第一篇:Web安全之网页木马的检测与防御
Web安全之网页木马的检测与防御
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。在Web安全的攻击种类中,网页木马一直是一个不容忽视的问题。黑客把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行,从而获取用户的隐私信息。随着网页木马破坏性的增大,人们对网页木马的重视程度也在逐渐增加。网页木马简介
1.1网页木马的定义
网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码.类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击.网页木马一般通过HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”.目前,学术界对网页木马尚无一个明确的、统一的定义.Wiki 将它定义为一种用户不知情的下载,发生的场景可以是用户阅览邮件、访问网站页面以及点击一个欺诈性的弹出框时,等等,该定义属于字面解释,包括的内容比较宽泛,如利用社会工程学手段欺骗用户下载也属于其涵盖范围.此外,Wiki 还用Drive-by-Install 这一术语来表示下载并安装恶意程序的过程;Google 的Provos 等人将网页木马限定为客户端在访问页面时受到攻击并导致恶意可执行文件的自动下载、执行,该定义指出了“访问页面时受到攻击”和“自动下载、自动执行恶意可执行文件”两个关键点;UCSB 的Cova 等人进一步指出,网页木马是以一段JavaScript 代码作为攻击向量的一种客户端攻击方式,而实际上,还存在一些通过CSS 元素、VBScript 脚本发起攻击的网页木马。
综上所述,网页木马定义为:一种以JavaScript,VBScript,CSS 等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于Web 的客户端攻击。
1.2网页木马的攻击流程
网页木马采用一种被动攻击模式(即pull-based 模式):攻击者针对浏览器及插件的某个特定漏洞构造、部署好攻击页面之后,并不像发送垃圾邮件那样主动将内容推送给受害用户(即push-based 模式),而是被动地等待客户端发起的页面访问请求.其典型攻击流程如图1 所示:1.客户端访问攻击页面;2.服务器做出响应,将页面内容返回给客户端;3.页面被浏览器加载、渲染,页面中包含的攻击向量在浏览器中被执行并尝试进行漏洞利用;4,5.存在该漏洞的客户端被攻破,进而下载、安装、执行恶意程序。
从网页木马的攻击流程可以看出,网页木马是一种更加隐蔽、更加有效的向客户端传播恶意程序的手段:相比较蠕虫以主动扫描等方式来定位受害机并向其传播恶意程序,网页木马采用一种“守株待兔”的方式等待客户端主动对页面发出访问请求,这种被动式的攻击模式能够有效地对抗入侵检测、防火墙等系统的安全检查.1.3可能被网页木马利用的漏洞
1.利用URL格式漏洞
此类网页木马是利用URL格式漏洞来欺骗用户。构造一个看似JPG格式的文件诱惑用户下载,但事实上用户下载的却是一个EXE文件。此类攻击,具有相当的隐蔽性,利用URL欺骗的方法有很多种,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的Unicode编码等等。2.通过ActiveX控件制作网页木马。
通过 ActiveX 把普通的软件转化为可以在主页直接执行的软件的网页木马,此类网页木马对所有的系统和IE版本都有效,缺点是浏览网页木马时会弹出对话框,询问是否安装此插件。病毒作者通常是伪造微软、新浪、Google等知名公司的签名,伪装成它们的插件来迷惑用户。
3.利用WSH的缺陷
利用WSH修改注册表,使IE安全设置中“没有标记为安全的的activex控件和插件”的默认设置改为启用,然后再利用一些可以在本地运行EXE程序的网页代码来运行病毒。它的危害在于,可以利用IE的安全漏洞提升权限达到本地运行任意程序的后果。4.利用MIME漏洞制做的网页木马。
它利用了Microsoft Internet Explorer中MIME/BASE64处理的漏洞,MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网络邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:E-mail,Usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过 MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或 text/plain)。MIME在处理不正常的MIME类型时存在一个问题,攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执
行文件,通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。5.利用系统的图片处理漏洞
这是种只要浏览图片就可以传播的网页木马。这种木马是把一个EXE文件伪装成一个BMP或JPG图片文件,在网页中添加如 的代码来欺骗IE自动下载,然后利用网页中的Java Script脚本查找客户端的Internet临时文件夹,寻找下载的BMP格式文件,把它拷贝到TEMP目录.再利用脚本把找到的BMP文件用 DEBUG还原成EXE,并添加到注册表启动项中,达到随系统的目的。6.HTML文件木马
首先利用工具把EXE格式的文件转化成HTML文件的木马,这样.EXE文件看起来就变成了Htm文件,欺骗访问者访问假冒的Htm文件从而达到运行病毒的目的。它和BMP网页木马运用了同一个原理,也会利用JAVASCRIPT脚本和debug程序来转换回EXE文件 7.IFRAME溢出
IE IFRAME漏洞利用了MS05020中提到的IE溢出漏洞,IE在处理iframe标签的时候,会调用一个叫作SHDOCVW!CBaseBrowser2::SetFramName函数来进行unicode copy(wcscpy),在拷贝iframe的name时,没有进行边界检查,构造恶意的代码就会导致IE的溢出。
8.Microsoft Internet Explorer Javaprxy.DLL COM对象堆溢出漏洞
Microsoft Internet Explorer存在一个堆溢出漏洞。当一个恶意的网页实例化'javaprxy.dll' COM对象时,可能导致堆溢出,成功利用该漏洞能够在客户端上下载执行任意代码。网页木马的主要检测技术
在互联网中大规模进行页面检查,检测出被挂马页面,是网页木马防御的重要环节:一方面,可以通知被挂马网站的管理员及时清除页面中嵌入的恶意内容,从而改善互联网浏览环境;另一方面,有助于让防御方掌握网页挂马的范围、趋势以及捕获最新的网页木马样本.2.1监测基本思想
大规模网页挂马检测的基本思路为:使用爬虫爬取互联网页面,将爬取到的URL 输入到检测环境——客户端蜜罐中进行网页木马检测.客户端蜜罐(client honeypot)这一概念首先由国际蜜网项目组(The HoneynetProject)的Spitzner 针对网页木马这种被动式的客户端攻击而提出.在网页挂马检测时,客户端蜜罐根据URL 主动地向网站服务器发送页面访问请求,并通过一定的检测方法分析服务器返回的页面是否带有恶意内容.在互联网中大规模进行网页挂马检测有两个关键点: 1)提高爬虫爬取的覆盖率,这方面可以通过采用大规模的计算平台、设计均衡的并行爬取分配策略等来实现
2)在客户端蜜罐中实现高效、准确的网页木马检测方法。
2.2主要监测方法
• 基于反病毒引擎扫描的检测
基于反病毒引擎扫描是研究人员进行网页挂马检测时较早使用的方法,该方法主要基于规则或特征码匹配来检测页面中是否含有恶意内容.该方法的优点在于可以快速地对页面进行检测,但其缺点在于存在较高的漏报率:一方面,仅仅依赖一种纯静态的特征匹配无法对抗网页木马为了提高隐蔽性而普遍采用的混淆免杀机制,根据互联网安全技术北京市重点实验室在2008 年底作的统计发现,9 款国内外主流反病毒软件对在中国互联网上发现的网页木马样本最高仅达到36.7%的检测率;另一方面,研究人员通常仅对单页面进行扫描,而不进一步检测页面动态视图中的内嵌脚本/内嵌页面,从而无法有效检测出被挂马页面.• 基于行为特征的检测
基于行为特征的网页木马检测方法通常被用于高交互式客户端蜜罐中:即在检测环境中安装真实浏览器和一些带有漏洞的插件,驱动浏览器访问待检测页面,通过监测页面访问时注册表变化、文件系统变化、新建进程等行为特征来判定页面是否被挂马.为了便于感染后快速恢复以及防止恶意程序在本地网络中的传播,高交互式客户端蜜罐一般部署在虚拟机中并作一定的网络隔离.• 基于统计或机器学习的检测
由于网页木马经常对恶意脚本进行混淆来躲避基于特征码的检测,一种检测思路是按照页面的混淆程度来进行恶意性判断.文献提出了基于判断矩阵法的恶意脚本检测方法,但该方法仅对经过encode escape 函数混淆的恶意脚本有效.随着越来越多的大型网站为保障代码知识产权都对自己的脚本进行了一定的混淆或加密,因此,这类按照混淆程度进行恶意性判定的方法会带来较多的误报.• 基于漏洞模拟的检测
该类方法的典型代表是PHoneyC.PHoneyC 在低交互式客户端蜜罐环境中解析页面并用一个独立的脚本引擎执行提取出的脚本,通过在脚本引擎上下文中模拟出一些已知的漏洞插件,并结合运行时参数检查来检测恶意脚本.作为低交互式客户端蜜罐,PhoneyC 比高交互式客户端蜜罐更迅速、更容易加载(模拟)更多的漏洞模块甚至同一漏洞模块的不同版本.但是PhoneyC 也具有其自身局限性:由于采用一个独立的脚本引擎,脚本执行过程中常常由于缺少页面上下文环境或浏览器提供给脚本的一些API 而导致脚本执行失败、检测被迫停止.此外,PhoneyC 只能模拟已知的漏洞插件,无法检测利用零日漏洞的恶意脚本.在网页挂马检测中,低交互式客户端蜜罐中的基于反病毒引擎扫描、基于统计或机器学习、基于漏洞模拟等方法和高交互式客户端蜜罐中的基于行为特征的检测方法各有优缺点:低交互式客户端蜜罐的实现和配置灵活、便于扩展;高交互式客户端蜜罐主要根据行为特征进行检测,误报率相对较低,但时间代价和系统代价比较大.3 网页木马防御技术研究
网页木马都是利用漏洞来执行本不应该执行的代码,而这些代码都需要下载一个原生型木马到受害机执行,这个木马程序就是服务端。如果能拦截掉恶意代码的执行、木马的下载及木马的运行中的任意一步,就可有效地防御网页木马。拦截恶意代码的执行可以通过为系统及应用软件打补丁,封堵系统漏洞或通过杀毒软件来实现,但它们都存在一定的不可靠性。
下面是综合各种网页木马的攻击手段与攻击方式而提出的一些应对方法,能够从各个角度堵住网页木马的下载与运行。
3.1系统安全配置
及时给系统及应用软件打上补丁,让网页木马无漏洞可利用,可将中网页木马的几率降到最低。经常关注最新漏洞的一些信息,有助于及时防止漏洞被网页木马制作者利用;打开操作系统的自动更新功能,如果微软公司提供新的漏洞补丁可以及时自动下载并安装。
3.2浏览器安全配置
IE是占据市场份额最多的浏览器,它支持多种类型的网页文件,例如HTML,DHTML, ActiveX, Java, JavaScript, VBScript, CSS等格式的文件。而正是由于对这些格式文件的支持,使得IE经常由于各种漏洞的产生饱受攻击,如果我们确定不需要运行一些格式文件,我们可以在IE浏览器中“Internet选项一>安全一>自定义级别”页面里面设置相应的配置,对一些不必要的加载和设置进行取消,即提高浏览器安全级别。
上网浏览时我们经常会遇到提示是否安装第三方软件,这些第三方软件可以完成某些特殊的功能,如Google工具条、3721网络助手等,这些软件也可能隐含漏洞,可以在IE的工具一>Internet选项一>高级中取消/启用第三方浏览器扩展。
3.3使用第三方浏览器
由于目前互联网上常见的网页木马所使用的是针对IC浏览器及其ActiveX控件的漏洞,因此,使用Firefox/Opera等非工E内核的第三方浏览器可以从源头上堵住网页木马的攻击;不过第三方浏览器在页面兼容性上稍逊IE浏览器,而且一些特别的网页,如各种使用ActiveX密码登陆控件的网上银行不能使用第三方浏览器登陆,因此也需要综合考虑取舍。
3.4安装安全工具
安全工具软件包括防火墙、杀毒软件、HIPS(Host Intrusion Prevent System)以及其他一些专门用途的安全软件。这些工具从网络到主机,从RingO到Ring3,从防病毒到防流氓软件等不同的角度来保护计算机的安全。防火墙可以防止他人在未授权的情况下连结到本机上,杀毒软件扫描指定的文件和内存,通过与病毒库的比较查杀病毒,H工PS能监控计算机中程序的运行和对文件的访问以及对注册表的修改,并向你提出是否许可警示,如果你阻止了,它将无法进行运行或更改。
3.5禁用远程注册表服务
远程注册表服务Remote Registry Service可以使得远程用户修改或查看本地计算机的注册表信息。木马在利用各种手段诱使受害机下载木马到本地后还远远不够,还必须想办法让木马运行起来,但一般情况下远程客户是没有权限运行当前机子的文件的,而远程注册表服务则使得远程用户利用在注册表中添加开机启动信息而达到木马程序的自动加载,在受害机下次启动之后,攻击者便可以实施攻击。因此我们可以选择关闭远程注册表服务,这样即便攻击者成功实现了木马的挂载,但由于无法让木马运行起来,无法实施攻击,这样用户的安全就得到了保证。总的来说这个服务就是用来使远程机器可以管理本机的注册表(前提是有本地机器中有该权限的用户的用户名和密码),一旦该服务关闭,远程用户将不能访问本机的注册表,其他一些依赖这个服务的程序(或其他服务)也将受到影响,因此也有一定的负面作用。
3.6过滤指定网页
IE浏览器Internet选项提供了一个可以添加信任与不信任网站的站点,对安全性要求高的网络和设备可以采取白名单管理方式,把认为安全的网站添加到白名单列表中管理,其他的则完全不同意访问,这样用户浏览的网站只能浏览安全的网站,故而不可能中网页木马。如果安全性要求相对较低的情况下可以添加黑名单的管理方式,只把用户认为不安全或不能确信是否安全的网站添加到黑名单中,那浏览器在浏览过程中可以自动屏蔽这些网址,那也就切断了本机与网页木马联系,除去了中网页木马的可能性。
3.7卸载或升级WSH WSH是造成很多网页木马横行其道的原因,而且危害性非常大,如果卸载了WSH则可以控制很多网页木马的操作,但WSH的正面作用也非常大,如负责对实现网页动态交互功能的JavaScript等脚本语言的支持,如果完全卸载会使得一些原本需要的功能无法实现,因此升级到最新版本的WSH是最好的选择。最新版WSH在安全性上又有了新的改进。
3.8提高防马意识
用户对于来历不明的链接不要轻易点击,对于来历不明的程序不要轻易安装运行,对于来历不明的多媒体文件也不要轻易下载打开。经常持有对来历不明的文件的警惕性是非常必要的,可以避免很多有害代码的侵入。网页木马的发展趋势
• 网页木马的利用向“大众化”发展
网页木马的利用,近年来有着从“专业化”向“大众化”的发展趋势:早期,攻击页面的编写及网页挂马需要具备一定攻防技术基础的黑客才能完成;而现在,普通网民也可以随意构建并发布网页木马.这种变化趋势在于两方面原因:一是大量的网页木马自动构建工具的存在,如在著名黑客会议Black Hat 和DEF CON 上发布的drivesploit等,普通网民仅简单操作这些工具便可定制出针对特定漏洞的网页木马.另一方面,普通网民不需要掌握任何复杂的网页挂马手段,仅仅通过社交网站就可以大范围地推送恶意链接;加之Twitter、新浪微博等会对用户上传的URL 做短链接处理,这种恶意链接有很强的隐蔽性.随着网页木马的利用向“大众化”的发展,网页木马在互联网上的分布更加广泛.一个可能的研究方向是根据网页木马自动生成工具的指纹特征进行网页木马检测与防范.• 攻击向量载体向PDF,Flash 文档格式扩展
网页木马以 HTML 页面作为攻击向量载体,在浏览器加载、渲染HTML 页面时,利用浏览器及其插件的漏洞实现恶意程序的下载、执行.近年来,攻击者开始在PDF 和Flash 等文档中嵌入恶意脚本,利用PDF,Flash 阅读器的漏洞来下载、执行恶意程序.攻击向量的载体已经从HTML 页面扩展到PDF,Flash 等文档.通过PDF 文档进行客户端攻击,呈一种上升趋势[60].以PDF,Flash 为攻击向量载体进行的客户端攻击已经开始得到学术界的关注.虽然PDF 和Flash 在文档格式上与HTML 页面有所区别,但攻击手段本质上都是在文档中嵌入恶意脚本等攻击向量,利用浏览器/阅读器中的漏洞实现恶意程序的自动下载和执行.对于该类攻击的防御,可以借鉴网页木马防御中的一些思路,如Tzermias 等人借鉴PhoneyC 的思路检测恶意PDF 文档。
• 目标攻击平台向手机平台扩展
近年来,智能手机的市场份额在逐步扩大,技术也在不断发展.智能手机浏览环境的逐步发展给用户带来了越来越好的使用体验,但同时也将攻击者的攻击目标吸引到了手机平台.据统计,iPhone,Android 等主流手机平台均存在大量的安全漏洞,而浏览环境的安全漏洞又占据了其中的大部分.2007 年iPhone 首次发布后不久,便被攻击者通过Safari 浏览器上的漏洞攻破,而在2010 年3 月Pwn2Own 全球攻击者大赛上,两名欧洲黑客仅用20s的时间便通过Safari 浏览器成功攻破iPhone.只要用户用智能手机中特定版本的浏览器访问攻击者精心构造的页面,就可能触发恶意代码在智能手机平台上自动执行.目前,针对手机平台的网页木马虽然没有大规模爆发,但由于手机平台浏览环境中存在大量漏洞,针对手机平台的网页木马仍然是一种潜在的安全威胁,值得研究人员关注.5 总结
网页木马作为恶意程序传播的一种重要方式,能够在客户端访问页面的过程中高效、隐蔽地将恶意程序植入客户端,基于Web 的被动式攻击模式使网页木马能十分隐蔽并有效地感染大量客户端,通过内嵌链接构成的树状多页面结构以及灵活多变的隐蔽手段,使网页木马在结构和组成等方面与一些传统的恶意代码形态有所区别.安全研究人员基于对网页木马机理、特点等的把握,在挂马检测、特征分析、防范等方面提出了应对方法.围绕网页木马的攻防博弈仍在继续,网页木马在载体和攻击平台上的扩展也给研究人员带来了新的挑战与机遇.对于安全研究人员来说,与网页木马的对抗是一项任重而道远的工作.参考文献
[1] 张慧琳,诸葛建伟,宋程昱,邹维.基于网页动态视图的网页木马检测方法.清华大学学报(自然科学版),2009,49(S2):2126−2132.[2] 张慧琳,邹维,韩心慧.网页木马机理与防御技术.软件学报,2013,24(4):843−858.http://
第二篇:web总结之网页基础
1.简单的网页
夏天很热!
第三篇:新形势下的安全挑战web安全与网页挂马
新形势下的安全挑战: Web安全与网页挂马
Web安全系列(1)
随着信息化建设的不断深入,Web技术的日益成熟,Web应用平台已经在电子政务、电子商务等领域得到广泛的应用,以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术,将在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时,也带来了前所未有的巨大安全风险。
过去,网站的内容大多是静态的。网站管理员对合法网站上的内容进行管理,能够分辨出“可信”站点和“不可信”站点。但如今,Web 内容逐渐趋于动态化,最终用户持续不断的更新现有内容、共享应用程序,并通过多种渠道进行即时通讯。即使采用最佳的策略制定方法,某些不良内容或恶意软件也会随时弹出(甚至在可信站点也是如此),使公司的重要信息和网络暴露于极为危险的环境之下。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。根据世界知名的Web安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是注入漏洞和跨站脚本漏洞。
注入漏洞攻击。特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验,可直接执行数据库语句,导致网站存在安全风险通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截注入攻击。
跨站脚本漏洞攻击,是指目标网站对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意Web代码(通常是一些经过构造的javascript语句),劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截跨站点脚本(XSS)攻击。
从以往发生的安全事件来看,Web攻击可导致的后果极为严重,通过上述手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。如:盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号。控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料。非法转账。网站挂马。控制受害者机器向其他网站发起攻击„„
鉴于上述对Web常见攻击的分析,对Web及客户端的保护已经刻不容缓。联想网御的安全专家给出几点建议:
首先,解决Web服务器端安全问题。具体的解决办法可采取源代码审计与部署入侵防护系统相结合的方式,源代码审计是经过专业安全人员,对Web应用程序源代码进行安全性检查,对程序的输入输出函数进行安全测试,最大程度保障Web程序的自身代码安全;并通过部署入侵防护系统,针对跨站脚本、SQL注入、cookies注入、参数篡改等Web攻击方式进行主动防护。
其次,解决Web浏览客户端安全。主要是防范远程恶意代码执行漏洞,其原理是通过构造精心设计的格式错误数据,由攻击者触发系统漏洞,并在客户端软件中更改代码执行路径,来执行由攻击者随格式错误数据附带恶意代码或程序的利用过程。如果客户端浏览器中存在未修补的恶意代码执行漏洞或0day漏洞,当访问受恶意代码感染的站点时,该站点会自动在登录用户的浏览器中运行攻击者的恶意代码,并利用Web浏览器漏洞安装恶意病毒、木马程序,如密码窃取恶意软件等。这些恶意行为是利用了浏览器本身的系统后台漏洞执行,所有这一切根本无需任何用户交互操作。所以应尽量使用已采用常规堆栈保护措施版本的Web浏览器,来防止基于堆栈和基于堆的缓冲区溢出攻击。目前最新版本的Microsoft IE浏览器已经提供基于数据执行保护(DEP)或不执行(NX)的内存保护措施,Internet Explorer 8平台在Internet控制面板选项开启“启用内存保护帮助减少联机攻击”的选项就可以有效防止远程代码攻击;另外建议部署统一的内网管理系统,统一对关键应用程序和系统补丁进行时时监控和统一升级,保证客户端和内网安全。
再次,是解决对木马、病毒的防治。建议安装终端防病毒、防火墙软件并保持时时更新,开启入侵防护系统病毒木马防护策略,建立统一病毒防护体系,如在网络边界部署网络防毒墙,对关键服务器和客户端进行重点防护,并对其网络连接进行入侵检测监控,保证安全风险在一个可控的范围内。
联想网御针对当前Web安全形势,提出了一系列的安全解决方案。从多角度角度、全方位的安全评估和现状分析,了解系统面临的风险状况,通过安全评估、安全修复和部署相应产品相结合的方式,构建了最大程度保护Web系统应用安全的保障体系。毋庸置疑的是,信息安全是一个循序渐进的防御过程,需要的是全面而完善的体系建设。
第四篇:2009-2010-1网页与Web程序设计实验报告
武汉大学计算中心2007年5月
《网页与Web程序设计》实验报告
年级:2008级(必修)
学号:20080307703117姓名:郝嫚专业:金融管理与实务3班
一、实验题目
分析或参考给定的“网站设计实例”,设计一个自选题材的网站。
说明:
1.自行设计的网站可以只包含静态网页(.htm),也可以包含动态网页(.asp)。
2.站点至少要有三层结构,页面数5页左右;网页要有落款、版权说明。网站大小不要超过10MB。
3.在网站制作过程中或完成后,填写下面“
五、实验步骤”里的省略号部分。
二、实验目的和要求
通过以前各章的学习和实验,同学们已经了解和初步掌握一系列的网页与Web程序设计技术。本实验能使大家对网站设计的全过程,有一个更加完整的概念,熟练掌握网站设计工具“网页设计三剑客”。具体要求如下:
1.自选题材,主题内容要合法、健康、实用。网站主题突出、内容丰富。
2.自己动手独立完成网站设计。可以借鉴和模仿某个网站进行设计与制作,但不可以从网上下载网页直接上交。
3.站点应当设计合理,结构分明,管理有序,无多余文件和文件夹,大小合适。文件和文件夹存放位置要正确,首页文件名应该使用index.htm、index.asp、default.htm或default.asp。其他文件或文件名命名也要规范,不宜使用汉字或带有空格的名称。
4.网站风格统一,设计适合于主题的LOGO(徽标),或者标题图片及动画。各页面设计合理、美观,有创意。不要太花哨或太孩子气,不要只是各种元素的随意拼凑。图片和动画选用要适合主题,不要在网页中插入不相干的图片,图片保存格式和图片大小要合适。要适用于各种显示器的分辨率,不要太宽,否则在显示器分辨率较小时会出现水平滚动条。
5.各个页面之间的链接要合理有效,路径要正确(使用相对路径)。要合理使用css样式,不要在各个页面中重复定义相同的css样式;应该将css样式存放到css文件中,然后附加即链接到各页中。代码结构清晰,无垃圾代码。
三、实验方法
网站设计的一般过程或方法如下:
1.确定主题和收集资料
自行选定所要设计的网站主题和栏目,收集有关图文、数据等资料,经过分析,初步确定网站的基本功能、结构或三级目录。
2.规划网站和新建站点
在需求分析的基础上,画出网站的树型目录结构图,从网站根文件夹,子文件夹到文件名。首页文件名如index.htm,应该放在网站根文件夹里。根据Windows的“管理工具”中是否已安装IIS,用Dreamweaver 8,在C:Inetpubwwroot或者D:里,新建站点,即根文件夹,子文件夹或文件名。随时在U盘上做好备份。
3.制作素材和单个网页
用“网页设计三剑客”自行制作或者收集网站要使用的小图片、动画、音频或视频,制作单个网页文件及其链接,以及按需要建立数据库。按照规划,一一放在网站的相应子文件夹里。
4.制作首页和建立链接
制作首页,并且建立与下一级网页的链接(若受网站大小限制且超过5页,则可建立必要的空连接)。
5.调试运行
可以边设计边调试,也可以边调试边修改前面的设计。然后,正式运行和提交网站。
四、实验环境
微机 + Windows操作系统(含IIS)+ Fireworks 8 + Flash 8 + Dreamweaver 8 + Access。
五、实验步骤
请填写网站分析与设计的实验步骤。
(一)分析给定的“网站设计实例”
1.该网站的树型目录或站点结构图(如图1):
……
图1 实例网站的树型目录或站点结构
2.在该网站首页上“插入”大标题图片和动画文件的操作步骤:
……
3.在该网站设计中,运用了哪些样式设计技术如CSS等?举例说明:
……
4.在该网站设计中,下一级网页显示的目标(位置)一般设置为:……;数据库(.mdb)文件为:……。
5.在该网站设计中,较好地运用了如下网页与Web程序设计技术:
……
(二)设计自选题材网站的具体步骤
1.确定主题和收集资料
本网站的主题:我的美丽家乡——广水
栏目或三级目录:首页,魅力广水,广水高中,广水风光,今日广水和广水人
家。
2.规划网站和新建站点
网站的树型目录或站点结构图如图2:
首页
魅力广水 广水风光 广水高中 今日广水和广水人家
创建本地站点:
·启动Dreamweaver 8,选择“站点”菜单中的“管理站点”命令,打开“管理站点”对话框。
选择“新建”按钮,然后选择“站点”命令,打开“站点定义”对话框,将站点名称设为“Mysite”,单击下一步。
·根据提示填完有关步骤,最后单击“完成”按钮。
·单击“管理站点”对话框中的“完成”按钮,在打开“文件”面板上显示本地站点的目录结构。
·在站点根文件夹上单击右键,从弹出的快捷菜单中选择“新建文件夹”命令,将新建文件夹名称设置为“image”。
·采用同样的方法再建一个“vidao”文件夹。
3.制作素材和单个网页(举例说明典型的操作步骤)
(1)素材制作
1.图片:在网上收集一些网页背景图片,与主题有关的一些图片;将一些不是很合心意的图片在“fireworks”中进行修改,制作。
2.flash动画:在有关网页制作的网站中下载了一些有关的flash动画。由于网页设计容量的限制此处没有插入动画,实际步骤已知。
3.下载歌曲轻音乐红河谷作为其中风景网页的背景音乐。
4.下载有关的资料,图片„„
…
(2)网页制作
以魅力广水为例
打开Fireworks 8,在Fireworks 8中制做好背景图片并保存为JPG格式,关闭Fireworks 8。
打开Dreamweaver 8,单击“插入”—“图片”命令,选择此图片插入
(3)建立数据库
4.制作首页和建立链接(举例说明典型的操作步骤)
制作首页:
……1)新建页面,选择菜单命令“修改”—“页面属性”,在弹出的对话框中将网页的标题设置为“魅力广水”……
2)如果没有显示标尺,则选择菜单命令“查看”/“标尺”/“显示”,显示标尺。
3)选择菜单命令“查看”/“网格”/“显示网格”来显示网格,以便于
定位。
4)在插入工具栏中选择“布局”子工具栏,单击布局按钮,此时会打开
一个“从布局模式开始”,单击“确定”按钮进入布局模式。
5)单击“布局”插入工具栏上的“布局表格”按钮,然后将光标放在要绘制表格的区域,按住鼠标左键绘制一个布局表格。
6)在“布局”插入工具栏上的“布局表格”按钮,然后移动光标到第一
行网格的位置,绘制一个顶部单元格并选中该单元格,在打开的“属性”面板中设置“背景颜色”为白色,并以此方法绘制剩余的单元格。
7)选择“插入”/“图像”命令,插入图片,调整图片大小使得图片大
小恰好充满单元格。
8)在左侧单元格内输入文字,然后加上项目符号,并插入图片,然后
在属性面板中设置字体为黑体,背景设为绿色。
9)选定整个布局表格,将布局表格背景设为黑色。完成首页制作。
建立连接:
将所有的网页都做完了之后再建立链接。(下面以“魅力广水”为例)①选中“魅力广水”图片,打开“属性”面板,选择“链接”文本框右边的文件夹,选择文件夹中的“主页”网页,单击“确定”。
②在“目标”的下拉框中选择“鸣人的身世”
5.调试运行
调试和运行情况:
在运行的过程中,有某些图片,音乐无法正常显示和播放,有些是因为电脑的原因,而有些则是因为操作过程中出现的问题,经过不断修正,网页运行正常。
……
第五篇:通信网防御雷电安全保护检测管理办法
通信网防御雷电安全保护检测管理办法
各省、自治区、直辖市通信管理局,中国电信集团公司、中国网络通信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国铁通集团有限公司、中国卫星通信集团公司,各相关单位:
为了保证通信网路安全可靠地运行,根据《中华人民共和国安全生产法》、《中华人民共和国电信条例》,我部组织制定了《通信网防御雷电安全保护检测管理办法》,现予发布,2005年1月1日起实施,请认真贯彻执行。
附件:通信网防御雷电安全保护检测管理办法
中华人民共和国信息产业部
二○○四年十二月一日
通信网防御雷电安全保护检测管理办法
第一章 总 则
第一条
为保障通信网路安全可靠地运行,防止雷害事故造成人员伤亡和机房火灾,建立健全防雷减灾管理制度,根据《中华人民共和国安全生产法》、《中华人民共和国电信条例》有关规定,制定本办法。
第二条 电信运营商、通信设备集成商和从事通信防雷产品的生产制造商和经销商应当遵守本办法。
第三条 本办法适用于我国公用电信网的通信大楼、交换、接入网、传输、无线通信基站、IP网站、局域网、微波站、卫星地面站等通信局(站)的防雷电安全保护的管理。
第四条
通信网上的通信局站、机房必须按规定安装防雷电安全保护系统。防雷设计和施工应符合信息产业部相关标准规范的规定。通信网上安装的防雷系统经验收合格后可并网使用。第五条 在通信网上使用的防雷产品必须按国家和行业标准进行检验,检验合格的产品允许进网使用。电信运营商、通信设备集成商、设计施工部门应选用检验合格的防雷产品。
第六条 为保障通信网防雷性能的安全可靠,信息产业部对通信网上使用的防雷产品和防雷系统实行定期检测制度;进一步完善通信网上雷电灾害调查制度。
第二章 组织管理
第七条
电信运营商应遵照本办法,建立完善的雷电防御管理制度,各级电信运营商的主要领导对防雷安全负责。各级电信运营商应配合信息产业部和各地通信管理局组织的电信网防雷减灾调查。
第八条
各地通信管理局负有监管本地区通信网路防雷减灾和安全生产的职责。负责组织对电信网上使用的防雷系统和防雷产品定期进行抽样检测和雷害调查,并将结果上报信息产业部。
第九条 从事防雷产品和通信网上防雷系统检测的机构必须是国家认可的第三方检测机构。通过国家认监委和信息产业部组织的计量认证和审查认可。
第十条
信息产业部通信产品防雷性能品质监督检验中心作为通信防雷技术支持单位配合信息产业部做好防雷产品标准符合性审查,配合各通信管理局做好雷电灾害的调查和通信网上防雷产品的抽查管理。
第十一条 信息产业部负责组织管理和指导全国通信行业防雷减灾工作。对通过检测的通信防雷产品定期在网上公布。并组织对雷电灾害的调查和处理。
第三章 通信防雷产品的要求
第十二条 建筑物直击雷防护的产品应符合国家标准GB50057-2000《建筑物防雷设计规范》。
第十三条 通信网上所使用的各类防雷保护产品应符合YD/T5098—2001《通信局(站)雷电过电压保护工程设计规范》中对产品的技术要求。
第十四条 电源用各类雷电过电压保护产品应符合YD/T1235.1-2002《通信局(站)低压配点电系统电涌保护器的技术要求》规定。
第十五条 电源用各类雷电过电压保护产品应通过YD/T1235.2-2002《通信局(站)低压配点电系统电涌保护器的测试方法》的测试。
第十六条 通信局(站)选用的防雷产品应通过信息产业部审查认可的检测机构检测合格并在网上公布。
第十七条 通信防雷产品的生产制造商、经销商应保证通过检测产品的一致性和可靠性。
第四章 日常维护管理
第十八条 各级电信运营商在新建、扩建、改建的通信局(站)的防雷工程验收过程中应当严格把关,经验收合格后,防雷装置才能投入使用。
第十九条
各级电信运营商应建立防雷管理检查制度,对雷电灾害造成的事故要做好专门调查、统计、分析及鉴定工作,要有明确的记录(包括损坏通信设备清单、雷害事故分析、处理报告等)。对雷灾事故要逐级上报,不得瞒报谎报。
第二十条 遭受雷击事故或火灾的通信局(站),可委托信息产业部通信产品防雷性能品质监督检验中心对雷击事故做技术认定工作。
第二十一条 重大雷击事故,由信息产业部组织相关单位做好分析和调查工作。
第二十二条
维护人员应在每年雷雨季节之前对通信局(站)建筑物、构筑物、接地系统的接地电阻和其它设施安装的防雷装置进行一次全面检查,发现异常变化要立即查明原因,并及时采取措施。同时建立专门的防雷接地档案,保存建筑物防雷、接地线、接地网、接地电阻及防雷产品安装的原始记录及日常防雷检查记录。
第二十三条 通信局(站)内的电源用保护器的通流容量、安装位置、接地线径、接地线长短应符合标准要求,其SPD的保护模式应符合其供电方式。
第二十四条 电源用第一级SPD在每年雷雨季节前,应检测其各类性能和显示是否正常,开关电源内的模块应每年用混合波雷电电涌测试仪检测其性能,检查其老化程度。信号、数据用SPD应检查其接地线是否可靠连接。
第二十五条 通信局(站)要落实防雷接地日常维护工作。对于扩建、改建的通信局(站)需要检查新增设备是否连接。
第二十六条 当监控系统发现防雷装置损坏或异常时,要及时进行现场检查并更换,无监控系统时,应在雷雨后由维护人员进行人工巡检。
第二十七条 各级防雷维护人员应当定期接受相关的技术培训。
第五章 通信防雷产品的检测管理
第二十八条 信息产业部授权的通信防雷产品检验机构,负责对通信防雷产品进行检测工作。在完成检测工作后出具公正、有效的防雷产品检测报告。
第二十九条 防雷产品检测工作依据中华人民共和国国家标准和通信行业标准及信息产业部相关规定进行。
第三十条 经检验合格的防雷产品允许在通信系统内和通信网上使用。
第三十一条 通信防雷产品检验机构,应将检验合格的防雷产品检验报告上报信息产业部,统一在网上公布。
第六章 通信网防雷电安全保护的监督管理
第三十二条
各地通信管理局应当根据抽查实施细则组织对网上的通信防雷设备定期抽查,相关检测工作通信管理局应委托信息产业部授权的信息产业部通信防雷产品检验机构进行检测工作。
第三十三条 各通信管理局应定期将抽查结果上报信息产业部。
第三十四条 信息产业部负责定期向社会公布检测合格的防雷产品生产和经销单位。
第三十五条 生产和经销单位的通信防雷产品经检测合格后,应承诺其受检产品品质的稳定性和可靠性。
第三十六条 生产和经销单位有下列行为之一的,信息产业部将撤销对其产品检测合格的结论,并予以公布:
(一)伪造和涂改检测报告;
(二)冒用和转让检测报告;
(三)售出的通信防雷产品与检测合格的产品不一致。
第三十七条 生产和经销单位对检验中心出具的检测结论和检测收费有异议的,或者认为检验机构的工作人员有违规行为的,有权向信息产业部提出申诉或投诉。
第三十八条 电信运营商有下列行为之一的,信息产业部将予通报批评,并视情节轻重追究其相应的法律责任:
(一)隐瞒不报或谎报雷电灾害事故;
(二)未按标准规范要求在通信局(站)安装防雷装置;
(三)安装和选用未经检验合格的通信防雷产品;
(四)防雷工程不经验收投入使用;
(五)未执行本办法而造成重大后果。
第七章 附 则
第三十九条 本办法由信息产业部科技司负责解释。
第四十条 本办法自2005年1月1日起施行。