《系统平台与网络站点全解课件》由会员分享,可在线阅读,更多相关《系统平台与网络站点全解课件(63页珍藏版)》请在金锄头文库上搜索。
1、主讲:黎培兴主讲:黎培兴 博士博士 二零零二年十月二零零二年十月* * ( ( ( (中山大学数学与科学计算学院中山大学数学与科学计算学院中山大学数学与科学计算学院中山大学数学与科学计算学院) ) ) )计算机安全技术第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.110.1Windows NTWindows NT系统的安全性系统的安全性10.210.2UNIXUNIX系统的安全性系统的安全性10.310.3WebWeb站点的安全站点的安全10.410.4反黑客技术反黑客技术第36课 第10章第十章系统平台与网络站
2、点的安全第十章系统平台与网络站点的安全本章学习目标本章学习目标(1)了了解解保保证证Windows NT的的Registry的的安安全全性的三种办法。性的三种办法。(2)理理解解UNIX的的系系统统安安全全和和网网络络安安全全要要求求及及其其安全措施。安全措施。(3)熟熟悉悉Web站站点点的的主主要要安安全全问问题题、典典型型安安全全漏洞及其安全策略。漏洞及其安全策略。(4)掌掌握握黑黑客客的的攻攻击击步步骤骤、手手法法及及防防黑黑客客的的基基本技术和受到黑客攻击的处理对策。本技术和受到黑客攻击的处理对策。返回本章首页第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1Wind
3、ows NT系统的安全性系统的安全性Windows NT的的Registry的安全性的安全性NT服务器和工作站的安全漏洞及解决建议服务器和工作站的安全漏洞及解决建议NT与浏览器有关的安全漏洞及防范措施与浏览器有关的安全漏洞及防范措施基于基于Windows NT操作系统的安全技术操作系统的安全技术Windows操作系统的安全维护技术操作系统的安全维护技术返回本章首页第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Windows NT的的Registry的安全性的安全性1审核审核2对对Registry的不同部分设置不同的许可权的不同部分设置不同的许可权3保护保护Registry返回本节
4、第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全NT服务器和工作站的安全漏洞及解决建服务器和工作站的安全漏洞及解决建议议(1 1)安全漏洞)安全漏洞1 1安安全全账账户户管管理理数数据据库库由由:AdministratorAdministrator账账户户、AdministratorAdministrator组组中中的的所所有有成成员员、备备份份操操作作员员、服务器操作员,以及所有具有备份特权的人员。服务器操作员,以及所有具有备份特权的人员。(2 2)安全漏洞)安全漏洞2 2每次紧急修复盘(每次紧急修复盘(ERDERD:Emergency Repair Emergency Repa
5、ir DiskDisk)在更新时,整个在更新时,整个SAMSAM数据库被复制为数据库被复制为% %system%repairsam._system%repairsam._。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 3-4 3-4(3)安全漏洞)安全漏洞3SAM数据库和其他数据库和其他NT服务器文件可能被服务器文件可能被NT的的SMB读取。读取。(4)安全漏洞)安全漏洞4特洛伊木马和病毒,可能依靠缺省权利作特洛伊木马和病毒,可能依靠缺省权利作SAM的的备份,获取访问备份,获取访问SAM中的口令信息,或者通过访中的口令信息,或者通过访问紧急修复盘问紧急修复盘E
6、RD的更新盘。的更新盘。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 5-6 5-6(5)安全漏洞)安全漏洞5能够物理上访问能够物理上访问Windows NT计算机的任何人,计算机的任何人,都可能利用某些工具程序来获得都可能利用某些工具程序来获得Administrator级别的访问权。级别的访问权。(6)安全漏洞)安全漏洞6重新安装重新安装 Windows NT软件时,可以获得软件时,可以获得Administrator级别的访问权。级别的访问权。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 7-9 7-9(7)安全漏洞)安全漏洞7
7、Windows NT域中的缺省账户域中的缺省账户Guest。(8)安全漏洞安全漏洞8某些系统程序的不适当使用。某些系统程序的不适当使用。(9)安全漏洞安全漏洞9所有用户可能通过命令行方式,试图连接管理系所有用户可能通过命令行方式,试图连接管理系统的共享资源。统的共享资源。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 10-11 10-11(10)安全漏洞)安全漏洞10由于没有定义尝试注册的失败次数,导致可以被由于没有定义尝试注册的失败次数,导致可以被无限制地尝试连接系统管理的共享资源。无限制地尝试连接系统管理的共享资源。(11)安全漏洞)安全漏洞11如果系统里只
8、有一个如果系统里只有一个Administrator账户,当注账户,当注册失败的次数达到设置时,该账户也不可能被锁册失败的次数达到设置时,该账户也不可能被锁住。住。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 12-13 12-13(12)安全漏洞)安全漏洞12具有管理员特权的账户在达到注册失败次数时将具有管理员特权的账户在达到注册失败次数时将被锁住,然而,被锁住,然而,30分钟后自动解锁。分钟后自动解锁。(13)安全漏洞)安全漏洞13Windows NT缺省时,在注册对话框中显示最近缺省时,在注册对话框中显示最近一次注册的用户名。一次注册的用户名。第十章系统平台
9、与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 14-15 14-15(14)安全漏洞)安全漏洞14Windows NT和和Windows 95的客户可以在文的客户可以在文件中保存口令,以便快速验证。件中保存口令,以便快速验证。(15)安全漏洞)安全漏洞15Windows NT口令可能被非口令可能被非NT平台的口令所代平台的口令所代替。替。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 16-18 16-18(16)安全漏洞)安全漏洞16管理员有能力从非安全的工作站上进行远程登录。管理员有能力从非安全的工作站上进行远程登录。(17)安全漏洞)安全漏
10、洞17NT上的缺省上的缺省Registry权限设置有很多不适当之权限设置有很多不适当之处。处。(18)安全漏洞)安全漏洞18有可能远程访问有可能远程访问NT平台上的平台上的Registry。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 19-20 19-20(19)安全漏洞)安全漏洞19通过访问其他的并存操作系统,就有可能绕过通过访问其他的并存操作系统,就有可能绕过NTFS的安全设置。的安全设置。(20)安全漏洞)安全漏洞20文件句柄可能从内存中被读取到,然后用来访问文件句柄可能从内存中被读取到,然后用来访问文件,而无须授权。文件,而无须授权。第十章系统平台与
11、网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 21-22 21-22(21)安全漏洞)安全漏洞21缺省权限设置允许缺省权限设置允许“所有人所有人”对关键目录具有对关键目录具有“改变改变”级的访问权。级的访问权。(22)安全漏洞)安全漏洞22打印操作员组中的任何一个成员对打印驱动程序打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。具有系统级的访问权。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 23-24 23-24(23)安全漏洞)安全漏洞23通过通过FTP有可能进行无授权的文件访问。有可能进行无授权的文件访问。(24)安全漏洞)安
12、全漏洞24基于基于NT的文件访问权限对于非的文件访问权限对于非NT文件系统不可文件系统不可读。读。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 25-26 25-26(25)安全漏洞)安全漏洞25Windows NT文件安全权限的错误设置有可能带文件安全权限的错误设置有可能带来潜在的危险。来潜在的危险。(26)安全漏洞)安全漏洞26标准的标准的NTFS“读读”权限意味着同时具有权限意味着同时具有“读读”和和“执行执行”的权限。的权限。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 27-28 27-28(27)安全漏洞)安全漏洞27
13、 Windows NT总是不正确地执行总是不正确地执行“删除删除”权限。权限。(28)安全漏洞)安全漏洞28 缺省组的权利和能力不能被删除。缺省组的权利和能力不能被删除。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 29-30 29-30(29)安全漏洞)安全漏洞29NT的进程定期处理机制有的进程定期处理机制有Bug。 (30)安全漏洞)安全漏洞30如果一个帐户被设置成同时具有如果一个帐户被设置成同时具有Guest组和另一组和另一组的成员资格,那么组的成员资格,那么Guest组的成员资格可能会组的成员资格可能会失效,导致用户失效,导致用户Profiles和其他设
14、置受到意想不和其他设置受到意想不到的损失。到的损失。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 31-33 31-33(31)安全漏洞)安全漏洞31“所有人所有人”的缺省权利是,可以创建公共的缺省权利是,可以创建公共GUI组,不受组,不受最大数目的限制。最大数目的限制。(32)安全漏洞)安全漏洞32事件管理器中事件管理器中Security Log的设置,允许记录被覆写,的设置,允许记录被覆写,否则它将导致服务器挂起。否则它将导致服务器挂起。(33)安全漏洞)安全漏洞33审计文件是不完全的。审计文件是不完全的。第十章系统平台与网络站点的安全第十章系统平台与网络站
15、点的安全安全漏洞安全漏洞 34-35 34-35(34)安全漏洞)安全漏洞34Security Log不是全部集成的。不是全部集成的。(35)安全漏洞)安全漏洞35屏幕保护有屏幕保护有Bug,它允许非授权用户访问闲置终它允许非授权用户访问闲置终端。端。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 36-37 36-37(36)安全漏洞)安全漏洞36任何用户可以通过命令行方式,远程查询任何一任何用户可以通过命令行方式,远程查询任何一台台NT服务器上的已注册的用户名。服务器上的已注册的用户名。(37)安全漏洞)安全漏洞37使用使用SATAN扫描可使扫描可使Windo
16、ws NT平台崩溃。平台崩溃。另外,使用另外,使用SafeSuite的的Internet Scanner同同样可使样可使NT平台崩溃。平台崩溃。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 38-39 38-39(38)安全漏洞)安全漏洞38Red Button程序允许任何人远程访问程序允许任何人远程访问NT服务器。服务器。(39)安全漏洞)安全漏洞39用用Ping命令可导致一台命令可导致一台NT计算机死机。计算机死机。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞 40-41 40-41(40)安全漏洞)安全漏洞40NT计算机允许
17、在安装时输入空白口令。计算机允许在安装时输入空白口令。 (41)安全漏洞)安全漏洞41作为一个作为一个TCP连接的一部分,向连接的一部分,向Windows NT计计算机发送算机发送out-of-band数据,可使服务拒绝访问数据,可使服务拒绝访问的攻击成为可能。的攻击成为可能。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全NT与浏览器有关的安全漏洞及防范措施与浏览器有关的安全漏洞及防范措施(1)安全漏洞)安全漏洞1Internet Explorer在指定的情况下,随意地向在指定的情况下,随意地向Internet上发送用户的名字和口令。上发送用户的名字和口令。 (2)安全漏洞)安
18、全漏洞2NT和和Windows 95计算机上的所有浏览器,都计算机上的所有浏览器,都有一个相似的弱点,对于一个有一个相似的弱点,对于一个HTML页上的超级页上的超级链接,浏览器都首先假设该链接是指向本地计算链接,浏览器都首先假设该链接是指向本地计算机上的一个文件。机上的一个文件。 第37课 第10.1.3章第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞3-4(3)安全漏洞)安全漏洞3ASP数据流的弱点,它主要影响数据流的弱点,它主要影响IIS。(4)安全漏洞)安全漏洞4IE读出本地文件,它主要影响读出本地文件,它主要影响IE 4.0,4.01;SP1,Window
19、s 98等系统。等系统。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全安全漏洞安全漏洞5-7(5)安全漏洞)安全漏洞5IIS的的FTP拒绝服务,它主要影响如下系统拒绝服务,它主要影响如下系统IIS 2.0,3.0,4.0。(6)安全漏洞)安全漏洞6IIS中的可执行目录,它主要影响中的可执行目录,它主要影响IIS 4.0。(7)安全漏洞)安全漏洞7RPC受到受到Snork拒绝服务攻击。拒绝服务攻击。返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全 基于基于Windows NT操作系统的安全技术(操作系统的安全技术(1)1登录安全登录安全(1)登登录录过过程程:
20、同同时时按按下下CtrlAltDel键键的的欢欢迎迎窗窗口口开开始始。寻寻问问用用户户名名、口口令令及及用用户户希希望望存存取取的的服服务务器器或或域域名名。输输入入传传递递给给安安全全帐帐号号管管理理器器安全子系统就创建一个访问令牌。安全子系统就创建一个访问令牌。(2)设设置置登登录录安安全全:设设置置工工作作站站登登录录限限制制、)设设置置时时间间登登录录限限制制、设设置置帐帐号号失失效效日日期期、设设置置用用户登录失败次数。户登录失败次数。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全基于基于Windows NT操作系统的安全技术(操作系统的安全技术(2)2存取控制存取控
21、制存取控制项提供了一个用户或一组用户在对象的存取控制项提供了一个用户或一组用户在对象的访问或审计许可权方面的信息。存取控制列表与访问或审计许可权方面的信息。存取控制列表与文件系统一起保护着对象,使它们免受非法访问文件系统一起保护着对象,使它们免受非法访问的侵害。共有三种不同类型的存取控制项:系统的侵害。共有三种不同类型的存取控制项:系统审计、允许访问、禁止访问。审计、允许访问、禁止访问。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全基于基于Windows NT操作系统的安全技术(操作系统的安全技术(3)3存取控制存取控制1)从网络上访问某台计算机。)从网络上访问某台计算机。 2)
22、备份系统启动时必须)备份系统启动时必须登录的某些服务程序帐号。登录的某些服务程序帐号。4许可权许可权(1)NTFS文件系统目录的许可权文件系统目录的许可权(2)与打印机相关的许可权)与打印机相关的许可权5所有权所有权创建对象的用户就不能把自己的对象显示为别的用户可创建对象的用户就不能把自己的对象显示为别的用户可用,他们必须对自己创建的对象负责。用,他们必须对自己创建的对象负责。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全访问许可权访问许可权6访问许可权访问许可权在共享一个对象时设置对它的访问许可权,可以在共享一个对象时设置对它的访问许可权,可以随时修改这些许可权。随时修改这些许
23、可权。 7共享许可权共享许可权提供一组规则,来控制用户对文件和目录的访问。提供一组规则,来控制用户对文件和目录的访问。共享许可权为网络共享资源提供了另外一层的安共享许可权为网络共享资源提供了另外一层的安全性保护。访问共享资源的过程如图全性保护。访问共享资源的过程如图10.1所示。所示。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全图图10.1访问共享资源的过程访问共享资源的过程访问共享资源的过程访问共享资源的过程第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全审计审计8审计审计审计系统可以确保系统的遵循性。可以揭露并跟审计系统可以确保系统的遵循性。可以揭露并跟踪企图对
24、系统进行破坏的行为。审计按照机构的踪企图对系统进行破坏的行为。审计按照机构的安全策略和实施安全标准的适应性平台来对系统安全策略和实施安全标准的适应性平台来对系统进行评估。进行评估。返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Windows操作系统的安全维护技术操作系统的安全维护技术1备份系统初始化文件备份系统初始化文件2备份程序组文件备份程序组文件3给给Win.ini和和System.ini注释注释4删除带扩展名的删除带扩展名的.pwl文件文件5避免设置好的配置被别人修改避免设置好的配置被别人修改6隐藏共享目录隐藏共享目录7避免未经授权的访问避免未经授权的访问返回本节第
25、十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.2UNIX系统的安全性系统的安全性返回本章首页UNIX系统安全系统安全10.2.2 UNIX网络安全网络安全第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全UNIX系统安全(系统安全(1)1口令安全口令安全2文件许可权文件许可权3目录许可目录许可4umask命令命令5设置用户设置用户ID和同组用户和同组用户ID许可许可6cp、mv、ln和和cpio命令命令第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全UNIX系统安全(系统安全(2) 7su和和newgrp命令命令 8文件加密文件加密 9其他安全问题其他安
26、全问题10. 确保户头安全的要点确保户头安全的要点返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.2.2 UNIX网络安全网络安全1UUCP系统概述系统概述2UUCP的安全问题的安全问题3HONEYDANBER UUCP的新特性的新特性第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全1UUCP系统概述(系统概述(1)(1)UUCP命命令令:该该命命令令用用于于两两系系统统间间的的文文件件传传输输 。命令的一般格式如下:命令的一般格式如下:uucp source_file destination_file(2)uux命命令令:uux最最通通常常的的用用处处是
27、是在在系系统统之之间间发送邮件发送邮件。典型的典型的uux请求如下:请求如下:pr listing| uux - remote1!lp -d prl第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全UUCP系统概述(系统概述(2)(3)uucico程序:程序:uucico完成数据的发送和接完成数据的发送和接收。收。 (4)uuxqt程序:程序:执行远程命令请求。执行远程命令请求。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全(1)USERFILE 文文件件: uucico用用文文件件/usr/lib/uucp/USERFILE确确定定远远程程系系统统发发送或接收什么文
28、件,其格式为:送或接收什么文件,其格式为:login,sysc path_namepath_name ( 2) L.cmds文文 件件 : uuxqt利利 用用/usr/lib/uucp/L.cmds文文件件确确定定要要执执行行的的远远程程执执行行请请求求命命令令。该该文文件件的的格格式式是是每每行行一条命令。一条命令。2UUCP的安全问题(的安全问题(1)第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全UUCP的安全问题(的安全问题(2)(3)uucp登录:登录:UUCP系统需要两个登录户头,系统需要两个登录户头,一个是其他系统登录的户头,另一个是系统管理一个是其他系统登录的户头
29、,另一个是系统管理使用的户头。使用的户头。 (4)uucp使用的文件和目录:使用的文件和目录:uucp用用/usr/spool/uucp目录存放工作文件。目录存放工作文件。 第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全3HONEYDANBER UUCP 的新特性(的新特性(1)(1)HONEYDANBER UUCP较较之之老老UUCP的的改进:改进:1)支持更多的拨号和网络。)支持更多的拨号和网络。2)重重新新组组织织了了/usr/spool/uucp目目录录,在在该该目目录录下,对每个远程系统有一个目录。下,对每个远程系统有一个目录。3)加强了安全。)加强了安全。 第十章系统
30、平台与网络站点的安全第十章系统平台与网络站点的安全HONEYDANBER UUCP 的新特性(的新特性(2)(2)HONEYDANBER UUCP与老与老UUCP的差的差别:别: HONEYDANBER UUCP中的中的/usr/lib/uucp/Systems文件是原来文件是原来UUCP中的中的/usr/lib/uucp/L.sys。HONEYDANBER UUCP中,中,/usr/spool/uucp/.log 下的一个子下的一个子目录代替了老目录代替了老UUCP的文件的文件/usr/spool/uucp/logFILE。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全HONE
31、YDANBER UUCP 的新特性(的新特性(3)(3)登录名规则:)登录名规则:LOGNAME规则用于控制作为登录规则用于控制作为登录shell启动的启动的uucico。 LOGNAMEnuucp指定对所有登录到指定对所有登录到nuucp户头下的系统加缺省限户头下的系统加缺省限制制。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全HONEYDANBER UUCP 的新特性(的新特性(4)(4)MACHINE规则规则MACHINE规则用于忽略缺省限制,规则用于忽略缺省限制,MYNAME选项所定义的必须与选项所定义的必须与LOGNAME规则联用,指定规则联用,指定将赋给调用系统的名,
32、该名仅当调用所定义的系将赋给调用系统的名,该名仅当调用所定义的系统时才用。统时才用。MACHINE规则的格式如下:规则的格式如下:MACHINE=zuul:gozur:enigma WRITE=/READ=/第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全HONEYDANBER UUCP 的新特性(的新特性(5)(5)组合)组合MACHINE和和LOGNAME规则:规则:确保确保一组系统的统一安全,而不管远程系统调用局域一组系统的统一安全,而不管远程系统调用局域系统还是局域系统调用用远程系统。系统还是局域系统调用用远程系统。(6)uucheck命令:命令:一旦建立了一旦建立了Per
33、missions文件,可用文件,可用uucheck -v 命令了解命令了解uucp如何解如何解释该文件。输出的前几行是确认释该文件。输出的前几行是确认HONEYDANBER UUCP使用的所有文件、目录、使用的所有文件、目录、命令都存在,然后是对命令都存在,然后是对Permissions文件的检查。文件的检查。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全网关网关(7)网关()网关(Gateway)gateway是是一一个个只只转转送送邮邮件件给给其其他他系系统统的的系系统统。有有了了gateway,可可使使许许多多用用UNIX系系统统的的部部门门或或公公司司对对其其所所有有用用
34、户户只只设设一一个个电电子子邮邮件件地地址址。所所有有发来的邮件都通过发来的邮件都通过gateway转送到相应的计算机。转送到相应的计算机。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全登录文件检查登录文件检查(8)登录文件检查)登录文件检查HONEYDANBER UUCP自动地将登录信息邮给自动地将登录信息邮给uucp.login文件,应当定期地读这个文件。还要检查不文件,应当定期地读这个文件。还要检查不允许做的远程命令执行请求。登录信息都保存在在文件允许做的远程命令执行请求。登录信息都保存在在文件中,如果要查看,可用中,如果要查看,可用grep命令查看。下面一行命令将命令查看
35、。下面一行命令将打印出打印出uuxqt执行的所有命令(执行的所有命令(rmail除外):除外):grep -v rmail /usr/spool/uucp/.Log/uuxqt/*返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.3Web站点的安全站点的安全Web站点安全概述站点安全概述Web站点的安全策略站点的安全策略返回本章首页第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Web站点安全概述(站点安全概述(1)1Web站点的五种主要安全问题站点的五种主要安全问题1)未经授权的存取动作。)未经授权的存取动作。2)窃取系统的信息。)窃取系统的信息。3)破坏
36、系统。)破坏系统。4)非法使用。)非法使用。5)病毒破坏。)病毒破坏。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Web站点安全概述(站点安全概述(2)2Web站点的典型安全漏洞站点的典型安全漏洞(1)操作系统类安全漏洞)操作系统类安全漏洞(2)网络系统的安全漏洞)网络系统的安全漏洞(3)应用系统的安全漏洞)应用系统的安全漏洞(4)网络安全防护系统不健全)网络安全防护系统不健全(5)其他安全漏洞)其他安全漏洞返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Web站点的安全策略(站点的安全策略(1)1安全策略制定原则安全策略制定原则(1)基基本本原原则则:每每
37、个个Web站站点点都都应应有有一一个个安安全全策策略略,这这些些策策略略因因需需而而异异。根根据据威威胁胁程程度度的的大大小小评评价分析,以作为设计网络安全系统的基本依据。价分析,以作为设计网络安全系统的基本依据。(2)服服务务器器记记录录原原则则:大大多多数数Web服服务务器器会会记记录录IP地地址址、用用户户名名、URL要要求求等等信信息息,使使用用户户受受控控于服务器。于服务器。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Web站点的安全策略(站点的安全策略(2)2配置配置Web服务器的安全特性服务器的安全特性(1)用户与站点建立联接的过程)用户与站点建立联接的过程(2)
38、加强)加强Web服务器安全的措施服务器安全的措施第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全Web站点的安全策略(站点的安全策略(3)3排除站点中的安全漏洞排除站点中的安全漏洞 1)物理的漏洞由未授权人员访问引起,由于他)物理的漏洞由未授权人员访问引起,由于他们能浏览那些不被允许的地方。们能浏览那些不被允许的地方。 2)软件漏洞是由)软件漏洞是由“错误授权错误授权”的应用程序引起,的应用程序引起,它会执行不应执行的功能。它会执行不应执行的功能。 3)不兼容问题漏洞是由不良系统集成引起。)不兼容问题漏洞是由不良系统集成引起。 第十章系统平台与网络站点的安全第十章系统平台与网络站点
39、的安全4监视控制监视控制Web站点出入情况站点出入情况(1)监控请求)监控请求(2)测算命中次数)测算命中次数(3)传输更新)传输更新返回本节监视控制监视控制Web站点出入情况站点出入情况第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.4反黑客技术反黑客技术黑客的攻击步骤黑客的攻击步骤黑客的手法黑客的手法防黑客技术防黑客技术黑客攻击的处理对策黑客攻击的处理对策返回本章首页第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全黑客的攻击步骤黑客的攻击步骤1 1信息收集信息收集2 2探测系统的安全弱点探测系统的安全弱点3 3实施攻击实施攻击返回本节第十章系统平台与网络站点的
40、安全第十章系统平台与网络站点的安全黑客的手法黑客的手法1 1口令的猜测或获取口令的猜测或获取2 2IPIP欺骗与窥探欺骗与窥探3 3扫描扫描第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全图图10.2攻击服务器截断正常的连接攻击服务器截断正常的连接返回本节攻击服务器截断正常的连接攻击服务器截断正常的连接第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全防黑客技术防黑客技术1防字典攻击和口令保护防字典攻击和口令保护2预防窥探预防窥探3防止防止IP欺骗欺骗4建立完善的访问控制策略建立完善的访问控制策略5信息加密信息加密6其他安全防护措施其他安全防护措施返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全黑客攻击的处理对策黑客攻击的处理对策1发现黑客发现黑客2处理原则处理原则3发现黑客后的处理对策发现黑客后的处理对策返回本节第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全本章到此结束本章到此结束. 返回本章首页结束放映
