WEB安全研究
金丽君
摘要:本文主要针对WEB安全问题越来越引起人们的重视这一现状,初步地介绍了国内外对WEB安全问题的研究现状,全面地介绍和分析了WEB服务和应用中存在的各种威胁,并探讨了WEB安全问题的防护对策,来提高计算机网络的安全性。
关键词:WEB安全、安全威胁、安全防护
AbstractThis article will focus WEB security has drawn increasing attention to this situation, the initial introduction to security issues at home and abroad on the WEB Research, a comprehensive description and analysis of the WEB services and applications that exist in a variety of threats, and to explore the WEB security protection measures.
一、引言
1.1研究背景及目的
随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险,网上信息的安全和保密是一个至关重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性,计算机网络的安全以及防范措施已迫在眉睫。网络安全评估技术是评价计算机网络安全的重要手段,现今在众多的安全技术中已经占据越来越重要的位置。通过风险评估,对系统进行细致而系统的分析,在系统分析的基础上对系统进行综合评价,最后通过评价结果来了解系统中潜在的危险和薄弱环节,并最终确定系统的安全状况,为以后的安全管理提供重要依据。
随着Internet的普及,人们对其依赖也越来越强,但是由于Internet的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很烦。WWW服务作为现今Internet上使用的最广泛的服务,Web站点被黑客入侵的事件屡有发生,Web安全问题已引起人们的极大重视。本课题是基于Web安全的这一现状,来对Web服务器安全进行研究,通过WEB安全扫描来减小网络漏洞对服务器造成的威胁。
1.2 WEB安全国内外研究现状
目前和相当一段时间内,国内外关于Web安全的研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。安全协议的制定方面,已经提出了大量实用的安全协议,具有代表性的有:电子商务协议SET,IPSec协议,SSL/TLS协议,简单网络管理协议SNMP, PGP协议,PEM协议,S-HTTP协议,S/MIME协议等。这些协议的安全性分析特别是电子商务协议,IPSec协议,TLS协议是当前协议研究中的热点。系统平台的安全方面主要研究安全操作系统、安全数据库等,以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置;还有就是针对黑客常用的攻击手段制定安全策略。网站程序的安全编程方面,主要研究规范化编程以及现有编程语言(ASP,ASP.NET,PHP,CGI,JSP等)的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面,目前在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等;在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。 Web服务器的安全控制方面,主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置,如Apache的
访问控制机制、安全模块,IIS的安全锁定等。
1.3 国内外对扫描系统的研究现状
1.3.1 国外研究现状
    在使用漏洞扫描技术来确保网络安全方面,国外的研究工作起步较早。历史
上的第一个扫描器War Dialer,实现了自动扫描功能,并且以统一的格式记录扫描结果。这是扫描技术上取得的极大的发展,推动了网络安全性能的发展。
1990年,美国国家标准局启动了针对当时的操作系统脆弱性问题进行研究的
Research In Secured Operating Systems项目在美国伊利诺伊大学发表了关于软件漏洞的调查报告年。
1992年,Chris Klaus编写了一个扫描工具ISS(Internet security scanner网络安全扫描器),它是在因特网上进行安全评估扫描最早的工具之一。
1993年,美国海军研究实验室收集了不同操作系统的安全缺陷,然后对每一缺陷按其来源、成因、发现时间和部分代码进行分类。
1995年,在Dan Farmer和Wietse Venema编写的SATAN(security administrator tool for analyzing networks基于网络的安全管理工具)扫描引擎的带动下,促进了安全扫描技术的发展,并推动一些安全检测产品的产生。
1996年,普渡大学COAST实验室的Taimur、Aslam、Ivan Krsul和Eugene
H.Spaford第一次高水平地定义了缺陷的范围,漏洞分类方法被第一次用于该实验室的漏洞库。开始时由一些个人收集漏洞,后来这项工作变成CERIAS(The
Center for Education and Research In Information Assurance and Security信息、保障和安全教育研究中心)的研究项目。
同时,一些国家纷纷建立安全组织和机构来关注网络安全的问题,特别是对
漏洞检测和评估方面:
CNCERT/CC是一个网络安全问题的主要研究中心,由美国国防部资助,目
的是在网络安全问题发生时,快速有效协调专家处理互联网社区的安全问题。
US.CERT将和NCSD一起工作,阻止和减轻网络攻击,并减少网络漏洞。该机
构成立的初衷是借助CNCERT/CC的能力加速美国对网络事件的响应。
Symantec是互联网安全技术的全球领导厂商,为企业、个人用户和服务供
应商提供广泛的内容和网络安全软件及硬件的解决方案。基于网络的漏洞和风险
评估开发的NetRecon是一个基于网络的漏洞和风险评估工具,用于发现、发
掘和报告网络安全漏洞。
Nessus是一种有多种功能的强大工具,是由法国巴黎Renaud Derasion和另外两个黑客编写的。Nessus是一种用来自动检测和发现已知安全问题的强大工具,它的设计用来帮助IT相关人员在黑客对这些漏洞进行利用前确定和解决这些己知安全问题的。Nessus是第一个在志愿的基础上由黑客开发的扫描程序。
1.3.2 国内研究现状
    国内在扫描技术方面起步较晚,是在国外扫描技术的基础上发展起来的,在
研究方面取得了一定的成果,但与国际水平相比,还存在着一定的差距,对漏洞
扫描技术的研究相对要缓慢一些,还有一个需要高速发展的阶段。
目前,从事漏洞检测与评估系统的组织机构主要是一些网络安全公司,有这
web服务器又被称为些公司开发并且使用广泛的有著名的奇虎360安全卫士,金山清理专家和瑞星系
统安全漏洞扫描系统。
1.3.2.1 360安全卫士是由奇虎公司推出的完全免费的安全类上网辅助工具软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,系统实时保护,修复系统漏洞等功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,为用户提供系统安全保护。
1.3.2.2 金山清理专家是有金山软件公司开发一款免费清理软件,它能扫描系统中的恶意软件、系统漏洞、病毒、可疑文件等情况,并在检测后根据系统情况提供系统漏洞补丁,IE修复等功能,从一定程度上修复操作系统和应用程序漏洞,降低了安全风险。
1.3.2.3瑞星系统安全漏洞扫描系统是由瑞星公司从杀毒软件中分离出来,对Windows系统存在的系统漏洞和安全设置缺陷进行检查,并提供相应的补丁下载和安全设置缺陷自动修补的工具,为用户提供系统漏洞扫描,病毒查杀,未知病毒检测等功能,从而保障用户信息安全的防御体系。
二、WEB安全概述