網(wǎng)絡(luò)工程師學(xué)習(xí)筆記(6)

　　6、WWW應(yīng)用安全技術(shù)

　　(1)解決WWW應(yīng)用安全的方案需要結(jié)合通用的internet安全技術(shù)和專門針對(duì)WWW的技術(shù)。前者主要是指防火墻技術(shù)，后者包括根據(jù)WWW技術(shù)的特點(diǎn)改進(jìn)HTTP協(xié)議或者利用代理服務(wù)器、插入件、中間件等技術(shù)來實(shí)現(xiàn)的安全技術(shù)。

　　(2)HTTP目前三個(gè)版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本，它只定義了最基本的簡(jiǎn)單請(qǐng)求和簡(jiǎn)單回答;HTTP1.0較完善，也是目前使用廣泛的一個(gè)版本;HTTP1.1增加了大量的報(bào)頭域，并對(duì)HTTP1.0中沒有嚴(yán)格定義的部分作了進(jìn)一步的說明。

　　(3)HTTP1.1提供了一個(gè)基于口令基本認(rèn)證方法，目前所有的WEB服務(wù)器都可以通過"基本身份認(rèn)證"支持訪問控制。在身份認(rèn)證上，針對(duì)基本認(rèn)證方法以明文傳輸口令這一最大弱點(diǎn)，補(bǔ)充了摘要認(rèn)證方法，不再傳遞口令明文，而是將口令經(jīng)過散列函數(shù)變換后傳遞它的摘要。

　　(4)針對(duì)HTTP協(xié)議的改進(jìn)還有安全HTTP協(xié)議SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎(chǔ)上，提供了數(shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)完整、防止否認(rèn)等能力。

　　(5)DEC-Web

　　WAND服務(wù)器是支持DCE的專用Web服務(wù)器，它可以和三種客戶進(jìn)行通信:第一是設(shè)置本地安全代理SLP的普通瀏覽器。第二種是支持SSL瀏覽器，這種瀏覽器向一個(gè)安全網(wǎng)關(guān)以SSL協(xié)議發(fā)送請(qǐng)求，SDG再將請(qǐng)求轉(zhuǎn)換成安全RPC調(diào)用發(fā)給WAND，收到結(jié)果后，將其轉(zhuǎn)換成SSL回答，發(fā)回到瀏覽器。第三種是完全沒有任何安全機(jī)制的普通瀏覽器，WANS也接受它直接的HTTP請(qǐng)求，但此時(shí)通信得不到任何保護(hù)。

　　六、安全服務(wù)與安全與機(jī)制

　　1、ISO7498-2從體系結(jié)構(gòu)的觀點(diǎn)描述了5種可選的安全服務(wù)、8項(xiàng)特定的安全機(jī)制以及5種普遍性的安全機(jī)制。

　　2、5種可選的安全服務(wù):鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性和防止否認(rèn)。

　　3、8種安全機(jī)制:加密機(jī)制、數(shù)據(jù)完整性機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、通信業(yè)務(wù)填充機(jī)制、路由控制機(jī)制、公證機(jī)制，它們可以在OSI參考模型的適當(dāng)層次上實(shí)施。

　　4、5種普遍性的安全機(jī)制:可信功能、安全標(biāo)號(hào)、事件檢測(cè)、安全審計(jì)跟蹤、安全恢復(fù)。

　　5、信息系統(tǒng)安全評(píng)估準(zhǔn)則

　　(1)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC:是由美國(guó)國(guó)家計(jì)算機(jī)安全中心于1983年制訂的，又稱桔皮書。

　　(2)信息技術(shù)安全評(píng)估準(zhǔn)則ITSEC:由歐洲四國(guó)于1989年聯(lián)合提出的，俗稱白皮書。

　　(3)通用安全評(píng)估準(zhǔn)則CC:由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所NIST和國(guó)家安全局NSA、歐洲四國(guó)以及加拿大等6國(guó)7方聯(lián)合提出的。

　　(4)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則:我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局于1999年發(fā)布的國(guó)家標(biāo)準(zhǔn)。