服务器端(Web服务器) :在服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。
客户端(Web浏览器):客户端通常称为Web浏览器,用于向服务器发送资源请求,并将接收到的信息解码显示。
通讯协议(HTTP协议) :HTTP(HyperText Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,上的传输方式。
Web的初始目的是提供快捷服务和直接访问,所以早期的Web没有考虑安全性问题。随着Web广泛应用,,与Web 安全有关的网页恶意代码和网站篡改事件占据了所有事件的大部,Web安全面临严重问题。
Web服务器安全是指系统持续不断地稳定地、可靠地运行,保证Web服务器提供可靠的服务;未经授权不得访问服务器,保证服务器不被非法访问;系统文件未经授权不得访问,从而避免引起系统混乱。Web服务器的数据安全是指存储在服务器里的数据和配置信息未经授权不能窃取、篡改和删除;只允许授权用户访问Web发布的信息。
保护web服务器和用户之间传递信息的安全主要包括三个方面的内容:第一,必须确保用户提供给Web服务器的信息(用户名、密码、财务信息、访问的网页名等)不被第三方所窃听、篡改和破坏;第二,对从Web服务器端发送给用户的信息要加以同样的保护;第三,用户和服务器之间的链路也要进行保护,使得攻击者不能轻易地破坏该链路。
保护终端用户计算机的安全是指保证用户使用的Web浏览器和安全计算平台上的软件不会被病毒感染或被恶意程序破坏;以及确保用户的隐私和私人信息不会遭到破坏。设备的安全主要是保护诸如路由器、交换机的正常运行,免遭破坏;同时保证不被黑客安装监控以及后门程序。
Web 防护可通过多种手段实现,这主要包括:安全配置web服务器、网页防篡改技术、反向代理技术、蜜罐技术等。
充分利用Web服务器本身拥有的如主目录权限设定、用户访问控制、IP地址许可等安全机制,进行合理的有效的配置,确保Web服务的访问安全。
将网页监控与恢复结合在一起,通过对网站的页面进行实时监控,主动发现网页页面内容是否被非法改动,一旦发现被非法篡改,可立即恢复被篡改的网页。
当外网用户访问网站时,采用代理与缓存技术,使得访问的是反向代理系统,无法直接访问Web服务器系统,因此也无法对Web服务器实施攻击。反向代理系统会分析用户的请求,以确定是直接从本地缓存中提取结果,还是把请求转发到Web 服务器。由于代理服务器上不需要处理复杂的业务逻辑,代理服务器本身被入侵的机会几乎为零。
蜜罐系统通过模拟Web服务器的行为,可以判别访问是否对应用服务器及后台数据库系统有害,能有效地防范各种已知及未知的攻击行为。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。
身份认证作为电子商务、网络银行应用中最重要的安全技术,目前主要有三种形式:简单身份认证(帐号/口令)、强度身份认证(公钥/私钥)、基于生物特征的身份认证。
指通过某种途径,准许或者限制访问能力和范围的一种方法。通过访问控制,可以限制对关键资源和敏感数据的访问,防止非法用户的入侵和合法用户的误操作导致的破坏。
指的是在应用服务代码编写过程中引入安全编程的思想,使得编写的代码免受隐藏字段攻击、溢出攻击、参数篡改攻击的技术。
-Java在最初设计时便考虑了安全。如Java的安全沙盒模型( security sand box model) 可用于限制哪些安全敏感资源可被访问,以及如何被访问。
-SSL可内置于许多Web浏览器中,从而使能在Web浏览器和服务器之间的安全传输。在SSL 握手阶段,服务器端的证书可被发送
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
