無庸置疑����,站點的安全性是一個相當重要的問題�。隨著企業信息化程度的不斷提高以及BtoB�����、ASP等電子商務模式的不斷深入人心����,越來越多的敏感數據被包含在企業內部網站和商業站點中�,一旦這些信息丟失���,后果將不堪設想��。時至今日�����,Web站點的安全性設置幾乎已經成為一個Web管理員最重要的日常工作��。
1)安全設置概述
站點的安全防范是一個綜合性的系統工程�����。世界上有矛就有盾��,我們不可能指望僅僅通過某一種技術使站點永遠保持安全�����。事實上����,一個有效的安全計劃要依賴于綜合利用諸多軟件設置甚至硬件防護才能產生較好的安全效果����。在這里�����,我們討論的安全設置僅依賴于Windows20和IS內部的安全性能�����。鑒于Windwos200強大的安全性能(符合C2安全級別)���,尤其是強大的用戶認證能力和獨有的NTFS安全分區�,IS網站的安全性完全可以得到非常有力的保障����?�;\統地說�,站點安全性工作將圍繞如下兩個任務進行:合法用戶身份的認證和站點文件的安張家口網站制作全保障�����。前者需要借助于Windows20的賬號系統和認證機制���;后者則要由IS和NTFS分區共同維護�。
2)Windows200用戶賬號和組
賬號是在Windows200網絡中區分用戶的惟一標識����,賬號與實際用戶是對應的��。在Windows200網絡環境中�����,為計算機用戶分配各自不相同的賬號�,通過對賬號指定訪問權限可以限制用戶對資源的訪問程度�。在安裝Windows20時���,系統自動生成管理員賬號Administrator����,管理員具有對計算機的全部屬性進行配制的能力��。當賬號數目隨著網絡用戶的增多而變得越來越多時�����,逐一給每一賬號設置資源訪問權限的工作量顯然是巨大的�。為了簡化權限分配的任務����,引入了組的概念�����。組是賬號的邏輯集合���,先建立一個組���,然后將一些賬號加入組中����,通過將資源訪問權限分配給組��,組中的賬號也就自動地繼承了這些權限�����,從而簡化了權限分配的工作量����。
3)NTFS權限設置
NTFS權限是NTFS分區文件格式特有的安全權限��,在通常的FAT分區上���,我們無法指定一個文件對于不同用戶的不同安全權限����。例如在Windows98中��,我們可以共享一個文件夾����,但是張家口哪有做網站僅能夠給出諸如“只讀口令”����、“完全訪問口令”之類的有限安全控制方式�,并不能給各個用戶賬號分別配制不同的權限�����;對于本地登錄的用戶����,甚至不能限制他的操作�。而隨著Microsoft在WindowsNT中首次引入了NTFS分區格式�����,再借助于NT(Windows200)的用戶賬號驗證能力���,就可以實現針對不同用戶的不同安全權限設置���。NTFS權限分為若干種��,對于NTFS分區上的目錄而言�����,可以給賬號或組指定如下幾種權限:
(1)完全控制 具有對文件夾的全部操作能力��。
(2)修改 能夠更改����、添加��、讀取文件��。
(3)讀取 僅能夠讀文件內容�。
(4)寫入 能夠向文件中添加內容�����。
(5)讀取及運行 同時包括(3)和(4)��。
(6)列出文件夾目錄 能夠查看文件夾內容��,但不能訪問��。
(7)禁止訪問 不具有任何權限�����。
NTFS權限針對不同的賬號設定其對資源的訪問程度����,一般地��,應把網站包含的網頁文件���、應用程序文件��、數據庫文件等資源存放在NTFS分區上��,然后指定其NTFS權限����。由于權限可以在任意文件夾甚至文件的級別上進行設置�����,所以存在子文件夾與父文件夾發生權限沖突的情況�����,這就要通過權限繼承設置進行調整����。
4)目錄和應用程序訪問權限設置
目錄和應用程序訪問權限是由IS維護的權限設置��,它與上面談到的NTFS權限互相獨立地運作����,共同限制用戶對站點資源的訪問���。目錄和應用程序訪問權限并不能對用戶身份進行識別���,所以它所作出的限制是一般性的����,對所有訪問者都起作用�����。目錄和應用程序訪問權限分別對網站中的目錄(包括實際目錄和虛擬目錄)以及應用程序文件進行權限限制��。前者針對非應用程序文件(包括網頁����、數據庫文件等)�,其權限類型具體為:讀取和寫入后者則針對使用腳本語言編寫的腳本程序文件和可執行應用程序文件��,其權限有:無權限���、純腳本����、腳本和可執行程序3種類型�。指定目錄和應用程序訪問權限的工作是在站點Web屬性表單的“主目錄”選項卡中進行的���。
|
