web安全策略解决方案

AdRiAn伟

　　第一部分 web的安全需求
　　1.1 Web安全的体系结构，包括主机安全，网络安全和应用安全;
　　1.2 Web浏览器和服务器的安全需求;
　　在已知的web服务器(包括软硬件)漏洞中，针对该类型web服务器的攻击最少;
　　对服务器的管理操作只能由授权用户执行;
　　拒绝通过web访问web服务器上不公开发布的内容;
　　禁止内嵌在OS或者 web server软件中的不必要的网络服务;
　　有能力控制对各种形式的.exe程序的访问;
　　能够对web操作进行日志记录，以便于进行入侵检测和入侵企图分析;
　　具有适当的容错功能;
　　1.3 Web传输的安全需求
　　Web服务器必须和内部网络隔离：
　　有四种实现方式，应选择使用高性能的cisco防火墙实现隔离
　　Web服务器必须和数据库隔离;
　　维护一份web站点的安全拷贝：来自开发人员最终发布的版本(内容安全);
　　其次，存储的地点是安全的(另一台，独立的位于防火墙之后的内网的主机);
　　还有，定期备份应该使用磁带，可擦写光盘等媒介;
　　1.4 Web面临的威胁：信息泄露，拒绝服务，系统崩溃，跳板。
　　第二部分 web服务器的安全策略
　　主机操作系统是web的直接支撑着，必须合理配置主机系统，为WEB 服务器提供安全支持：
　　只提供必要的服务;
　　某种服务被攻击不影响其它服务;
　　使用运行在其它主机上的辅助工具并启动安全日志;
　　设置web服务器访问控制规则：
　　通过IP,子网，域名来控制;
　　通过口令控制;
　　使用公用密钥加密算法;
　　设置web服务器目录权限;
　　关闭安全性脆弱的web服务器功能例如：自动目录列表功能;符号连接等
　　谨慎组织web服务器的内容：
　　链接检查;
　　CGI程序检测(如果采用此技术);
　　定期对web服务器进行安全检查;
　　辅助工具：SSH;
　　文件系统完整性检测工具;
　　入侵检测工具;
　　日志审计工具;
　　第三部分 web攻击与反，攻击
　　入侵检测方法：
　　物理检查;
　　紧急检查;
　　追捕入侵者;
　　攻击的类型：
　　拒绝服务;
　　第四部分 源代码的安全及约束规则
　　不能留有后门程序和漏洞，包括系统架构是否合理，是否符合安全需求汇编反汇编、病毒反病毒。
　　最后，至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样，因人而异。