WEB安全研究金丽君摘要：本文主要针对WEB安全问题越来越引起人们的重视这一现状，初步地介绍了国内外对WEB安全问题的研究现状，全面地介绍和分析了WEB服务和应用中存在的各种威胁，并探讨了WEB安全问题的防护对策，来提高计算机网络的安全性。关键词：WEB安全、安全威胁、安全防护Abstract：ThisarticlewillfocusWEBsecurityhasdrawnincreasingattentiontothissituation,theinitialintroductiontosecurityissuesathomeandabroadontheWEBResearch,acomprehensivedescriptionandanalysisoftheWEBservicesandapplicationsthatexistinavarietyofthreats,andtoexploretheWEBsecurityprotectionmeasures.一、引言1.1研究背景及目的随着网络时代的来临，人们在享受着网络带来的无尽的快乐的同时，也面临着越来越严重和复杂的网络安全威胁和难以规避的风险，网上信息的安全和保密是一个至关重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性，计算机网络的安全以及防范措施已迫在眉睫。网络安全评估技术是评价计算机网络安全的重要手段，现今在众多的安全技术中已经占据越来越重要的位置。通过风险评估，对系统进行细致而系统的分析，在系统分析的基础上对系统进行综合评价，最后通过评价结果来了解系统中潜在的危险和薄弱环节，并最终确定系统的安全状况，为以后的安全管理提供重要依据。随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。本课题是基于Web安全的这一现状，来对Web服务器安全进行研究，通过WEB安全扫描来减小网络漏洞对服务器造成的威胁。1.2WEB安全国内外研究现状目前和相当一段时间内，国内外关于Web安全的研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。安全协议的制定方面，已经提出了大量实用的安全协议，具有代表性的有：电子商务协议SET，IPSec协议，SSL/TLS协议，简单网络管理协议SNMP，PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。这些协议的安全性分析特别是电子商务协议，IPSec协议，TLS协议是当前协议研究中的热点。系统平台的安全方面主要研究安全操作系统、安全数据库等，以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置；还有就是针对黑客常用的攻击手段制定安全策略。网站程序的安全编程方面，主要研究规范化编程以及现有编程语言（ASP,ASP.NET,PHP,CGI,JSP等）的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面，目前在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有主要的发展方向和产品种类上，都包含了密码技术的应用，并且是非常基础性的应用。Web服务器的安全控制方面，主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置，如Apache的访问控制机制、安全模块，IIS的安全锁定等。1.3国内外对扫描系统的研究现状1.3.1国外研究现状在使用漏洞扫描技术来确保网络安全方面，国外的研究工作起步较早。历史上的第一个扫描器WarDialer，实现了自动扫描功能，并且以统一的格式记录扫描结果。这是扫描技术上取得的极大的发展，推动了网络安全性能的发展。1990年，美国国家标准局启动了针对当时的操作系统脆弱性问题进行研究的ResearchInSecuredOperatingSystems项目在美国伊利诺伊大学发表了关于软件漏洞的调查报告年。1992年，ChrisKlaus编写了一个扫描工具ISS(Internetsecurityscanner网络安全扫描器)，它是在因特网上进行安全评估扫描最早的工具之一。1993年，美国海军研究实验室收集了不同操作系统的安全缺陷，然后对每一缺陷按其来源、成因、发现时间和部分代码进行分类。1995年，在DanFarmer和Wie