信息安全工程師考試重點(diǎn)之定制Web服務(wù)器的安全策略和安全機(jī)制

安全策略是由個(gè)人或組織針對(duì)安全而制定的一整套規(guī)則和決策。每個(gè)Web站點(diǎn)都應(yīng)有一個(gè)安全策略，這些安全策略因需而異。對(duì)Web服務(wù)提供者來(lái)說(shuō)，安全策略的一個(gè)重要的組成是哪個(gè)人可以訪問(wèn)哪些Web文檔，同時(shí)還定義獲權(quán)訪問(wèn)Web文檔的人和使用這些訪問(wèn)的人的有關(guān)權(quán)力和責(zé)任

安全機(jī)制是實(shí)現(xiàn)安全策略的手段或技術(shù)。必須根據(jù)需要和目標(biāo)來(lái)設(shè)置安全系統(tǒng)，估計(jì)和分析風(fēng)險(xiǎn)。定義安全策略，選擇一套安全機(jī)制。首先要做的是威脅分析，主要包括以下幾個(gè)方面：

(1)確定安全保護(hù)的目標(biāo)

(2)研究誰(shuí)會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊

(3)分析會(huì)有什么樣的威脅

(4)提出價(jià)格合理的安全機(jī)制

反復(fù)測(cè)試此過(guò)程，隨時(shí)改變其不足之處

具體來(lái)說(shuō)，不管是配置服務(wù)器，還是在編寫 CGI程序時(shí)都要注意系統(tǒng)的安全性。盡量堵住任何存在的漏洞，創(chuàng)造安全的環(huán)境。

在具體服務(wù)器設(shè)置及編寫CGI程序時(shí)應(yīng)該注意：

(1)禁止亂用從其他網(wǎng)站下載的一些工具軟件，并在沒(méi)有詳細(xì)了解之前盡量不要用root身份注冊(cè)執(zhí)行，以防止某些程序員在程序中設(shè)下的陷阱

(2)在選用Web服務(wù)器時(shí)，應(yīng)考慮到不同服務(wù)器對(duì)安全的要求不一樣

(3) ?在利用Web中的.htpass來(lái)管理和校驗(yàn)用戶口令時(shí)，校驗(yàn)的口令和用戶名不受次數(shù)限制

對(duì)Web服務(wù)器和Web客戶來(lái)說(shuō)，最重要的安全機(jī)制如下:

(1)主機(jī)和網(wǎng)絡(luò)的配套工具和技術(shù)

(2)Web應(yīng)用程序的配置

(3)Web服務(wù)的認(rèn)證機(jī)制

(4)防火墻

(5)日志和監(jiān)視

每個(gè)機(jī)制都涉及某種類型的系統(tǒng)不安全性，它們相互聯(lián)系

總結(jié)

以上是生活随笔為你收集整理的服务器信息安全策略,信息安全工程师考试重点之定制Web服务器的安全策略和安全机制...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。