WEB安全研究-文獻(xiàn)綜述.doc

中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)設(shè)計(jì)（論文）文獻(xiàn)綜述專用紙 第11頁WEB安全研究金麗君摘要：本文主要針對(duì)WEB安全問題越來越引起人們的重視這一現(xiàn)狀，初步地介紹了國內(nèi)外對(duì)WEB安全問題的研究現(xiàn)狀，全面地介紹和分析了WEB服務(wù)和應(yīng)用中存在的各種威脅，并探討了WEB安全問題的防護(hù)對(duì)策，來提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性。關(guān)鍵詞：WEB安全、安全威脅、安全防護(hù)Abstract：This article will focus WEB security has drawn increasing attention to this situation, the initial introduction to security issues at home and abroad on the WEB Research, a comprehensive description and analysis of the WEB services and applications that exist in a variety of threats, and to explore the WEB security protection measures.一、引言1.1研究背景及目的隨著網(wǎng)絡(luò)時(shí)代的來臨，人們在享受著網(wǎng)絡(luò)帶來的無盡的快樂的同時(shí)，也面臨著越來越嚴(yán)重和復(fù)雜的網(wǎng)絡(luò)安全威脅和難以規(guī)避的風(fēng)險(xiǎn)，網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性，計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。網(wǎng)絡(luò)安全評(píng)估技術(shù)是評(píng)價(jià)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要手段，現(xiàn)今在眾多的安全技術(shù)中已經(jīng)占據(jù)越來越重要的位置。通過風(fēng)險(xiǎn)評(píng)估，對(duì)系統(tǒng)進(jìn)行細(xì)致而系統(tǒng)的分析，在系統(tǒng)分析的基礎(chǔ)上對(duì)系統(tǒng)進(jìn)行綜合評(píng)價(jià)，最后通過評(píng)價(jià)結(jié)果來了解系統(tǒng)中潛在的危險(xiǎn)和薄弱環(huán)節(jié)，并最終確定系統(tǒng)的安全狀況，為以后的安全管理提供重要依據(jù)。隨著Internet的普及，人們對(duì)其依賴也越來越強(qiáng)，但是由于Internet的開放性，及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的安全考慮不完備，造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù)，Web站點(diǎn)被黑客入侵的事件屢有發(fā)生，Web安全問題已引起人們的極大重視。本課題是基于Web安全的這一現(xiàn)狀，來對(duì)Web服務(wù)器安全進(jìn)行研究，通過WEB安全掃描來減小網(wǎng)絡(luò)漏洞對(duì)服務(wù)器造成的威脅。1.2 WEB安全國內(nèi)外研究現(xiàn)狀目前和相當(dāng)一段時(shí)間內(nèi)，國內(nèi)外關(guān)于Web安全的研究主要從安全協(xié)議的制定、系統(tǒng)平臺(tái)的安全、網(wǎng)站程序的安全編程、安全產(chǎn)品的研發(fā)、Web服務(wù)器的安全控制等方面著手。安全協(xié)議的制定方面，已經(jīng)提出了大量實(shí)用的安全協(xié)議，具有代表性的有：電子商務(wù)協(xié)議SET，IPSec協(xié)議，SSL/TLS協(xié)議，簡單網(wǎng)絡(luò)管理協(xié)議SNMP， PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議，S/MIME協(xié)議等。這些協(xié)議的安全性分析特別是電子商務(wù)協(xié)議，IPSec協(xié)議，TLS協(xié)議是當(dāng)前協(xié)議研究中的熱點(diǎn)。系統(tǒng)平臺(tái)的安全方面主要研究安全操作系統(tǒng)、安全數(shù)據(jù)庫等，以及現(xiàn)有常用系統(tǒng)(如WINDOWS,UNIX,LINUX)的安全配置；還有就是針對(duì)黑客常用的攻擊手段制定安全策略。網(wǎng)站程序的安全編程方面，主要研究規(guī)范化編程以及現(xiàn)有編程語言（ASP,ASP.NET,PHP,CGI,JSP等）的安全配置和發(fā)布增加功能與安全性的新版本。安全產(chǎn)品的研發(fā)方面，目前在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類:防火墻、安全路由器、虛擬專用網(wǎng)VPN、安全服務(wù)器、電子簽證機(jī)構(gòu)CA和PKI產(chǎn)品、用戶認(rèn)證產(chǎn)品、安全管理中心、入侵檢測系統(tǒng)IDS、入侵防御系統(tǒng)IPS等；在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術(shù)的應(yīng)用，并且是非?；A(chǔ)性的應(yīng)用。 Web服務(wù)器的安全控制方面，主要研究時(shí)下流行的Apache、IIS的安全缺陷分析與安全配置，如Apache的訪問控制機(jī)制、安全模塊，IIS的安全鎖定等。 1.3 國內(nèi)外對(duì)掃描系統(tǒng)的研究現(xiàn)狀1.3.1 國外研究現(xiàn)狀 在使用漏洞掃描技術(shù)來確保網(wǎng)絡(luò)安全方面，國外的研究工作起步較早。歷史上的第一個(gè)掃描器War Dialer，實(shí)現(xiàn)了自動(dòng)掃描功能，并且以統(tǒng)一的格式記錄掃描結(jié)果。這是掃描技術(shù)上取得的極大的發(fā)展，推動(dòng)了網(wǎng)絡(luò)安全性能的發(fā)展。1990年，美國國家標(biāo)準(zhǔn)局啟動(dòng)了針對(duì)當(dāng)時(shí)的操作系統(tǒng)脆弱性問題進(jìn)行研究的Research In Secured Operating Systems項(xiàng)目在美國伊利諾伊大學(xué)發(fā)表了關(guān)于軟件漏洞的調(diào)查報(bào)告年。1992年，Chris Klaus編寫了一個(gè)掃描工具ISS(Internet security scanner網(wǎng)絡(luò)安全掃描器)，它是在因特網(wǎng)上進(jìn)行安全評(píng)估掃描最早的工具之一。1993年，美國海軍研究實(shí)驗(yàn)室收集了不同操作系統(tǒng)的安全缺陷，然后對(duì)每一缺陷按其來源、成因、發(fā)現(xiàn)時(shí)間和部分代碼進(jìn)行分類。1995年，在Dan Farmer和Wietse Venema編寫的SATAN(security administrator tool for analyzing networks基于網(wǎng)絡(luò)的安全管理工具)掃描引擎的帶動(dòng)下，促進(jìn)了安全掃描技術(shù)的發(fā)展，并推動(dòng)一些安全檢測產(chǎn)品的產(chǎn)生。1996年，普渡大學(xué)COAST實(shí)驗(yàn)室的Taimur、Aslam、Ivan Krsul和EugeneHSpaford第一次高水平地定義了缺陷的范圍，漏洞分類方法被第一次用于該實(shí)驗(yàn)室的漏洞庫。開始時(shí)由一些個(gè)人收集漏洞，后來這項(xiàng)工作變成CERIAS(TheCenter for Education and Research In Information Assurance and Security信息、保障和安全教育研究中心)的研究項(xiàng)目。同時(shí)，一些國家紛紛建立安全組織和機(jī)構(gòu)來關(guān)注網(wǎng)絡(luò)安全的問題，特別是對(duì)漏洞檢測和評(píng)估方面：CNCERTCC是一個(gè)網(wǎng)絡(luò)安全問題的主要研究中心，由美國國防部資助，目的是在網(wǎng)絡(luò)安全問題發(fā)生時(shí)，快速有效協(xié)調(diào)專家處理互聯(lián)網(wǎng)社區(qū)的安全問題。USCERT將和NCSD一起工作，阻止和減輕網(wǎng)絡(luò)攻擊，并減少網(wǎng)絡(luò)漏洞。該機(jī)構(gòu)成立的初衷是借助CNCERTCC的能力加速美國對(duì)網(wǎng)絡(luò)事件的響應(yīng)。Symantec是互聯(lián)網(wǎng)安全技術(shù)的全球領(lǐng)導(dǎo)廠商，為企業(yè)、個(gè)人用戶和服務(wù)供應(yīng)商提供廣泛的內(nèi)容和網(wǎng)絡(luò)安全軟件及硬件的解決方案?；诰W(wǎng)絡(luò)的漏洞和風(fēng)險(xiǎn)評(píng)估開發(fā)的NetRecon是一個(gè)基于網(wǎng)絡(luò)的漏洞和風(fēng)險(xiǎn)評(píng)估工具，用于發(fā)現(xiàn)、發(fā)掘和報(bào)告網(wǎng)絡(luò)安全漏洞。Nessus是一種有多種功能的強(qiáng)大工具，是由法國巴黎Renaud Derasion和另外兩個(gè)黑客編寫的。Nessus是一種用來自動(dòng)檢測和發(fā)現(xiàn)已知安全問題的強(qiáng)大工具，它的設(shè)計(jì)用來幫助IT相關(guān)人員在黑客對(duì)這些漏洞進(jìn)行利用前確定和解決這些己知安全問題的。Nessus是第一個(gè)在志愿的基礎(chǔ)上由黑客開發(fā)的掃描程序。1.3.2 國內(nèi)研究現(xiàn)狀 國內(nèi)在掃描技術(shù)方面起步較晚，是在國外掃描技術(shù)的基礎(chǔ)上發(fā)展起來的，在研究方面取得了一定的成果，但與國際水平相比，還存在著一定的差距，對(duì)漏洞掃描技術(shù)的研究相對(duì)要緩慢一些，還有一個(gè)需要高速發(fā)展的階段。目前，從事漏洞檢測與評(píng)估系統(tǒng)的組織機(jī)構(gòu)主要是一些網(wǎng)絡(luò)安全公司，有這些公司開發(fā)并且使用廣泛的有著名的奇虎360安全衛(wèi)士，金山清理專家和瑞星系統(tǒng)安全漏洞掃描系統(tǒng)。 360安全衛(wèi)士是由奇虎公司推出的完全免費(fèi)的安全類上網(wǎng)輔助工具軟件，它擁有查殺流行木馬、清理惡評(píng)及系統(tǒng)插件，管理應(yīng)用軟件，系統(tǒng)實(shí)時(shí)保護(hù)，修復(fù)系統(tǒng)漏洞等功能，同時(shí)還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對(duì)系統(tǒng)的全面診斷報(bào)告，為用戶提供系統(tǒng)安全保護(hù)。 金山清理專家是有金山軟件公司開發(fā)一款免費(fèi)清理軟件，它能掃描系統(tǒng)中的惡意軟件、系統(tǒng)漏洞、病毒、可疑文件等情況，并在檢測后根據(jù)系統(tǒng)情況提供系統(tǒng)漏洞補(bǔ)丁，IE修復(fù)等功能，從一定程度上修復(fù)操作系統(tǒng)和應(yīng)用程序漏洞，降低了安全風(fēng)險(xiǎn)。瑞星系統(tǒng)安全漏洞掃描系統(tǒng)是由瑞星公司從殺毒軟件中分離出來，對(duì)Windows系統(tǒng)存在的系統(tǒng)漏洞和安全設(shè)置缺陷進(jìn)行檢查，并提供相應(yīng)的補(bǔ)丁下載和安全設(shè)置缺陷自動(dòng)修補(bǔ)的工具，為用戶提供系統(tǒng)漏洞掃描，病毒查殺，未知病毒檢測等功能，從而保障用戶信息安全的防御體系。二、WEB安全概述2.1 WEB安全定義WEB作為建立在Internet基礎(chǔ)上的應(yīng)用，WEB安全的定義不可避免地與網(wǎng)絡(luò)安全和信息安全概念相重疊，其內(nèi)涵和外延可看作網(wǎng)絡(luò)安全和信息安全的一個(gè)子集。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。1國家信息安全重點(diǎn)實(shí)驗(yàn)室對(duì)信息安全給出的定義是：“信息安全涉及到信息的機(jī)密性、完整性、可用性、可控性。綜合起來說，就是要保障電子信息的有效性。”據(jù)此我們給WEB安全做出如下定義：WEB安全是指信息在網(wǎng)絡(luò)傳輸過程中不丟失、不被篡改和只被授權(quán)用戶使用，包括系統(tǒng)安全、程序安全、數(shù)據(jù)安全和通信安全。2.2 WEB的安全威脅來自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣，依照WEB訪問的結(jié)構(gòu)，可將其分類為對(duì)WEB服務(wù)器的安全威脅、對(duì)WEB客戶機(jī)的安全威脅和對(duì)通信信道的安全威脅三類。2.2.1 對(duì)WEB服務(wù)器的安全威脅對(duì)于WEB服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫服務(wù)器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。WEB服務(wù)器上的漏洞可以從以下幾方面考慮：在WEB服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)（如存放用戶名、口令的文件）放置在不安全區(qū)域，被入侵后很容易得到。在WEB數(shù)據(jù)庫中，保存的有價(jià)值信息（如商業(yè)機(jī)密數(shù)據(jù)、用戶信息等），如果數(shù)據(jù)庫安全配置不當(dāng)，很容易泄密。 WEB服務(wù)器本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。程序員的有意或無意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。用CGI腳本編寫的程序中的自身漏洞。2.2.2對(duì)WEB客戶機(jī)的安全威脅現(xiàn)在網(wǎng)頁中的活動(dòng)內(nèi)容已被廣泛應(yīng)用，活動(dòng)內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁中嵌入的對(duì)用戶透明的程序，它可以完成一些動(dòng)作，顯示動(dòng)態(tài)圖像、下載和播放音樂、視頻等。當(dāng)用戶使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁時(shí)，這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶機(jī)上運(yùn)行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機(jī)上的信息。主要用到Java Applet和ActiveX技術(shù)。Java Applet使用Java語言開發(fā)，隨頁面下載，Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制Java Applet的活動(dòng)，它不會(huì)訪問系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實(shí)上Java Applet存在安全漏洞，可能被利用進(jìn)行破壞。ActiveX是微軟的一個(gè)控件技術(shù)，它封裝由網(wǎng)頁設(shè)計(jì)者放在網(wǎng)頁中來執(zhí)行特定的任務(wù)的程序，可以由微軟支持的多種語言開發(fā)但只能運(yùn)行在Windows平臺(tái)。ActiveX在安全性上不如Java Applet，一旦下載，能像其他程序一樣執(zhí)行，訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險(xiǎn)的。Cookie是Netscape公司開發(fā)的，用來改善HTTP的無狀態(tài)性。無狀態(tài)的表現(xiàn)使得制造像購物車這樣要在一定時(shí)間內(nèi)記住用戶動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息，在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端，以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給WEB服務(wù)器，服務(wù)器用這個(gè)Cookie來記憶用戶和維護(hù)一個(gè)跨多個(gè)頁面的過程影像。Cookie不能用來竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息，它們只能在某種程度上存儲(chǔ)用戶的信息，如計(jì)算機(jī)名字、IP地址、瀏覽器名稱和訪問的網(wǎng)頁的URL等。所以，Cookie是相對(duì)安全的。2.2.3對(duì)通信信道的安全威脅Internet是連接Web客戶機(jī)和服務(wù)器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對(duì)信道進(jìn)行偵聽，竊取機(jī)密信息，存在著對(duì)保密性的安全威脅。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對(duì)信息完整性的安全威脅。此外，還有像利用拒絕服務(wù)攻擊，向網(wǎng)站服務(wù)器發(fā)送大量請求造成主機(jī)無法及時(shí)響應(yīng)而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道，使網(wǎng)絡(luò)的速度便緩慢。2.3 WEB的安全防護(hù)對(duì)策2.3.1物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個(gè)主要問題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。2.3.2 訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制和防火墻控制。2.3.3 信息加密策略信息加密的目的是保護(hù)Web服務(wù)的數(shù)據(jù)、文件、密碼和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。2.3.4 安全管理策略在網(wǎng)絡(luò)安全中，除了采用上述技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。三、WEB服務(wù)器安全防護(hù)策略的應(yīng)用這里以目前應(yīng)用較多的Windows2000平臺(tái)和IIS的Web服務(wù)器為例簡述Web服務(wù)器端安全防護(hù)的策略應(yīng)用。3.1系統(tǒng)安裝的安全策略安裝Windows2000系統(tǒng)時(shí)不要安裝多余的服務(wù)和多余的協(xié)議，因?yàn)橛械姆?wù)存在有漏洞，多余的協(xié)議會(huì)占用資源。安裝Windows2000后一定要及時(shí)安裝補(bǔ)丁程序（W2KSP4_CN.exe），立刻安裝防病毒軟件。3.2系統(tǒng)安全策略的配置通過“本地安全策略”限制匿名訪問本機(jī)用戶、限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問等。通過“組策略”限制遠(yuǎn)程用戶對(duì)Netmeeting的桌面共享、限制用戶執(zhí)行Windows安裝任務(wù)等安全策略配置。3.3 IIS安全策略的應(yīng)用在配置Internet信息服務(wù)（IIS）時(shí)，不要使用默認(rèn)的Web站點(diǎn)，刪除默認(rèn)的虛擬目錄映射；建立新站點(diǎn)，并對(duì)主目錄權(quán)限進(jìn)行設(shè)置。一般情況下設(shè)置成站點(diǎn)管理員和Administrator兩個(gè)用戶可完全控制，其他用戶可以讀取文件。3.4審核日志策略的配置當(dāng)Windows 2000出現(xiàn)問題的時(shí)候，通過對(duì)系統(tǒng)日志的分析，可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況，作為判斷故障原因的根據(jù)。一般情況下需要對(duì)常用的用戶登錄日志，HTTP和FTP日志進(jìn)行配置。3.4.1設(shè)置登錄審核日志審核事件分為成功事件和失敗事件。成功事件表示一個(gè)用戶成功地獲得了訪問某種資源的權(quán)限，而失敗事件則表明用戶的嘗試失敗。3.4.2設(shè)置HTTP審核日志通過“Internet服務(wù)管理器”選擇Web站點(diǎn)的屬性，進(jìn)行設(shè)置日志的屬性，可根據(jù)需要修改日志的存放位置。3.4.3設(shè)置FTP審核日志設(shè)置方法同HTTP的設(shè)置基本一樣。選擇FTP站點(diǎn)，對(duì)其日志屬性進(jìn)行設(shè)置，然后修改日志的存放位置。3.5網(wǎng)頁發(fā)布和下載的安全策略因?yàn)閃eb服務(wù)器上的網(wǎng)頁，需要頻繁進(jìn)行修改。因此，要制定完善的維護(hù)策略，才能保證Web服務(wù)器的安全。有些管理員為方便起見，采用共享目錄的方法進(jìn)行網(wǎng)頁的下載和發(fā)布，但共享目錄方法很不安全。因此，在Web服務(wù)器上要取消所有的共享目錄。網(wǎng)頁的更新采用FTP方法進(jìn)行，選擇對(duì)該FTP站點(diǎn)的訪問權(quán)限有“讀取、寫入”權(quán)限。對(duì)FTP站點(diǎn)屬性的“目錄安全性”在“拒絕訪問”對(duì)話框中輸入管理維護(hù)工作站的IP地址，限定只有指定的計(jì)算機(jī)可以訪問該FTP站點(diǎn)，并只能對(duì)站點(diǎn)目錄進(jìn)行讀寫操作。四、我的研究內(nèi)容主要從三個(gè)模塊來設(shè)計(jì)與實(shí)現(xiàn)WEB安全掃描，模塊分解下圖所示： WEB服務(wù)器安全掃描WEB服務(wù)器本身漏洞WEB服務(wù)器端運(yùn)行的腳本風(fēng)險(xiǎn)WEB服務(wù)器危險(xiǎn)和錯(cuò)誤配置本分布式網(wǎng)絡(luò)安全評(píng)估系統(tǒng)主要涉及到操作系統(tǒng)掃描、系統(tǒng)文件掃描、瀏覽器掃描、進(jìn)程掃描、WEB服務(wù)器安全掃描、Windows服務(wù)的掃描、注冊表的掃描、共享文件的掃描、驅(qū)動(dòng)的掃描、應(yīng)用程序的掃描及其其他漏洞掃描，共11個(gè)模塊。我所研究的內(nèi)容是該系統(tǒng)中的一部分，及WEB服務(wù)器安全掃描，主要從以上三個(gè)模塊來研究和實(shí)現(xiàn)WEB服務(wù)器安全掃描，通過掃描系統(tǒng)的實(shí)現(xiàn)來加強(qiáng)WEB服務(wù)器的完全。五、總結(jié)隨著WEB的迅速普及，安全已不容忽視。從普通的瀏覽器到WEB服務(wù)器，安全問題都一直貫穿著。正確看待WEB的安全問題，對(duì)自身有著很重要的作用。現(xiàn)在是一個(gè)互聯(lián)網(wǎng)的時(shí)代，很多的事情都是通過網(wǎng)絡(luò)來處理的，沒有一個(gè)安全的保證是有很大風(fēng)險(xiǎn)的。本文闡述了國內(nèi)外對(duì)WEB安全的研究現(xiàn)狀和掃描系統(tǒng)的研究現(xiàn)狀，從WEB安全的定義入手論述到WEB所面臨的威脅，針對(duì)WEB所面臨的威脅給出了相應(yīng)的安全防護(hù)措施，并著重介紹了WEB服務(wù)器端的安全防護(hù)措施，采取有效的防護(hù)措施來增強(qiáng)服務(wù)器的安全性。六、參考文獻(xiàn)1 張國祥.基于Apache的Web安全技術(shù)的應(yīng)用研究J.武漢理工大學(xué)學(xué)報(bào)，2004，(3).2 單歐.SSL在web安全中的應(yīng)用J.信息網(wǎng)絡(luò)安全，2004，（6）.3 孔凡飛.基于WS Security的電子商務(wù)Web服務(wù)安全的概要設(shè)計(jì)D杭州:浙江大學(xué),20030201：25