其应用[D]重庆:重庆大学,20041010:36.
[6] 张振兴.Web服务安全性的研究与实现[D]北京:华北电力大学,20031230:40-43[8] 孟丽佳.EC商务系统中Web安全性设计与实现[D]大连:大连理工大学,20050612:27.
[7]贾贺,张旭.构建安全Web站点[M]北京:电子工业出版社,2002年1月:84.
[8]Steve Kalman著冯大辉,姚湘怡译.web安全实践 web security field guide[M]北京:人民邮电出版社,2003年12月:264-268.
[9]汪海慧.浅议网络安全问题及防范对策[J].信息技术,2007,31(01):117-120.
[10]刘修峰,范志刚.网络攻击与网络安全分析[J].网络安全,2006(12):46-48.
[11]杨颖.基于OVAL的漏洞扫描系统设计与实现.西北大学,20080618.
[11] Fan, Di.How product intangibility and its moderators affect perceived risk in online shopping setting[D]Canada: Concordia University,2005:29.
[12] El Namroud, Dany.Servers/Web sites security[D]Canada: Ecole de Technologies Superieure,2002:59.
[12]Rebort A,Integrating your information security vulnerability management capabilities t
hrough industry standards(CVE&OVAL).IEEE Intemational conference on Systems,Man and Cybemetics,2003.2:5—8