Web的安全威胁与安全防护4Web服务器安全防护策略的应用这里以目前应用较多的Windows2000平台和IIS的Web服务器为例简述Web服务器端安全防护的策略应用。4.1系统安装的安全策略安装Windows2000系统时不要安装多余的服务和多余的协议，因为有的服务存在有漏洞，多余的协议会占用资源。安装Windows2000后一定要及时安装补丁4程序（W2KSP4_CN.exe），立刻安装防病毒软件。4.2系统安全策略的配置通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任务等安全策略配置。4.3IIS安全策略的应用在配置Internet信息服务（IIS）时，不要使用默认的Web站点，删除默认的虚拟目录映射；建立新站点，并对主目录权限进行设置。一般情况下设置成站点管理员和Administrator两个用户可完全控制，其他用户可以读取文件。4.4审核日志策略的配置当Windows2000出现问题的时候，通过对系统日志的分析，可以了解故障发生前系统的运行情况，作为判断故障原因的根据。一般情况下需要对常用的用户登录日志，HTTP和FTP日志进行配置。4.4.1设置登录审核日志审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限，而失败事件则表明用户的尝试失败。4.4.2设置HTTP审核日志通过“Internet服务管理器”选择Web站点的属性，进行设置日志的属性，可根据需要修改日志的存放位置。4.4.3设置FTP审核日志设置方法同HTTP的设置基本一样。选择FTP站点，对其日志属性进行设置，然后修改日志的存放位置。4.5网页发布和下载的安全策略因为Web服务器上的网页，需要频繁进行修改。因此，要制定完善的维护策略，才能保证Web服务器的安全。有些管理员为方便起见，采用共享目录的方法进行网页的下载和发布，但共享目录方法很不安全。因此，在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行，选择对该FTP站点的访问权限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址，限定只有指定的计算机可以访问该FTP站点，并只能对站点目录进行读写操作。5结束语通过对Web安全威胁的讨论及具体Web安全的防护，本文希望为用户在安全上网或配置Web服务器安全过程中起到借鉴作用。摘要文章对Web的安全威胁进行分析，提出了Web安全防护措施，并基于Windows平台简述了一个Web安全防护策略的具体应用。关键词Web；网络安全；安全威胁；安全防护1引言随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。2Web的安全威胁来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，可将其分类为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。2.1对Web服务器的安全威胁对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑：2.1.1在Web服务器上的机密文件或重要数据（如存放用户名、口令的文件）放置在不安全区域，被入侵后很容易得到。2.1.2在Web数据库中，保存的有价值信息（如商业机密数据、用户信息等），如果数据库安全配置不当，很容易泄密。2.1.3Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据，甚至造成系统瘫痪。2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。2.2对Web客户机的安全威胁现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序，它可以完成一些动作，显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时，这些应用程序...