1 引言
      隨著Internet的普及，人們對其依靠也越來越強，但是由于Internet的開放性，及在設計時對于信息的保密和系統的平安考慮不完備，造成現在網絡的攻擊和破壞事件層出不窮，給人們的日常生活和經濟活動造成了很大麻煩。WWW服務作為現今Internet上使用的最廣泛的服務，Web站點被黑客入侵的事件屢有發生，Web平安新問題已引起人們的極大重視。
       2 Web的平安威脅
      來自網絡上的平安威脅和攻擊多種多樣，依照Web訪問的結構，可將其分類為對Web服務器的平安威脅、對Web客戶機的平安威脅和對通信信道的平安威脅三類。
      2.1對Web服務器的平安威脅
       對于Web服務器、服務器的操作系統、數據庫服務器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務器上的漏洞可以從以下幾方面考慮摘要：
      2.1.1在Web服務器上的機密文件或重要數據（如存放用戶名、口令的文件）放置在不平安區域，被入侵后很輕易得到。
      2.1.2在Web數據庫中，保存的有價值信息（如商業機密數據、用戶信息等），假如數據庫平安配置不當，很輕易泄密。
      2.1.3Web服務器本身存在一些漏洞，能被黑客利用侵入到系統，破壞一些重要的數據，甚至造成系統癱瘓。
      2.1.4程序員的有意或無意在系統中遺漏Bugs給非法黑客創造條件。用CGI腳本編寫的程序中的自身漏洞。
      2.2對Web客戶機的平安威脅
      現在網頁中的活動內容已被廣泛應用，活動內容的不平安性是造成客戶端的主要威脅。網頁的活動內容是指在靜態網頁中嵌入的對用戶透明的程序，它可以完成一些動作，顯示動態圖像、下載和播放音樂、視頻等。當用戶使用瀏覽器查看帶有活動內容的網頁時，這些應用程序會自動下載并在客戶機上運行，假如這些程序被惡意使用，可以竊取、改變或刪除客戶機上的信息。主要用到Java Applet和ActiveX技術。
      Java Applet使用Java語言開發，隨頁面下載，Java使用沙盒(Sandbox)根據平安模式所定義的規則來限制Java Applet的活動，它不會訪問系統中規定平安范圍之外的程序代碼。但事實上Java Applet存在平安漏洞，可能被利用進行破壞。
      ActiveX是微軟的一個控件技術，它封裝由網頁設計者放在網頁中來執行特定的任務的程序，可以由微軟支持的多種語言開發但只能運行在Windows平臺。ActiveX在平安性上不如Java Applet，一旦下載，能像其他程序一樣執行，訪問包括操作系統代碼在內的所有系統資源，這是非常危險的。
      Cookie是Netscape公司開發的，用來改善HTTP的無狀態性。無狀態的表現使得制造像購物車這樣要在一定時間內記住用戶動作的東西很難。Cookie實際上是一段小消息，在瀏覽器第一次連接時由HTTP服務器送到瀏覽器端，以后瀏覽器每次連接都把這個Cookie的一個拷貝返回給Web服務器，服務器用這個Cookie來記憶用戶和維護一個跨多個頁面的過程影像。Cookie不能用來竊取有關用戶或用戶計算機系統的信息，它們只能在某種程度上存儲用戶的信息，如計算機名字、IP地址、瀏覽器名稱和訪問的網頁的URL等。所以，Cookie是相對平安的。
       2.3對通信信道的平安威脅
       Internet是連接Web客戶機和服務器通信的信道，是不平安的。像Sniffer這樣的嗅探程序，可對信道進行偵聽，竊取機密信息，存在著對保密性的平安威脅。未經授權的用戶可以改變信道中的信息流傳輸內容，造成對信息完整性的平安威脅。此外，還有像利用拒絕服務攻擊，向網站服務器發送大量請求造成主機無法及時響應而癱瘓，或者發送大量的IP數據包來阻塞通信信道，使網絡的速度便緩慢。
      3 Web的平安防護技術
      3.1 Web客戶端的平安防護
      Web客戶端的防護辦法，重點對Web程序組件的平安進行防護，嚴格限制從網絡上任意下載程序并在本地執行。可以在瀏覽器進行設置，如Microsoft Internet Explorer的Internet選項的高級窗口中將Java相關選項關閉。在平安窗口中選擇自定義級別，將ActiveX組件的相關選項選為禁用。在隱私窗口中根據需要選擇Cookie的級別，也可以根據需要將c摘要:windowscookie下的所有Cookie相關文件刪除。
      3.2通信信道的平安防護
      通信信道的防護辦法，可在平安性要求較高的環境中，利用HTTPS協議替代HTTP協議。利用平安套接層協議SSL保證平安傳輸文件，SSL通過在客戶端瀏覽器軟件和Web服務器之間建立一條平安通信信道，實現信息在Internet中傳送的保密性和完整性。但SSL會造成Web服務器性能上的一些下降。
　   3.3 Web服務器端的平安防護
      限制在Web服務器中賬戶數量，對在Web服務器上建立的賬戶，在口令長度及定期更改方面作出要求，防止被盜用。
       Web服務器本身會存在一些平安上的漏洞，需要及時進行版本升級更新。
      盡量使EMAIL、數據庫等服務器和Web服務器分開，去掉無關的網絡服務。
      在Web服務器上去掉一些不用的如SHELL之類的解釋器。
      定期查看服務器中的日志文件，分析一切可疑事件。
      設置好Web服務器上系統文件的權限和屬性。
      通過限制許可訪問用戶IP或DNS。
      從CGI編程角度考慮平安。采用編譯語言比解釋語言會更平安些，并且CGI程序應放在獨立于HTML存放目錄之外的CGI-BIN下等辦法。
      4 Web服務器平安防護策略的應用
      這里以目前應用較多的Windows2000平臺和IIS的Web服務器為例簡述Web服務器端平安防護的策略應用。
      4.1系統安裝的平安策略
      安裝Windows2000系統時不要安裝多余的服務和多余的協議，因為有的服務存在有漏洞，多余的協議會占用資源。安裝Windows2000后一定要及時安裝補丁4程序（W2KSP4_CN.exe），馬上安裝防病毒軟件。
       4.2系統平安策略的配置
      通過“本地平安策略”限制匿名訪問本機用戶、限制遠程用戶對光驅或軟驅的訪問等。通過“組策略”限制遠程用戶對Netmeeting的桌面共享、限制用戶執行Windows安裝任務等平安策略配置。
      4.3IIS平安策略的應用
      在配置Internet信息服務（IIS）時，不要使用默認的Web站點，刪除默認的虛擬目錄映射；建立新站點，并對主目錄權限進行設置。一般情況下設置成站點管理員和Administrator兩個用戶可完全控制，其他用戶可以讀取文件。
      4.4審核日志策略的配置
      當Windows 2000出現新問題的時候，通過對系統日志的分析，可以了解故障發生前系統的運行情況，作為判定故障原因的根據。一般情況下需要對常用的用戶登錄日志，HTTP和FTP日志進行配置。
      4.4.1設置登錄審核日志
      審核事件分為成功事件和失敗事件。成功事件表示一個用戶成功地獲得了訪問某種資源的權限，而失敗事件則表明用戶的嘗試失敗。
      4.4.2設置HTTP審核日志
      通過“Internet服務管理器”選擇Web站點的屬性，進行設置日志的屬性，可根據需要修改日志的存放位置。
      4.4.3設置FTP審核日志
      設置方法同HTTP的設置基本一樣。選擇FTP站點，對其日志屬性進行設置，然后修改日志的存放位置。
      4.5網頁發布和下載的平安策略
       因為Web服務器上的網頁，需要頻繁進行修改。因此，要制定完善的維護策略，才能保證Web服務器的平安。有些管理員為方便起見，采用共享目錄的方法進行網頁的下載和發布，但共享目錄方法很不平安。因此，在Web服務器上要取消所有的共享目錄。網頁的更新采用FTP方法進行，選擇對該FTP站點的訪問權限有“讀取、寫入”權限。對FTP站點屬性的“目錄平安性”在“拒絕訪問”對話框中輸入管理維護工作站的IP地址，限定只有指定的計算機可以訪問該FTP站點，并只能對站點目錄進行讀寫操作。
      5 結束語
      通過對Web平安威脅的討論及具體Web平安的防護，本文希望為用戶在平安上網或配置Web服務器平安過程中起到借鑒功能。

【參考文獻】
1 張國祥.基于Apache的Web平安技術的應用探究[J.武漢理工大學學報，2004，(3).
2 單歐.SSL在web平安中的應用[J.信息網絡平安，2004，（6）.