Internet 应用服务安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Internet 应用服务安全,一组：陈进飞,江启 张文灿 曾保 王思思 李文和,1,目录,Internet 应用服务概述,1.客户机/服务器模型2.应用服务的划分3.Internet的安全,Web 服务的安全,1.IIS-Web安全设置2.浏览器的安全性,FTP 服务的安全,电子邮件服务的安全,1.Email工作原理及安全漏洞,SQL Server 2000,安全,1.身份认证模式2.安全配置,2,Internet 应用服务概述,客户机/服务器模型,1.客户机/服务器模型,服务器：能在网络上提供服务的任何程序,客户机与服务器的交互中有两个重要的观点：（1）服务器在交互开始前已经运行，被动接受请求，客户机主动发出请求并等待响应,（2)服务器会使用一个保留端口响应服务，服务器方要使用固定的端口,3,Internet 应用服务概述,2.客户机特点,（1）客户机提供一个客户界面负责完成用户命令和数据的输入,（2）一个客户机/服务器可以包括多个客户机，但每个客户机都要有一致的用户界面,（3）客户机和服务器使用一种标准的语言或用该系统内特定的语言来传递信息,（4）客户机可以使用缓存或优化技术以减少到服务器的查询或执行安全和访问控制检查，还可以检查命令完整性,（5）客户机通过一个进程间通信机制和服务器完成通信，并把查询或命令传到服务器,（6）客户机对服务器送回的查询或命令结果数据进行分析处理，然后把它们提交给用户,4,Internet 应用服务概述,3.服务器的特点,（1）服务器向客户机提供一种服务，服务类型由客户机/服务器系统自己确定,（2）服务器只负责响应来自客户机的查询或命令,4.客户机/服务器模式特点,（1）桌面上的智能化,（2）最优化的共享服务器资源,（3）优化网络利用率,5,Internet 应用服务概述,应用服务的划分,1.文件服务 2.打印服务,3.Web服务 4.电子邮件服务,5.终端服务 6.路由和远程访问服务,7.虚拟专用网（VPN）服务 8.域名服务,9.动态主机配置协议服务 10.流媒体服务,11.FTP服务 12.新闻服务,13.代理服务 14.即时通信服务,15.网络办公服务,16.数字证书服务（PKI和CA）,6,Internet 应用服务概述,Internet的安全,1.安全隐患,（1）通过IP地址识别网络上的用户是完全不可靠的,（2）Internet本身没有中央管理机制,（3）Internet从技术上讲是开放的、标准的,（4）Internet没有审计和记录的功能,2.产生原因,（1）薄弱的认证环节,（2）系统的易被监视性,（3）网络系统易被欺骗性,（4）复杂的设备和控制,（5）通信协议存在安全问题,7,Web服务的安全,1.WWW服务又称Web服务，是建立在HTTP上全球信息库，是Internet上HTTP服务器的集合，是人们最常用的Internet服务,2.用户使用浏览器时，实际上是通过HTTP申请服务，也会去申请其他服务器，而这些服务器都存在漏洞，因此不安全,3.通过Web会引入外部文件和程序，他们一般对这些文件和程序的安全考虑的很少，因此会带来很多安全问题,8,Web服务的安全,1.IIS-Web安全设置,（1）IIS安全设置,1）避免安装在主域控制器上,2）避免安装在系统分区上,3）使用高度安全的密码，设置密码策略,4）端口安全性的体现,9,Web服务的安全,2.IIS-Web服务器的安全性,(1)登陆认证的安全(如图),1）匿名访问方式,2）基本验证方式,3）集成Windows验证方式,10,Web服务的安全,（2）设置用户审核,（3）设置WWW目录的访问权限,（4）IP地址的控制,（5）使用SSL,（6）其他安全措施,1）停用.bat和.cmd文件的映射功能,2）将脚本程序和数据存储在不同的目录,3）禁用Directory Browsing Allowed（允许目录浏览）,4）避免使用Remote Virtual Directories(远程虚拟目录）,5）牢记特权最小的原则,6）全面测试Web服务器的安全性,11,Web服务的安全,3.浏览器的安全性,（1）Cookie及安全设置,1.Cookie（Cookie是由Netscape开发并作为持续保存状态信息和其他信息的一种方式）从普通用户意义上讲，Cookies本身是安全的，而在网络上，Cookies内嵌于html信息中，在传递过程中，若用户注册信息未加密将会很危险。,2.拒绝Cookies的方法,1)通过删除相应文件内容来破坏Cookies，然后修改属性,2）通过IE浏览器总体提供的Cookies的【安全】选项卡,12,Web服务的安全,3）通过注册表禁止Cookies。可删除注册表中的如下条目：,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsCacheSpecial PathsCookies，然后重新启动机器，并删除WindowsCookies目录。,13,（2）ActiveX及安全设置,1.ActiveX（ActiveX是Microsoft公司提供的一款高级技术，它可以像一个应用程序一样在浏览器中显示各种复杂的应用，但正因为它的强大功能，它的危害性也就进一步加大了，用户在通过浏览器浏览一些带有恶意ActiveX控件时，这些控件可以在用户毫不知情的情况下执行Windows系统中的任何程序，带来安全风险,14,Web服务的安全,2.ActiveX的安全设置,（1）对标记为课安全执行的AcitveX控件执行脚本,（2）对没有标记为安全的ActiveX控件进行初始化和脚本化,（3）下载未签名的ActiveX控件,（4）下载已签名的ActiveX控件,（5）运行ActiveX控件和插件,15,Web服务的安全,（3）java语言及安全设置,1.Java语言的特性,Java可以最大限度的利用网络，虽然Java给用户提供了很大方便，但也给了黑客可乘之机，造成安全隐患,2.Java的安全设置,（1）打开IE浏览器，选择【工具】【Internet选项】命令,（2）在所打开的对话框中，选择【安全】选项卡,（3）单击选项卡上方列表中Internet图标，代表要设置整个IE的安全设置,（4）单击选项卡下方的【自定义级别】按钮，打开【安全设置】对话框,（5）移动对话框的垂直滑块，直到看到【Java权限】选项,16,FTP服务的安全,1.目录安全设置,2.用户验证控制,3.IP地址限制访问,4.其他安全措施,（1）一定要确保FTP用户无法进入目录以外的目录，同时要使用NTFS来保证服务器的安全,（2）避免使用远程虚拟目录,（3）一定要启动日志记录功能，即时发现可疑活动,（4）如果只计划运行FTP服务器，就只开放端口20和端口21,（5）全面测试FTP服务器，并设法找出所有漏洞,17,电子邮件服务的安全,1.E-mail工作原理及安全漏洞,一个邮件系统包含了邮件用户代理（Mail User Agent，MUA）、邮件传输代理（Mail Transfer Agent，MTA）两大部分,（1）本地邮件传递,（2）远程邮件传递,18,电子邮件服务的安全,2.安全风险,（1）E-mail的漏洞（E-mail服务器向全球开放，很容易受到黑客攻击）,（2）匿名转发,（3）E-mail诈骗,（4）垃圾邮件,19,电子邮件服务的安全,3.安全措施,（1）借助防火墙，预防黑客攻击,（2）对于重要的电子邮件可以加密传送，并进行数字签名,（3）在邮件客户端和服务器采用必要的措施防范和解除邮件炸弹以及邮件垃圾,（4）检查电子邮件来源，进行邮件完整性检测，车看邮件是否被非法修改,（5）检查电子邮件是否感染病毒，以便采用不同方法进行诊断和消除,（6）将转发垃圾邮件的服务器放到“黑名单”中进行封堵,20,电子邮件服务的安全,4.IIS-SMTP邮件安全,（1）在【常规】选项卡中设置,（2）在【访问】选项卡中设置,（3）在【邮件】选项卡中设置,（4）在【传递】选项卡中设置,（5）在【安全】选项卡中设置,21,SQL Server 2000安全,1.身份认证模式,（1）账号与认证,SQL Server2000安装好后，在系统内将创建三个账号：BUILTINAdminstrator、KG_TR_MISAdminstrator、,sa(system adminstrator,（2）文件权限,（3）安全审计,审计组件包括两项：SQL Trace和SQL Profiler,（4）文件加密,（5）传输加密,22,SQL Server 2000安全,1.使用安全的密码策略,2.使用安全的账号策略,3.加强数据库日志的记录,4.管理扩展存储过程,5.对网络连接进行IP限制,6.及时安装补丁,23,The end,thank you!,24,