本文阐述了Web服务器安全策略的重要性,包括确定访问权限、威胁分析和选择安全机制。详细介绍了如何通过主机防护、Web应用配置、认证机制等手段实现安全,并强调了服务器配置和CGI程序编写中的安全注意事项。
信息安全工程师考试重点之定制Web服务器的安全策略和安全机制
安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略,这些安全策略因需而异。对Web服务提供者来说,安全策略的一个重要的组成是哪个人可以访问哪些Web文档,同时还定义获权访问Web文档的人和使用这些访问的人的有关权力和责任
安全机制是实现安全策略的手段或技术。必须根据需要和目标来设置安全系统,估计和分析风险。定义安全策略,选择一套安全机制。首先要做的是威胁分析,主要包括以下几个方面:
(1)确定安全保护的目标
(2)研究谁会对网络进行攻击
(3)分析会有什么样的威胁
(4)提出价格合理的安全机制
反复测试此过程,随时改变其不足之处
具体来说,不管是配置服务器,还是在编写 CGI程序时都要注意系统的安全性。尽量堵住任何存在的漏洞,创造安全的环境。
在具体服务器设置及编写CGI程序时应该注意:
(1)禁止乱用从其他网站下载的一些工具软件,并在没有详细了解之前尽量不要用root身份注册执行,以防止某些程序员在程序中设下的陷阱
(2)在选用Web服务器时,应考虑到不同服务器对安全的要求不一样
(3) 在利用Web中的.htpass来管理和校验用户口令时,校验的口令和用户名不受次数限制
对Web服务器和Web客户来说,最重要的安全机制如下:
(1)主机和网络的配套工具和技术
(2)Web应用程序的配置
(3)Web服务的认证机制
(4)防火墙
(5)日志和监视
每个机制都涉及某种类型的系统不安全性,它们相互联系
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
