来源:安全中国
8.3.3 Web服务器的安全服务
Web站点的设计宗旨主要是满足使用的需要,使浏览者(客户机)和Web服务器之间建立尽可能多的连接和信息交流。用户的使用需要决定了Web服务器的规模和复杂的程度。因此应仔细考虑被Web服务器支持的应用功能,所有的硬件设备和软件组成都应在安全策略的考虑范围之内。使Web服务器与客户机的连接良好,保证传输信息的正确性。
Web电话、会议、文件传输、电子邮件、新闻、文本阅读和电子商贸等是一些非常流行的应用,大量用户都使用这些功能。操作中应确保信息完整地从一个Web站点流向浏览器,反之亦然,并且应当有能力确定正被改变的信息的完整程度。可以直接或间接地实现这一功能。表8-1列出了由受保护信息泄露后果的严重程度所决定的完整性级别情况。
除服务器提供完整性级别之外,服务器与浏览器之间的交流质量也很重要。
提供高质量的服务就是及时为不同目的提供不同的连接。而连接的速度是质量的关键所在,必须考虑以下原则。
实行并行访问,应有足够的带宽,以便及时为客户传输文档。
要能在5秒之内发送一个页面,若超过这个时间,用户就会对站点失去耐心。当然,对于音频和图像,需要更多的时间。
表8-1 信息完整性级别情况
|
完整性分析 |
建立验证的方法 |
质 量 状 况 |
|
特高级 |
运用加密方法并伴随使用包过滤技术 |
失去完整性的站点会影响机密性,对完整性要求很高而且必须得到保证,如果失去完整性的服务器不影响机密性,则服务器可以使用低级、中级或高级等级别 |
|
高 级 |
运用加密方法及有关认证方法 |
任务完成要求绝对精确,预计失去完整性的代价很高 |
|
中 级 |
运用认证方法 |
要求任务完成的准确程度高,预计失去完整性的代价不高 |
|
低 级 |
运用口令保护 |
预计失去完整性的代价低 |
|
非常低级 |
除了数据完整性以外,可以不需要安全性测试 |
对任务完成的准确程度没有特别要求,和用户间的交流小 |