系统平台与网络站点的安全课件.ppt

1、第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.110.1Windows NTWindows NT系统的安全性系统的安全性10.210.2UNIXUNIX系统的安全性系统的安全性10.310.3WebWeb站点的安全站点的安全10.410.4反黑客技术反黑客技术第1页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全本章学习目标本章学习目标（1）了解保证）了解保证Windows NT的的Registry的安全的安全性的三种办法。性的三种办法。（2）理解）理解UNIX的系统安全和网络安全要求及的系

2、统安全和网络安全要求及其安全措施。其安全措施。（3）熟悉）熟悉Web站点的主要安全问题、典型安全站点的主要安全问题、典型安全漏洞及其安全策略。漏洞及其安全策略。（4）掌握黑客的攻击步骤、手法及防黑客的基）掌握黑客的攻击步骤、手法及防黑客的基本技术和受到黑客攻击的处理对策。本技术和受到黑客攻击的处理对策。返回本章首页第2页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1Windows NT系统的安全性系统的安全性10.1.1Windows NT的的Registry的安全性的安全性10.1.2NT服务器和工作站的安全漏洞及解决建议服务器和工作站的安全漏洞及解决建议1

3、0.1.3NT与浏览器有关的安全漏洞及防范措施与浏览器有关的安全漏洞及防范措施10.1.4基于基于Windows NT操作系统的安全技术操作系统的安全技术10.1.5Windows操作系统的安全维护技术操作系统的安全维护技术返回本章首页第3页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1.1Windows NT的的Registry的安的安全性全性1审核审核2对对Registry的不同部分设置不同的许可权的不同部分设置不同的许可权3保护保护Registry返回本节第4页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1.2NT服务器

4、和工作站的安全漏洞及解决服务器和工作站的安全漏洞及解决建议建议（1 1）安全漏洞）安全漏洞1 1安全账户管理数据库由：安全账户管理数据库由：AdministratorAdministrator账户、账户、AdministratorAdministrator组中的所有成员、备份操作员、组中的所有成员、备份操作员、服务器操作员，以及所有具有备份特权的人员。服务器操作员，以及所有具有备份特权的人员。（2 2）安全漏洞）安全漏洞2 2每次紧急修复盘（每次紧急修复盘（ERDERD：Emergency Repair DiskEmergency Repair Disk）在更新时，整个在更新时，整个SAMSA

5、M数据库被复制为数据库被复制为%system%repairsam._system%repairsam._。第5页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（3）安全漏洞）安全漏洞3SAM数据库和其他数据库和其他NT服务器文件可能被服务器文件可能被NT的的SMB读取。读取。（4）安全漏洞）安全漏洞4特洛伊木马和病毒，可能依靠缺省权利作特洛伊木马和病毒，可能依靠缺省权利作SAM的的备份，获取访问备份，获取访问SAM中的口令信息，或者通过访中的口令信息，或者通过访问紧急修复盘问紧急修复盘ERD的更新盘。的更新盘。第6页，共62页。第十章系统平台与网络站点的安全第十章系统

6、平台与网络站点的安全（5）安全漏洞）安全漏洞5能够物理上访问能够物理上访问Windows NT计算机的任何人，计算机的任何人，都可能利用某些工具程序来获得都可能利用某些工具程序来获得Administrator级级别的访问权。别的访问权。（6）安全漏洞）安全漏洞6重新安装重新安装Windows NT软件时，可以获得软件时，可以获得Administrator级别的访问权。级别的访问权。第7页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（7）安全漏洞）安全漏洞7Windows NT域中的缺省账户域中的缺省账户Guest。（8）安全漏洞安全漏洞8某些系统程序的不适当使用。某

7、些系统程序的不适当使用。（9）安全漏洞安全漏洞9所有用户可能通过命令行方式，试图连接管理系所有用户可能通过命令行方式，试图连接管理系统的共享资源。统的共享资源。第8页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（10）安全漏洞）安全漏洞10由于没有定义尝试注册的失败次数，导致可以被由于没有定义尝试注册的失败次数，导致可以被无限制地尝试连接系统管理的共享资源。无限制地尝试连接系统管理的共享资源。（11）安全漏洞）安全漏洞11如果系统里只有一个如果系统里只有一个Administrator账户，当注账户，当注册失败的次数达到设置时，该账户也不可能被锁册失败的次数达到设置时

8、，该账户也不可能被锁住。住。第9页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（12）安全漏洞）安全漏洞12具有管理员特权的账户在达到注册失败次数时将具有管理员特权的账户在达到注册失败次数时将被锁住，然而，被锁住，然而，30分钟后自动解锁。分钟后自动解锁。（13）安全漏洞）安全漏洞13Windows NT缺省时，在注册对话框中显示最缺省时，在注册对话框中显示最近一次注册的用户名。近一次注册的用户名。第10页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（14）安全漏洞）安全漏洞14Windows NT和和Windows 95的客户可以在文件

9、中的客户可以在文件中保存口令，以便快速验证。保存口令，以便快速验证。（15）安全漏洞）安全漏洞15Windows NT口令可能被非口令可能被非NT平台的口令所代平台的口令所代替。替。第11页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（16）安全漏洞）安全漏洞16管理员有能力从非安全的工作站上进行远程登录。管理员有能力从非安全的工作站上进行远程登录。（17）安全漏洞）安全漏洞17NT上的缺省上的缺省Registry权限设置有很多不适当之处。权限设置有很多不适当之处。（18）安全漏洞）安全漏洞18有可能远程访问有可能远程访问NT平台上的平台上的Registry。第12

10、页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（19）安全漏洞）安全漏洞19通过访问其他的并存操作系统，就有可能绕过通过访问其他的并存操作系统，就有可能绕过NTFS的安全设置。的安全设置。（20）安全漏洞）安全漏洞20文件句柄可能从内存中被读取到，然后用来访问文件句柄可能从内存中被读取到，然后用来访问文件，而无须授权。文件，而无须授权。第13页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（21）安全漏洞）安全漏洞21缺省权限设置允许缺省权限设置允许“所有人所有人”对关键目录具有对关键目录具有“改变改变”级的访问权。级的访问权。（22）安全

11、漏洞）安全漏洞22打印操作员组中的任何一个成员对打印驱动程序打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。具有系统级的访问权。第14页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（23）安全漏洞）安全漏洞23通过通过FTP有可能进行无授权的文件访问。有可能进行无授权的文件访问。（24）安全漏洞）安全漏洞24基于基于NT的文件访问权限对于非的文件访问权限对于非NT文件系统不可文件系统不可读。读。第15页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（25）安全漏洞）安全漏洞25Windows NT文件安全权限的错误设置有可能带

12、文件安全权限的错误设置有可能带来潜在的危险。来潜在的危险。（26）安全漏洞）安全漏洞26标准的标准的NTFS“读读”权限意味着同时具有权限意味着同时具有“读读”和和“执行执行”的权限。的权限。第16页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（27）安全漏洞）安全漏洞27Windows NT总是不正确地执行总是不正确地执行“删除删除”权限。权限。（28）安全漏洞）安全漏洞28缺省组的权利和能力不能被删除。缺省组的权利和能力不能被删除。第17页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（29）安全漏洞）安全漏洞29NT的进程定期处理机制

13、有的进程定期处理机制有Bug。（30）安全漏洞）安全漏洞30如果一个帐户被设置成同时具有如果一个帐户被设置成同时具有Guest组和另一组和另一组的成员资格，那么组的成员资格，那么Guest组的成员资格可能会组的成员资格可能会失效，导致用户失效，导致用户Profiles和其他设置受到意想不和其他设置受到意想不到的损失。到的损失。第18页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（31）安全漏洞）安全漏洞31“所有人所有人”的缺省权利是，可以创建公共的缺省权利是，可以创建公共GUI组，不受最大数目组，不受最大数目的限制。的限制。（32）安全漏洞）安全漏洞32事件管理器

14、中事件管理器中Security Log的设置，允许记录被覆写，否则的设置，允许记录被覆写，否则它将导致服务器挂起。它将导致服务器挂起。（33）安全漏洞）安全漏洞33审计文件是不完全的。审计文件是不完全的。第19页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（34）安全漏洞）安全漏洞34Security Log不是全部集成的。不是全部集成的。（35）安全漏洞）安全漏洞35屏幕保护有屏幕保护有Bug，它允许非授权用户访问闲置终它允许非授权用户访问闲置终端。端。第20页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（36）安全漏洞）安全漏洞36任

15、何用户可以通过命令行方式，远程查询任何一任何用户可以通过命令行方式，远程查询任何一台台NT服务器上的已注册的用户名。服务器上的已注册的用户名。（37）安全漏洞）安全漏洞37使用使用SATAN扫描可使扫描可使Windows NT平台崩溃。平台崩溃。另外，使用另外，使用SafeSuite的的Internet Scanner同同样可使样可使NT平台崩溃。平台崩溃。第21页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（38）安全漏洞）安全漏洞38Red Button程序允许任何人远程访问程序允许任何人远程访问NT服务器。服务器。（39）安全漏洞）安全漏洞39用用Ping命令

16、可导致一台命令可导致一台NT计算机死机。计算机死机。第22页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（40）安全漏洞）安全漏洞40NT计算机允许在安装时输入空白口令。计算机允许在安装时输入空白口令。（41）安全漏洞）安全漏洞41作为一个作为一个TCP连接的一部分，向连接的一部分，向Windows NT计计算机发送算机发送out-of-band数据，可使服务拒绝访问数据，可使服务拒绝访问的攻击成为可能。的攻击成为可能。第23页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1.3NT与浏览器有关的安全漏洞及防范措施与浏览器有关的安全漏

17、洞及防范措施（1）安全漏洞）安全漏洞1Internet Explorer在指定的情况下，随意地向在指定的情况下，随意地向Internet上发送用户的名字和口令。上发送用户的名字和口令。（2）安全漏洞）安全漏洞2NT和和Windows 95计算机上的所有浏览器，都计算机上的所有浏览器，都有一个相似的弱点，对于一个有一个相似的弱点，对于一个HTML页上的超级页上的超级链接，浏览器都首先假设该链接是指向本地计算链接，浏览器都首先假设该链接是指向本地计算机上的一个文件。机上的一个文件。第24页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（3）安全漏洞）安全漏洞3ASP数据流

18、的弱点，它主要影响数据流的弱点，它主要影响IIS。（4）安全漏洞）安全漏洞4IE读出本地文件，它主要影响读出本地文件，它主要影响IE 4.0，4.01；SP1，Windows 98等系统。等系统。第25页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（5）安全漏洞）安全漏洞5IIS的的FTP拒绝服务，它主要影响如下系统拒绝服务，它主要影响如下系统IIS 2.0，3.0，4.0。（6）安全漏洞）安全漏洞6IIS中的可执行目录，它主要影响中的可执行目录，它主要影响IIS 4.0。（7）安全漏洞）安全漏洞7RPC受到受到Snork拒绝服务攻击。拒绝服务攻击。返回本节第26页

19、，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1.4基于基于Windows NT操作系统的安全技术操作系统的安全技术1登录安全登录安全（1）登录过程：同时按下）登录过程：同时按下CtrlAltDel键的键的欢迎窗口开始。寻问用户名、口令及用户希望存欢迎窗口开始。寻问用户名、口令及用户希望存取的服务器或域名。输入传递给安全帐号管理器取的服务器或域名。输入传递给安全帐号管理器安全子系统就创建一个访问令牌。安全子系统就创建一个访问令牌。（2）设置登录安全：设置工作站登录限制、）设置登录安全：设置工作站登录限制、）设置时间登录限制、设置帐号失效日期、设置用设置时间登录限

20、制、设置帐号失效日期、设置用户登录失败次数。户登录失败次数。第27页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全2存取控制存取控制存取控制项提供了一个用户或一组用户在对象的存取控制项提供了一个用户或一组用户在对象的访问或审计许可权方面的信息。存取控制列表与访问或审计许可权方面的信息。存取控制列表与文件系统一起保护着对象，使它们免受非法访问文件系统一起保护着对象，使它们免受非法访问的侵害。共有三种不同类型的存取控制项：系统的侵害。共有三种不同类型的存取控制项：系统审计、允许访问、禁止访问。审计、允许访问、禁止访问。第28页，共62页。第十章系统平台与网络站点的安全第十

21、章系统平台与网络站点的安全3用户权限用户权限1）从网络上访问某台计算机。）从网络上访问某台计算机。2）备份系统启动时必须登录的某些）备份系统启动时必须登录的某些服务程序帐号。服务程序帐号。4许可权许可权（1）NTFS文件系统目录的许可权文件系统目录的许可权（2）与打印机相关的许可权）与打印机相关的许可权5所有权所有权创建对象的用户就不能把自己的对象显示为别的用户可用，他们必创建对象的用户就不能把自己的对象显示为别的用户可用，他们必须对自己创建的对象负责。须对自己创建的对象负责。第29页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全6访问许可权访问许可权在共享一个对象时

22、设置对它的访问许可权，可以在共享一个对象时设置对它的访问许可权，可以随时修改这些许可权。随时修改这些许可权。7共享许可权共享许可权提供一组规则，来控制用户对文件和目录的访问。提供一组规则，来控制用户对文件和目录的访问。共享许可权为网络共享资源提供了另外一层的安共享许可权为网络共享资源提供了另外一层的安全性保护。访问共享资源的过程如图全性保护。访问共享资源的过程如图10.1所示。所示。第30页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全图图10.1访问共享资源的过程访问共享资源的过程第31页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全8审计

23、审计审计系统可以确保系统的遵循性。可以揭露并跟审计系统可以确保系统的遵循性。可以揭露并跟踪企图对系统进行破坏的行为。审计按照机构的踪企图对系统进行破坏的行为。审计按照机构的安全策略和实施安全标准的适应性平台来对系统安全策略和实施安全标准的适应性平台来对系统进行评估。进行评估。返回本节第32页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.1.5Windows操作系统的安全维护技术操作系统的安全维护技术1备份系统初始化文件备份系统初始化文件2备份程序组文件备份程序组文件3给给Win.ini和和System.ini注释注释4删除带扩展名的删除带扩展名的.pwl文件文件

24、5避免设置好的配置被别人修改避免设置好的配置被别人修改6隐藏共享目录隐藏共享目录7避免未经授权的访问避免未经授权的访问返回本节第33页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.2UNIX系统的安全性系统的安全性10.2.1UNIX系统安全系统安全10.2.2 UNIX网络安全网络安全返回本章首页第34页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.2.1UNIX系统安全系统安全1口令安全口令安全2文件许可权文件许可权3目录许可目录许可4umask命令命令5设置用户设置用户ID和同组用户和同组用户ID许可许可6cp、mv、ln和

25、和cpio命令命令第35页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全7su和和newgrp命令命令8文件加密文件加密9其他安全问题其他安全问题10确保户头安全的要点确保户头安全的要点返回本节第36页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.2.2 UNIX网络安全网络安全1UUCP系统概述系统概述2UUCP的安全问题的安全问题3HONEYDANBER UUCP的新特性的新特性第37页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全1UUCP系统概述系统概述（1）UUCP命令命令:该命令用于两系统间的文件传

26、该命令用于两系统间的文件传输输。命令的一般格式如下：。命令的一般格式如下：uucp source_file destination_file（2）uux命令：命令：uux最通常的用处是在系统之间最通常的用处是在系统之间发送邮件发送邮件。典型的典型的uux请求如下：请求如下：pr listing|uux-remote1!lp-d prl第38页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（3）uucico程序：程序：uucico完成数据的发送和接完成数据的发送和接收。收。（4）uuxqt程序：执行远程命令请求。程序：执行远程命令请求。第39页，共62页。第十章系统平台

27、与网络站点的安全第十章系统平台与网络站点的安全（1）U S E R F I L E 文 件：文 件：u u c i c o 用 文 件用 文 件/usr/lib/uucp/USERFILE确定远程系统发送确定远程系统发送或接收什么文件，其格式为：或接收什么文件，其格式为：login，sysc path_namepath_name（2）L.c m d s 文 件：文 件：u u x q t 利 用利 用/usr/lib/uucp/L.cmds文件确定要执行的远程文件确定要执行的远程执行请求命令。该文件的格式是每行一条命令。执行请求命令。该文件的格式是每行一条命令。2UUCP的安全问题的安全问题第

28、40页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（3）uucp登录：登录：UUCP系统需要两个登录户头，系统需要两个登录户头，一个是其他系统登录的户头，另一个是系统管理一个是其他系统登录的户头，另一个是系统管理使用的户头。使用的户头。（4）uucp使用的文件和目录：使用的文件和目录：uucp用用/usr/spool/uucp目录存放工作文件。目录存放工作文件。第41页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全3HONEYDANBER UUCP的新特性的新特性（1）HONEYDANBER UUCP较之老较之老UUCP的的改进：改进：1）

29、支持更多的拨号和网络。）支持更多的拨号和网络。2）重新组织了）重新组织了/usr/spool/uucp目录，在该目目录，在该目录下，对每个远程系统有一个目录。录下，对每个远程系统有一个目录。3）加强了安全。）加强了安全。第42页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（2）HONEYDANBER UUCP与老与老UUCP的差的差别：别：H O N E Y D A N B E R U U C P 中 的中 的/usr/lib/uucp/Systems文件是原来文件是原来UUCP中中的的/usr/lib/uucp/L.sys。HONEYDANBER UUCP中，中，

30、/usr/spool/uucp/.log下的一个子下的一个子目 录 代 替 了 老目 录 代 替 了 老 U U C P 的 文 件的 文 件/usr/spool/uucp/logFILE。第43页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（3）登录名规则：）登录名规则：LOGNAME规则用于控制作为登录规则用于控制作为登录shell启动的启动的uucico。LOGNAMEnuucp指定对所有登录到指定对所有登录到nuucp户头下的系统加缺省限户头下的系统加缺省限制。制。第44页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（4）MACH

31、INE规则规则MACHINE规则用于忽略缺省限制，规则用于忽略缺省限制，MYNAME选项所定义的必须与选项所定义的必须与LOGNAME规则联用，指定规则联用，指定将赋给调用系统的名，该名仅当调用所定义的系将赋给调用系统的名，该名仅当调用所定义的系统时才用。统时才用。MACHINE规则的格式如下：规则的格式如下：M A C H I N E=z u u l：g o z u r：e n i g m a WRITE=/READ=/第45页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（5）组合）组合MACHINE和和LOGNAME规则：确保规则：确保一组系统的统一安全，而不管

32、远程系统调用局域一组系统的统一安全，而不管远程系统调用局域系统还是局域系统调用用远程系统。系统还是局域系统调用用远程系统。（6）uucheck命令：一旦建立了命令：一旦建立了Permissions文件，可用文件，可用uucheck -v 命令了解命令了解uucp如何解如何解释 该 文 件。输 出 的 前 几 行 是 确 认释 该 文 件。输 出 的 前 几 行 是 确 认HONEYDANBER UUCP使用的所有文件、目录、使用的所有文件、目录、命令都存在，然后是对命令都存在，然后是对Permissions文件的检查。文件的检查。第46页，共62页。第十章系统平台与网络站点的安全第十章系统平台

33、与网络站点的安全（7）网关（）网关（Gateway）gateway是一个只转送邮件给其他系统的系统。是一个只转送邮件给其他系统的系统。有了有了gateway，可使许多用可使许多用UNIX系统的部门或系统的部门或公司对其所有用户只设一个电子邮件地址。所有公司对其所有用户只设一个电子邮件地址。所有发来的邮件都通过发来的邮件都通过gateway转送到相应的计算转送到相应的计算机。机。第47页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全（8）登录文件检查）登录文件检查HONEYDANBER UUCP自动地将登录信息邮给自动地将登录信息邮给uucp.login文文件，应当定期

34、地读这个文件。还要检查不允许做的远程命令执行件，应当定期地读这个文件。还要检查不允许做的远程命令执行请求。登录信息都保存在在文件中，如果要查看，可用请求。登录信息都保存在在文件中，如果要查看，可用grep命命令查看。下面一行命令将打印出令查看。下面一行命令将打印出uuxqt执行的所有命令执行的所有命令（rmail除外）：除外）：grep-v rmail/usr/spool/uucp/.Log/uuxqt/*返回本节第48页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.3Web站点的安全站点的安全10.3.1Web站点安全概述站点安全概述10.3.2Web站点的安

35、全策略站点的安全策略返回本章首页第49页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.3.1Web站点安全概述站点安全概述1Web站点的五种主要安全问题站点的五种主要安全问题 1）未经授权的存取动作。）未经授权的存取动作。2）窃取系统的信息。）窃取系统的信息。3）破坏系统。）破坏系统。4）非法使用。）非法使用。5）病毒破坏。）病毒破坏。第50页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全2Web站点的典型安全漏洞站点的典型安全漏洞（1）操作系统类安全漏洞）操作系统类安全漏洞（2）网络系统的安全漏洞）网络系统的安全漏洞（3）应用系统的安

36、全漏洞）应用系统的安全漏洞（4）网络安全防护系统不健全）网络安全防护系统不健全（5）其他安全漏洞）其他安全漏洞返回本节第51页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.3.2Web站点的安全策略站点的安全策略1安全策略制定原则安全策略制定原则（1）基本原则：每个）基本原则：每个Web站点都应有一个安全站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安全系统的基本依据。评价分析，以作为设计网络安全系统的基本依据。（2）服务器记录原则：大多数）服务器记录原则：大多数Web服务器会记服务

37、器会记录录IP地址、用户名、地址、用户名、URL要求等信息，使用户受要求等信息，使用户受控于服务器。控于服务器。第52页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全2配置配置Web服务器的安全特性服务器的安全特性（1）用户与站点建立联接的过程）用户与站点建立联接的过程（2）加强）加强Web服务器安全的措施服务器安全的措施第53页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全3排除站点中的安全漏洞排除站点中的安全漏洞1）物理的漏洞由未授权人员访问引起，由于他）物理的漏洞由未授权人员访问引起，由于他们能浏览那些不被允许的地方。们能浏览那些不被允

38、许的地方。2）软件漏洞是由）软件漏洞是由“错误授权错误授权”的应用程序引起，的应用程序引起，它会执行不应执行的功能。它会执行不应执行的功能。3）不兼容问题漏洞是由不良系统集成引起。）不兼容问题漏洞是由不良系统集成引起。第54页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全4监视控制监视控制Web站点出入情况站点出入情况（1）监控请求）监控请求（2）测算命中次数）测算命中次数（3）传输更新）传输更新返回本节第55页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.4反黑客技术反黑客技术10.4.1黑客的攻击步骤黑客的攻击步骤10.4.2黑客的

39、手法黑客的手法10.4.3防黑客技术防黑客技术10.4.4黑客攻击的处理对策黑客攻击的处理对策返回本章首页第56页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.4.1黑客的攻击步骤黑客的攻击步骤1 1信息收集信息收集2 2探测系统的安全弱点探测系统的安全弱点3 3实施攻击实施攻击返回本节第57页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.4.2黑客的手法黑客的手法1 1口令的猜测或获取口令的猜测或获取2 2IPIP欺骗与窥探欺骗与窥探3 3扫描扫描第58页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全图

40、图10.2攻击服务器截断正常的连接攻击服务器截断正常的连接返回本节第59页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.4.3防黑客技术防黑客技术1防字典攻击和口令保护防字典攻击和口令保护2预防窥探预防窥探3防止防止IP欺骗欺骗4建立完善的访问控制策略建立完善的访问控制策略5信息加密信息加密6其他安全防护措施其他安全防护措施返回本节第60页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全10.4.4黑客攻击的处理对策黑客攻击的处理对策1发现黑客发现黑客2处理原则处理原则3发现黑客后的处理对策发现黑客后的处理对策返回本节第61页，共62页。第十章系统平台与网络站点的安全第十章系统平台与网络站点的安全THANK YOU VERY MUCH！本章到此结束，本章到此结束，谢谢您的光临！谢谢您的光临！返回本章首页结束放映第62页，共62页。