相关链接：电子商务网站的安全设计与管理辅导2

第五节 WEB安全

1． WEB受到的威胁

1) WEB服务器方面，

WEB服务器的重要信息发生泄露，或者WEB服务器受到有意无意的破坏，严重的甚至会造成信息的丢失甚至服务器的崩溃

2) 浏览器方面，

浏览器端运行的程序可能会造成信息丢失甚至资源被破坏

3) 浏览器和WEB服务器的通讯方面，

浏览器和WEB服务器的重要会话可能被窃听和伪造

2． WEB的安全漏洞

1) 操作系统存在的安全漏洞

2) WEB服务器的安全漏洞，

3) 服务器端脚本的安全漏洞, CGI,API

4) 客户端脚本的安全漏洞,VS,JS,

3． WEB安全管理办法

1) 管理，提高安全意识，加强安全管理

2) 预防加学习

4． WEB信息安全传输协议

1) SSL：是netscape公司为TCP/IP套接字开发的一种加密技术，它是基于通道的加密方法，用于提高应用层协议等的安全性，增强通信应用程序间的保密性和可靠性

是网景公司开发的安全套接层加密协议，

基于通道的加密方法，

用于提高应用层协议(http ,telnet,ftp)等的安全性，

增强通信应用程序间的保密性和可靠性，

功能包括数据加密，服务器验证，信息完整性及可选的客户TCP/IP连接验证

2) S-HTTP

SECUREHTTP的简写，是VERIFONE公司应COMMERCENET要求开发的一种问答式交易协议。它是HTTP协议的扩展。S-HTTP是使用HTTP的MIME的网络数据包进行签名，验证和加密。

3) SET

是为了解决用户，商家和银行之间通过信用卡支付的交易而设计的，

以保证支付信息的机密，支付过程的完整，商家及持卡人的合法身份，以及可操作性，

主要技术包括公鈅加密，数字签名，电子信封，安全证书

第六节 入侵的审计追踪，检测及陷阱技术

1． 基本概念

入侵检测：是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象

主要活动：

1） 监视、分析用户及系统活动

2） 对系统配置和弱点进行审计

3） 识别与已知攻击模式匹配的活动

4） 对异常活动模式进行统计分析

5） 评估重要系统和数据文件的完整性

6） 对操作系统进行审计跟踪管理，识别用户违反安全策略的行为

入侵陷阱技术：是通过设置诱饵，将入侵者引入圈套，从而捕获入侵者的技术

2． 入侵检测的分析方式

1) 异常发现技术

假定所有入侵行为都是与正常行为不同的。

如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。

对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。

异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。

2) 模式发现技术

假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，

那么所有已知的入侵方法都可以用匹配的方法发现。

模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。

模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。

3) 主要以模式发现技术为主，并结合异常发现技术

3． 入侵检测的实现手段

攻击签名：是用一种特定的方式来表示已知的攻击方式

1) 基于网络的IDS

基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，

一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信，

一旦检测到攻击，IDS应答模块通过通知，报警以及中断连接等方式来对攻击做出反应

低拥有成本

攻击者转移证据更困难

实时检测和应答

能够检测未成功的攻击企图

操作系统独立

2) 基于主机的IDS

一般监视Window主机上的系统，事件，安全日志以及UNIX上的Syslog文件，

一旦发现这些文件发生任何变化，IDS将比较新日志记录与攻击签名以发现它们是否匹配，

如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动

非常适用于加密和交换环境

近实时的检测和应答

不需要额外的硬件

3) 集成化：IDS的发展趋势

4． 入侵陷阱技术的实现策略

1) 诱饵服务器目的：

诱饵”服务器的主要目的是模仿数据服务器，同时对于黑客行为进行报警和记录

2) 诱饵服务器特点：

“诱饵”服务器模仿真正的数据服务器，并有其正常工作的一面；

“诱饵”服务器提供一些网络资源和用户账号，引起黑客的注意；

“诱饵”服务器表现它脆弱的一面，引诱黑客对它展开恶意的攻击；

“诱饵”服务器有着非常强大并且完全的入侵报警和记录机制。

3) 端口重定向 打造诱饵

4) 是否要打造

你是否有足够的资源

你是否能够一直监视系统的日志；

你是否打算起诉入侵者

你是否具有应急处理突发事件的能力。