什么是web安全?是网络安全么?

是注会小姐姐啊喂 2024-11-29 07:58:03
最佳回答
网站§1、网站安全概述一、 常见的网站提供的服务:dns serverweb server,e-mail server,ftp server,此外网站还需要有个务器(最好不要把网站的操作系统服务器与上述的server 放在一起)(不一定全对互联网开放)1、 这些常见的服务属于tcp/ip协议栈,如果低层安全性被攻击了,则高层安全成了空中楼阁。所以要进行安全分析(安全只是个动态的状态)2、 tcp/ip协议栈各层常见的攻击(回忆tcp/ip各层结构图)(1)物理层:数据通过线传输是特点 威胁:**网线,sniffer软件进行抓包,拓朴结构被电磁扫描攻破 保护:加密,流量填充等(2)internet层:提供寻址功能是其特点-----路由,ip,icmp,arp,rarp威胁:ip欺骗(工具完成将数据包源地址ip改变) 保护:补丁、防火墙、边界路由器设定(3)传输层:控制主机间的信息流量-----tcp,udp威胁:dos(图),ddos,会话**等 保护:补丁、防火墙、开启操作系统抗ddos攻击特性(4)应用层:协议最多最难防①smtp协议:威胁:邮件风暴(黑客给邮件服务器不断发木马或病毒),企业用户内网与外网采用同样的邮箱名,邮件的中继与转发(图) 保护:防病毒**,邮件服务器软件及时打补丁②ftp协议:威胁:匿名用户如果具有写权限,会上传非法服务给ftp server; 用户名、口令在ftp客户端与服务器端之间是明文传输 保护:ftp数据存放于独立分区,不允许匿名的ftp连接,上传与下载位于不同的ntfs分区,ftp客户端与服务器端的通讯进行加密ssh③http协议:威胁:j**a script,cgi,asp,activex 保护:禁止这些不安全的控件,杀毒软件④telnet协议:威胁:明文传输敏感数据 保护:加密⑤snmp协议:威胁:public默认社区名,明文传输敏感信息 保护:将默认社区名改名,防火墙⑥dns协议:威胁:dns欺骗 保护:防火墙阻止,在dns zone中设定成只允许几个主机的zone传输3、 网站业务流(电子商务与普通企业网站业务流不同,重点是认证)、采用的拓朴、防火墙体系结构、操作系统等的不同,受到的威胁也不同二、 在网站业务流、采用的拓朴、防火墙体系结构、操作系统等体系结构确定的前提下,还存在的安全问题1、未授权存取(匿名用户具有写权限----i**写权限扫描工具+桂林老兵可以完成)2、窃取系统信息:帐号,银行3、破坏系统:破坏数据(删除数据)4、非法使用:利用ftp服务器存放非法软件5、病毒木马:不小心执行病毒、木马三、web站点典型安全漏洞1、操作系统类:通用安全漏洞,各操作系统特有的安全漏洞2、路由器等网络系统漏洞:如路由器、防火墙等的缺省配置及配置错误(一部分边界路由器有自动配置的功能,但这种自动配置功能必须手工开启)(见校园网拓朴结构图)3、应用系统安全漏洞:协议漏洞4、网络安全防护系统不健全:缺乏安全意识,缺少定期的安全检测、安全监控5、其它漏洞:易被欺骗,弱认证,对电邮队服附件病毒及web浏览可能存在的恶意j**a/activex小控件进行有效控制。正因为存在这些安全漏洞所以要制定安全策略。§2、web站点安全策略允许远程执行cgi脚本,脚本中的bug会成为保护操作系统的漏洞;但如果限制cgi限制得过头了,web使用起来不方便(安全是使用方便与安全配置之间的一个平衡点)一、 安全策略定制原则:1、风险分析:搞清站点属于低端安全、中端安全、还是高端安全?易受哪些威胁?(默认配置)?根据威胁进行安全评估(使用启明星辰的工具)2、服务器记录原则:web服务器会记录它们收到的每一次连接(如果web server采用认证的方式还会记录下用户名),该用户在此期间填写的表格会被记录下来,会对用户构成威胁。解决方案:web服务器管理者可以查阅用户资料,但无需打开(审计人员查管理员好些)二、 配置web server的安全特性1、用户与站点建立连接的过程中可能会造成因域名欺骗而使得用户得不到授权访问及要求的信息或者把黑客当作合法用户来允许其访问2、加强各服务器的措施①web server:主分区存放操作系统,web server放至另一分区;cgi脚本放至第三个ntfs分区;不以admin**trator身份运行web server(而以另一用户身份运行web server)其余见winnt站点解决方案②ftp server:与web server不同分区,允许只读访问,进行访问控制的设置(一般只对内网开放)③电子邮件服务器:安装网络级电子邮件扫描软件;禁掉中继任何未授权用户;设置垃圾邮件过滤及巨型邮件过滤条件三、 排除站点中的安全漏洞,尽量减少安全漏洞1、物理漏洞:未授权人员访问引起的2、软件漏洞:由软件应用程序的错误授权引起。首要规则----不轻易相信脚本、j**a applet3、不兼容问题4、缺乏安全策略四、 监视控制出入web站点的出入情况1、 webtrends:查访问次数最多的站点、最频繁的用户。它可以完成监控请求(如:sever访问次数,用户来自何处,服务器上哪类信息被访问、访问的浏览器类型、用户提交方式等);它可以测算命中次数(可以确定出站点的命中次数----一个用户详细地读站点时一次简单的会话可以形成几次命中;还可以通过站点上某个文件的访问次数来确定站点访问者的数目)2、 入侵检测系统:免费的snort3、 传输更新:web三元素----http协议,数据格式html,浏览器。三元素以html为中心,必须保持其更新 20210311
汇率兑换计算器

类似问答
  • 网络安全法的基本内容是什么
    • 2024-11-29 11:35:53
    • 提问者: 未知
    是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。...随着互联网的普及,不少网络安全事故也时有发生。...
  • 什么是网络安全?网络安全应包括几方面内容?
    • 2024-11-29 22:21:57
    • 提问者: 未知
    网络安全是指网2113络系统的硬件、软件及其系统中的5261数据受到4102保护,不受偶然的或者恶意的原1653因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全应包括:企业安全制度、数据安全、传输安全、服务器安全、防火墙安全(硬件或软件实现、背靠背、dmz等)、防...
  • **局负责 网络安全的部门叫什么?
    • 2024-11-29 18:24:56
    • 提问者: 未知
    根据公关机构设置定,不同级别的**局设下:  一、**部负责网络安全的部门为**机关公共信息网络安全监察部门,2010年后改为“网络安全保卫部门” 。  二、省级**机关为网监总队或者网监科;  三、地级**机关为支队或网监科;  四、县区级**机关应在其内部设置网监科或者网监大队。
  • 网络安全的安全比赛
    • 2024-11-29 02:14:05
    • 提问者: 未知
    一、国内主要网络安全竞赛:**g信息安全技能竞赛、信息安全铁人三项赛、xctf联赛、wctf**赛、腾讯信息安全争霸赛(tctf)、信息安全与对抗技术竞赛。...
  • 淘宝网怎么保证网络安全
    • 2024-11-29 12:49:38
    • 提问者: 未知
    淘宝整个核心技术都是比较安全的,因此在平时中只需对本地计算机注意安全行为,无序专门去考虑安全问题.
  • 中华人民共和国网络安全法中网络和网络安全所指含义是什么?
    • 2024-11-29 07:11:23
    • 提问者: 未知
    第五条 **采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,...
  • 网络安全这块主要是学的什么内容?
    • 2024-11-29 02:56:10
    • 提问者: 未知
    网络安全是一个很广的方向,现在市场上比较火的岗位有:安全运维、渗透测试、web安全、逆向、安全开发、代码审计、安服类岗位等。根据岗位不同工作上需要的技术也有部分差异。如果编程能力较好,建议可以从事web安全、逆向、代码审计、安全开发等岗位。如果对编程没兴趣,可以从事安全运维、...
  • 网络投资安全吗?
    • 2024-11-29 00:27:21
    • 提问者: 未知
    不安全,现在跑路的很多,而且一旦被骗,非常可能血本无归。
  • 网络安全宣传周活动主题是什么?
    • 2024-11-29 13:18:19
    • 提问者: 未知
    p><img src="http://img.coozhi.com/upload/image/201909/19170204-3457.jpg" /></p><p>2019年**网络安全宣传周是由中央宣传部、中央网信办、教育部、工业和信息化部...
  • 网络安全宣传周是什么活动?
    • 2024-11-29 01:29:46
    • 提问者: 未知
    我知道 我来回答你吧网络安全周是11月24日-30日,这是一个号召全民提高网络安全意识,共建网络安全,共享网络文明的活动他分别设置了“启动日”、“政务日”、“金融日”、“产业日”、“电信日”、“青少年日”、“法治日”等7个主题宣传日这个活动还有很多像腾讯、百度这样的大型企业也是会参与的,你对网络安全方面的知识缺乏的话可以关注一下
汇率兑换计算器

热门推荐
热门问答
最新问答
推荐问答
新手帮助
常见问题
房贷计算器-九子财经 | 备案号: 桂ICP备19010581号-1 商务联系 企鹅:2790-680461

特别声明:本网为公益网站,人人都可发布,所有内容为会员自行上传发布",本站不承担任何法律责任,如内容有该作者著作权或违规内容,请联系我们清空删除。