『壹』 如何在網站找數據
1、伺服器日誌
隨著網站應用的不斷擴張,網站日誌不再局限於點擊流的日誌數據,如果你的網站提供上傳下載、視頻音樂、網頁游戲等服務,那麼很明顯,你的網站伺服器產生的絕不僅有用戶瀏覽點擊網頁的日誌,也不只有標準的apache日誌格式日誌,更多的W3C、JSON或自定義格式的輸出日誌也給網站分析提供了新的方向。
網站分析不再局限於網頁瀏覽的PV、UV,轉化流失等,基於事件(Events)的分析將會越來越普遍,將會更多的關注用戶在接受網站服務的整個流程的情況:上傳下載是否完成,速度如何;用戶是否觀看的整部視頻,視頻的載入情況;及用戶在玩網頁游戲時的操作和體驗分析等。
2、網站分析工具
當然,通過網站分析工具獲得數據是一個最為簡便快捷的方式,從原先的基於網站日誌的AWStats、webalizer,到目前非常流行的基於JS Tags的Google Analytics、99click的SiteFlow,及JS和網站日誌通吃的WebTrends。通過網站分析工具獲得的數據一般都已經經過特殊計算,較為規范,如PV、UV、Exit Rate、Bounce Rate等,再配上一些趨勢圖或比例圖,通過細分、排序等方法讓結果更為直觀。
但通過網站分析工具得到數據也不遠只這些,上面的這些數據也一樣可以通過統計網站日誌獲得,但網站分析工具的優勢在於其能通過一些嵌入頁面的JS代碼獲得一些有趣的結果。
3、資料庫數據
對於一般的網站來說,存放於資料庫中的數據可以大致分為3個部分:
1、網站用戶信息,一般提供注冊服務的網站都會將用戶的注冊賬號和填寫的基本信息存放在資料庫裡面;
2、網站應用或產品數據,就像電子商務的商品詳細信息或者博客的文章信息,如商品信息會包含商品名稱、庫存數量、價格、特徵描述等;
『貳』 高手進入~~~!!!!急事!
linux操作系統近幾年有了蓬勃的發展,在整個世界范圍內得到了越來越多公司和團體的支持,尤其是最近IBM公司的鼎力支持,更是使Linux伺服器如虎添翼,更上一層樓。而在國內,Linux的應用也是方興未艾,眾多公司已經投入到Linux系統的研發和推廣工作中。一些優秀的Linux操作系統相繼出現,比如紅旗Linux等。但是我國的Linux應用水平還很低,熟悉Linux的人員嚴重缺乏,Linux專業人才的缺乏已成為Linux在國內應用和普及的瓶頸問題。據《開放系統世界》2003年第八期介紹,中國五年內Linux人才需求量將會超過120萬。而「1+1+1」工程的實施,也是間接地告訴我們這個問題的嚴重性。如此大好時機,我們干嗎還愣著不動呢!如果你是一位Linux愛好者,你可能已經掌握了基本的Linux的知識與操作,毫無疑問,你並不會去滿足這樣小小的成就。Linux為何如此的流行?其最大的特點莫過於功能強大,性能穩定的伺服器應用了。像WWW,MAIL,FTP,DNS和SMB等。在這篇文章中,我將以Redhat Linux 9為藍本,從Web伺服器的一些最基本的操作入手,從初學者使用的態度,讓讀者正確充分的認識Apache。好,現在就讓我們一起踏上征服Apache的自由之路吧。
第一站 Apache的歷史與前景
1995年,美國國家計算機安全協會(NCSA)的開發者創建了NCSZ全球網路服務軟體,其最大的特點是HTTP精靈程序,它比當時的CERN伺服器更容易由源碼來配置和創建,又由於當時其他伺服器軟體的缺乏,他很快流行起來。但是後來,該伺服器的核心開發人員幾乎都離開了NCSA,一些使用者們自己成立了一個組織來管理他們編寫的補丁,於是Apache Group應運而生。他們把該伺服器軟體稱為Apache。Apache源於A patchy server的讀音,意思是充滿補丁的伺服器。如今Apache慢慢地已經成為Internet上最流行的Web伺服器軟體了。在所有的Web伺服器軟體中,Apache占據絕對優勢,遠遠領先排名第二的Microsoft IIS。如果你對它感興趣,你可槐宏粗以訪問Apache的官方網站:http://www.apache.org。Apache作為自由軟體之一,像其他自由軟體一樣,他們都是由許許多多的自由開發人員投入了大量的時間和精力來實現並逐步完善的,所以我們有理由相信Apache的發展前景會更好。
第二站 Apache 2.0的安裝
Apache 2.0的配置與安裝和Apache 1.3的有很大的不同,他像其它的開源軟體一樣,使用libtool和autoconf來配置環境。但不管是Apache幾通常都有兩種安裝方式:源代碼安裝和RPM包安裝。這兩種安裝類型各有特色,RPM包安裝不需要編譯,而源代碼安裝則需要先配置編譯再鉛鎮安裝,RPM包安裝在一個固定的位置下,選擇固定的模塊,而源代碼安裝則可以讓你選擇安裝路徑,選擇你想要的模塊。下面分別以實例的形式來介紹兩種類型的安裝方法。
一,使用源代碼安裝絕握
(1) 獲得源代碼
# lynx http://www.apache.org/dist/httpd/httpd-2_0_NN.tar.gz
NN表示當前所用的版本號。
(2) 解壓縮
# gzip -d httpd-2_0_NN.tar.gz
# tar xvf httpd-2_0_NN.tar
(3) 配置.
# ./configure --prefix= /usr/local/apache
表示Apache將安裝在/usr/local/apache目錄下
(4) 編譯與安裝
# make
# make install
(5) 測試
# /usr/local/apache/bin/apachectl start
二,使用RPM包安裝
# rpm —ivh apache-*.rpm
完成安裝後,配置文件在/etc/httpd/conf/目錄下,文件根目錄為/var/www/html,工具文件在/etc/rc.d/init.d/目錄下,日誌文件在/var/log/httpd/目錄下。
第三站 Apache 2.0的配置
Apache 2.0的主配置文件為httpd.conf。如果以上述源代碼安裝則配置文件保存在/usr/local/apache/conf/目錄下,若以RPM包方式安裝則配置文件保存在/etc/httpd/conf/目錄下。我們可以直接修改httpd.conf文件也可以用redhat linux 9自帶的圖形化工具來配置。打開啟動程序->系統設置->伺服器設置->HTTP伺服器,可以進行相關。主界面如圖:
下面我們來看一下httpd.conf中的幾條指令,「#」後加入了注釋說明。
Port 80 #定義了web伺服器的偵聽埠,默認值為80,它是TCP網路埠之一。若寫入多個埠,以最後一個為准。
User apache #一般情況下,以nobody用戶和nobody組來運行web伺服器,因為web
Group apache # 伺服器發出的所有的進程都是以root用戶身份運行的,存在安全風險。
ServerAdmin root@localhost #指定伺服器管理員的E-mail地址。伺服器自動將錯誤報告到該地址。
ServerRoot /etc/httpd #伺服器的根目錄,一般情況下,所有的配置文件在該目錄下
ServerName new.host.name:80 #web客戶搜索的主機名稱
KeepAliveTimeout 15 #規定了連續請求之間等待15秒,若超過,則重新建立一條新的TCP連接
MaxKeepAliveRequests 100 #永久連接的HTTP請求數
MaxClients 150 #同一時間連接到伺服器上的客戶機總數
ErrorLog logs/error_log #用來指定錯誤日誌文件的名稱和路徑
PidFile run/httpd.pid #用來存放httpd進程號,以方便停止伺服器。
Timeout 300 #設置請求超時時間,若網速較慢則應把值設大。
DocumentRoot /var/www/html #用來存放網頁文件
第四站 Apache的管理
(1) 啟動和停止Apache
/etc/rc.d/init.d/httpd start
/etc/rc.d/init.d/httpd stop
(2) Apache的日誌文件
有人說判定一個管理員是否優秀之一就是看他是否是一個分析日誌的能手,因為從日誌文件中獲取的反饋信息對管理員來說是相當重要的。Apache的日至文件主要包括訪問日誌和錯誤日誌。訪問日誌記錄了該伺服器所有的請求的過程,主要記錄的是客戶的信息,通過它我們可以知道什麼人訪問了該網站,什麼時候訪問的,訪問的內容是什麼等等。錯誤日誌則是記錄了伺服器出錯的細節和如何處理等。日誌文件的位置是由上述主配置文件httpd.conf來規定的。Redhat中有一個查看日誌的工具——系統日誌。其主界面如下
下面各舉一個例子來說明他的格式:
錯誤日誌的寫法:
[Mon sep 22 14:32:52 2003] [error] [client 127.0.0.1] client denied by server configuration: /export/home/live/ap/htdocs/test
[Mon sep 22 14:32:52 2003] 錯誤發生的時間。
[error] 表示錯誤的級別。有debug,info,notice,warn,error,crit,alert,emerg,這些級別由低到高表示了錯誤的嚴重性。
[client 127.0.0.1] 表示客戶端IP地址。
client denied by server configuration: /export/home/live/ap/htdocs/test 標是錯誤的具體信息。
訪問日誌的寫法:
127.0.0.1 - wangdong [22/sep/2003:13:55:36 -0800] "GET /apache_pb.gif HTTP/1.0" 200 2326
127.0.0.1 表示訪問這台伺服器的客戶端IP地址。
Wangdong 表示用戶的登錄名。
[22/sep/2003:13:55:36 -0800] 伺服器完成客戶端請求的時間,格式為[日/月/年:小時:分鍾:秒 時區]
"GET /apache_pb.gif HTTP/1.0" 表示客戶端訪問該資源所使用的方法。
200 記錄的是伺服器返回給客戶的狀態碼。200表示成功,以4打頭的表示訪問出錯。
2326 表示發給客戶端的總位元組數。若是「—」表示沒有找到訪問資源。
但在實際應用中,對於大型網站,日誌文件往往增長的很快,不利於我們查詢,降低伺服器的效率,而且佔用大量的磁碟空間,所以我們必須對日誌進行定期的維護。
既然日誌文件很大,那麼我們如何把一大堆枯燥的數據整理成容易讓我們看懂的形式呢?有沒有這樣的工具呢?非常幸運,在redhat linux 9中自帶了一個分析日誌的工具——webalizer,如圖:
我們也可以在網上找到大量這樣優秀的免費的工具,例如:WebTrends Analysis Series。
第五站 配置虛擬主機
虛擬主機是在一台www伺服器上為多個單獨的域名提供www服務,每個域名具有自己的目錄和配置,相當於將一台主機分為多台主機,虛擬主機技術對於主機數量不足,但又想為不同的用戶提供獨立的Web服務的需求非常有效。而對於一個公司,利用價格昂貴的伺服器只提供一種域名服務,似乎是不明智的,而現在越來越多的公司喜歡在一台伺服器上使用多個域名服務,架設不同的網站,這樣做的好處是顯而易見。
Apache有兩種方式支持虛擬主機,一種是基於IP的虛擬主機,另一種是基於名字的虛擬主機。基於名字的虛擬主機使用相同的IP地址來配置不同的虛擬主機,這就彌補了因IP地址不足而帶來的問題。基於名字的虛擬主機的配置相當簡單,你只需配置你得DNS伺服器使每個主機名對應正確的IP地址,然後再配置Apache HTTP Server使它能認識不同的主機名就可以了。
假設我們組建了一家多媒體製作公司,有一台Apache伺服器和一個IP地址:192.168.0.1 要運行兩種業務,一種為電子商務網站,域名為www.business.media.com ,另一種為教學網站,域名為www.teaching.media.com 。先在DNS伺服器中把域名www.business.media.com和www.teachin....conf就可以了。
NameVirtualHost 192.168.0.1
ServerName www.business.media.com
DocumentRoot /var/www/html/business
ServerName www.teaching.media.com
DocumentRoot /var/www/html/teaching
而基於IP的虛擬主機則要求使用不同的IP地址來區別不同的虛擬主機,這就要求使用多塊網卡,把不同的IP地址捆綁到不同的網卡上,或者在一塊網卡上捆綁多個IP地址。假設我們主機的IP地址為192.168.0.1(www.media.com),另外有兩個IP地址別?..nf/httpd.conf。[/url]
ServerAdmin webmaster@ business.media.com
DocumentRoot /var/www/html/business
ServerName www.business.media.com
ErrorLog /var/www/html/business/logs/error_log
TransferLog /var/www/html/business/logs/access_log
ServerAdmin [email protected]
DocumentRoot /var/www/html/teaching
ServerName www.teaching.media.com
ErrorLog /var/www/html/teaching/logs/error_log
TransferLog /var/www/html/teaching/logs/access_log
第六站配置Apache代理
代理伺服器是網路信息服務的中轉站。如果我們把Apache代理伺服器形象地比喻成代理商的話,消費者向代理商購買東西時,如果代理商有的話,可直接賣給消費者,若沒有,則代理商向廠家進貨,再賣給消費者。這樣做有以下幾點好處:(1)提高了訪問速度。(2)充當防火牆,增加了安全性。(3)可以過濾一些不良網站。(4)具有緩存功能。(5)節省IP開銷。代理伺服器可分為兩種類型:客戶端代理和伺服器端代理。下面我們在講解幾個指令後舉例說明各自的配置方法。
ProxyRequest On/Off #啟用或者禁用Apache代理服務。
CacheRoot "/etc/httpd/proxy" #代理緩存的根目錄。
CacheSize 5 #代理緩存的大小。
CacheGcInterval 4 #設定運行管理緩存的無用數據搜集程序的時間間隔
CacheMaxExpire 24 #文件過期時間。
CacheDefaultExpire 1 #指定未包含過期信息文件的有效期。
NoCache a-domain.com another-domain.e #該網站的文件將不被緩存。
l 客戶端代理的配置
(1) 修改/etc/httpd/conf/httpd.conf中的相關指令
(2) 修改/etc/httpd/conf/httpd.conf,添加對代理目錄的訪問控制。
Order deny,allow
Deny from all
Allow from .your-domain.com
(3) 重啟httpd。
l 伺服器端代理的配置
伺服器端代理與客戶端代理不同,它是在防火牆上安裝Apache伺服器,使用它提供對WWW伺服器的代理訪問。這種方法把WWW伺服器與外部隔開,提高了安全性,而對用戶來說,好像沒有變化一樣。假設在內部區域網中WWW伺服器的IP地址為192.168.0.2,防火牆主機內部IP地址為192.168.0.5,外部IP地址為192.9.202.1。
(一) 配置防火牆上的Apache
(1) 在/etc/httpd/conf/httpd.conf中添加虛擬主機。
ServerAdmin [email protected]
DocumentRoot /www/docs/business.media.com
ServerName www.business.media.com
ErrorLog logs/business.media.com-error_log
CustomLog logs/business.media.com-log_common
(2) 配置區域網中的DNS伺服器,把www.business.media.com指向192.9.201.1。
(二) 配置區域網內部WWW伺服器
在Linux環境下,有一個非常流行的代理伺服器軟體——Squid。他的功能非常的強大,支持HTTP,FTP,Gopher,SSL,和WAIS等協議的代理,而且設置簡單,只需再配置文件中稍稍改動就可以了。
好了,WWW伺服器配置這條路總算走完了,筆者希望讀過此文章的人能夠有所收獲,最後,希望在學習Linux這條充滿樂趣而又布滿荊棘的路上的愛好者們,永不言敗,成為真正的高手。
在給你一個教程
http://www.eshuba.com/soft/848.htm
Linux各種流行網路伺服器的配置與管理教程2.0
http://www.soft169.com/downinfo/7052.html
Linux伺服器全部技術攻略
http://www.tototo.com.cn/news/linuxpei/linuxpei.html
『叄』 統計網如何統計網站訪問量
首先要確定你的網站是商業性的、宣傳性的、公益性的、還是個人的。
1)商業性:你的網站是從事網路營銷(網店、電子商務)、或是推廣性網站(侵略式宣傳)。建議找個商用的(付費的),畢竟功能更加專業,至少不用你在無數的IP連接中再去二次統計了。建議幾個,僅供參考:wysistat,webtrends,xiti
2)宣傳性:只是通過網路宣傳本公司。如:某些科研院所、通過傳統渠道經營的企業、行政事業單位等等。建議一般的免費統計,如:CNZZ、51.la、51yes等等。
3)公益性:以宣傳某個公益性事業為目的的網站。如:某個公益性基金網站、某個行業協會網站等等。建議幾個,僅供參考:wysistat,webtrends,xiti
4)個人的:自己的博客、自己的網站等等,只是閑來看看都是誰瀏覽了自己的網站內容。建議一般的免費統計,如:CNZZ、51.la、51yes等等。
免費的統計和付費的統計最主要的區別就在於:免費的只在統計,而付費的還有分析。從專業的角度看,付費的統計分析是具有服務性的,還可能是具有量身定做性。參考資料:www.wysistat.asia/index.php?wysistatpr=ads_
『肆』 網路與信息安全、信息安全有什麼區別呢
什麼是信息安全
信息安全是指信息網路的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
信息安全的實現目標
◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。
◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
◆ 完整性:保證數據的一致性,防止數據被非法用戶篡改。
◆ 可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
◆ 不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。
◆ 可控制性:對信息的傳播及內容具有控制能力。
◆ 可審查性:對出現的網路安全問題提供調查的依據和手段
主要的信息安全威脅
◆ 竊取:非法用戶通過數據竊聽的手段獲得敏感信息。
◆ 截取:非法用戶首先獲得信息,再將此信息發送給真實接收者。
◆ 偽造:將偽造的信息發送給接收者。
◆ 篡改:非法用戶對合法用戶之間的通訊信息進行修改,再發送給接收者。
◆ 拒絕服務攻擊:攻擊服務系統,造成系統癱瘓,阻止合法用戶獲得服務。
◆ 行為否認:合法用戶否認已經發生的行為。
◆ 非授權訪問:未經系統授權而使用網路或計算機資源。
◆ 傳播病毒:通過網路傳播計算機病毒,其破壞性非常高,而且用戶很難防範。
信息安全威脅的主要來源
◆ 自然災害、意外事故;
◆ 計算機犯罪;
◆ 人為錯誤,比如使用不當,安全意識差等;
◆ "黑客" 行為;
◆ 內部泄密;
◆ 外部泄密;
◆ 信息丟失;
◆ 電子諜報,比如信息流量分析、信息竊取等;
◆ 信息戰;
◆ 網路協議自身缺陷缺陷,例如TCP/IP協議的安全問題等等。
信息安全策略
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育:
◆ 先進的信息安全技術是網路安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術,形成一個全方位的安全系統;
◆ 嚴格的安全管理。各計算機網路使用機構,企業和單位應建立相應的網路安全管理辦法,加強內部管理,建立合適的網路安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網路安全意識;
◆ 制訂嚴格的法律、法規。計算機網路是一種新生事物。它的許多行為無法可依,無章可循,導致網路上計算機犯罪處於無序狀態。面對日趨嚴重的網路上犯罪,必須建立與網路安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
信息安全涉及的主要問題
◆ 網路攻擊與攻擊檢測、防範問題
◆ 安全漏洞與安全對策問題
◆ 信息安全保密問題
◆ 系統內部安全防範問題
◆ 防病毒問題
◆ 數據備份與恢復問題、災難恢復問題
信息安全技術簡介
目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
◆ 防火牆:防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,應用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連接。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
◆ 安全路由器:由於WAN連接需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
◆ 虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網路上,通過採用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
◆ 安全伺服器:安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網資源的管理和控制,對區域網內用戶的管理,以及區域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎結構的核心部件。
◆ 用戶認證產品:由於IC卡技術的日益成熟和完善,IC卡被更為廣泛地用於用戶認證產品中,用來存儲用戶的個人私鑰,並與其它技術如動態口令相結合,對用戶身份進行有效的識別。同時,還可利用IC卡上的個人私鑰與數字簽名技術結合,實現數字簽名機制。隨著模式識別技術的發展,諸如指紋、視網膜、臉部特徵等高級的身份識別技術也將投入應用,並與數字簽名等現有技術結合,必將使得對於用戶身份的認證和識別更趨完善。
◆ 安全管理中心:由於網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
◆ 入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
◆ 安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全操作系統:給系統中的關鍵伺服器提供安全運行平台,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網路安全產品的堅實底座,確保這些安全產品的自身安全。
參考資料:http://www.csu.com.cn/safemate/renshi.htm
http://ke..com/view/17249.htm
通過以上你搞懂了信息安全,接下來告訴你網路與信心安全,它是個學科的專業,我的一個朋友的專業就是網路與信息安全,(你區別以下就行了 )我估計網路與信息安全是信息安全的一個分支。
網路信息安全的關鍵技術(轉)
---- 近幾年來,Internet技術日趨成熟,已經開始了從以提供和保證網路聯通性為主要目標的第一代Internet技術向以提供網路數據信息服務為特徵的第二代Internet技術的過渡。與此同時,數以萬計的商業公司、政府機構在多年的猶豫、觀望之後,意識到採用Internet技術並使企業數據通信網路成為Internet的延伸已成為發展趨勢。這使得企業數據網路正迅速地從以封閉型的專線、專網為特徵的第二代技術轉向以Internet互聯技術為基礎的第三代企業信息網路。所有這些,都促使了計算機網路互聯技術迅速的大規模使用。
----眾所周知,作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機連網,拓寬了共享資源。但是,由於在早期網路協議設計上對安全問題的忽視,以及在使用和管理上的無政府狀態,逐漸使Internet自身的安全受到嚴重威脅,與它有關的安全事故屢有發生。對網路安全的威脅主要表現在:非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網路傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。
防火牆
----「防火牆」是近年發展起來的一種重要安全技術,其特徵是通過在網路邊界上建立相應的網路通信監控系統,達到保障網路安全的目的。防火牆型安全保障技術假設被保護網路具有明確定義的邊界和服務,並且網路安全的威脅僅來自外部網路,進而通過監測、限制、更改跨越「火牆」的數據流,通過盡可能地對外部網路屏蔽有關被保護網路的信息、結構,實現對網路的安全保護。
----「防火牆」技術是通過對網路作拓撲結構和服務類型上的隔離來加強網路安全的一種手段。它所保護的對象是網路中有明確閉合邊界的一個網塊。它的防範對象是來自被保護網塊外部的對網路安全的威脅。所謂「防火牆」則是綜合採用適當技術在被保護網路周邊建立的分隔被保護網路與外部網路的系統。可見,防火牆技術最適合於在企業專網中使用,特別是在企業專網與公共網路互連時使用。
----建立「防火牆」是在對網路的服務功能和拓撲結構仔細分析的基礎上,在被保護網路周邊通過專用軟體、硬體及管理措施的綜合,對跨越網路邊界和信息提供監測、控制甚至修改的手段。實現防火牆所用的主要技術有數據包過濾、應用網關(Application Gateway)和代理伺服器(Proxy Server)等。在此基礎上合理的網路拓撲結構及有關技術(在位置和配置上)的適度使用也是保證防火牆有效使用的重要因素。
加密型網路安全技術
----通常網路系統安全保障的實現方法可以分為兩大類:以防火牆技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網路安全保障系統。
----以數據加密和用戶確認為基礎的開放型安全保障技術是普遍適用的,是對網路服務影響較小的一種途徑,並可望成為網路安全問題的最終的一體化解決途徑。這一類技術的特徵是利用現代的數據加密技術來保護網路系統中包括用戶數據在內的所有數據流。只有指定的用戶或網路設備才能夠解譯加密數據,從而在不對網路環境作特殊要求的前提下從根本上解決網路安全的兩大要求(網路服務的可用性和信息的完整性)。這類技術一般不需要特殊的網路拓撲結構的支持,因而實施代價主要體現在軟體的開發和系統運行維護等方面。這類方法在數據傳輸過程中不對所經過的網路路徑的安全程度作要求(因而不會受之影響),從而真正實現網路通信過程的端到端的安全保障。目前已經有了相當數量的以不同方法實施的這一類安全保障系統。但是由於大部分數據加密演算法源於美國,並且受到美國出口管製法的限制而無法在以國際化為特徵的 Internet網路上大規模使用,因而目前以這一途徑實現的系統大多局限在應用軟體層次。在網路層次上應用和實現的網路一般相對規模較小,限制了以此作為基礎的全面的網路安全解決方案的產生。但預計在未來3~5年內,這一類型的網路安全保障系統有希望成為網路安全的主要實現方式。
----1. 分類
----數據加密技術可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。
----對稱型加密使用單個密鑰對數據進行加密或解密,其特點是計算量小、加密效率高。但是此類演算法在分布式系統上使用較為困難,主要是密鑰管理困難,使用成本較高,保安性能也不易保證。這類演算法的代表是在計算機專網系統中廣泛使用的DES(Digital Encryption Standard)演算法。
----不對稱型加密演算法也稱公用密鑰演算法,其特點是有二個密鑰(即公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過程。由於不對稱演算法擁有兩個密鑰,它特別適用於分布式系統中的數據加密,在Internet中得到了廣泛應用。其中公用密鑰在網上公布,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的收信方妥善保管。
----不對稱加密的另一用法稱為「數字簽名(Digital signature)」,即數據源使用其密鑰對數據的校驗和(Check Sum)或其他與數據內容有關的變數進行加密,而數據接收方則用相應的公用密鑰解讀「數字簽名」,並將解讀結果用於對數據完整性的檢驗。在網路系統中得到應用的不對稱加密演算法有RSA演算法和美國國家標准局提出的DSA演算法(Digital Signature Algorithm)。不對稱加密法在分布式系統中應用時需注意的問題是如何管理和確認公用密鑰的合法性。
----不可逆加密演算法的特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密演算法才能得到相同的加密數據。不可逆加密演算法不存在密鑰保管和分發問題,適合在分布式網路系統上使用,但是其加密計算工作量相當可觀,所以通常用於數據量有限的情形下的加密,如計算機系統中的口令就是利用不可逆演算法加密的。近來隨著計算機系統性能的不斷改善,不可逆加密的應用逐漸增加。在計算機網路中應用較多的有RSA公司發明的MD5演算法和由美國國家標准局建議的可靠不可逆加密標准(SHS:Secure Hash Standard)。
----2. 應用
----加密技術用在網路安全方面通常有兩種形式,即面向網路或面向應用服務。
----前者通常工作在網路層或傳輸層,使用經過加密的數據包傳送、認證網路路由及其他網路協議所需的信息,從而保證網路的連通性和可用性不受損害。在網路層上實現的加密技術對於網路應用層的用戶通常是透明的。此外,通過適當的密鑰管理機制,使用這一方法還可以在公用的互連網路上建立虛擬專用網路,並保障虛擬專用網上信息的安全性。SKIP協議即是近來IETF在這一方面努力的結果。
----面向網路應用服務的加密技術,則是目前較為流行的加密技術的使用方法,例如使用Kerberos服務的Telnet、NFS、Rlogin等,以及用作電子郵件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。這一類加密技術的優點在於實現相對較為簡單,不需要對電子信息(數據包)所經過的網路的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
漏洞掃描技術
----漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP埠,並紀錄目標的響應,收集關於某些特定項目的有用信息,如正在進行的服務,擁有這些服務的用戶,是否支持匿名登錄,是否有某些網路服務需要鑒別等。這項技術的具體實現就是安全掃描程序。
----早期的掃描程序是專門為Unix系統編寫的,隨後情況就發生了變化。現在很多操作系統都支持TCP/IP,因此,幾乎每一種平台上都出現了掃描程序。掃描程序對提高Internet安全發揮了很大的作用。
----在任何一個現有的平台上都有幾百個熟知的安全脆弱點。人工測試單台主機的這些脆弱點要花幾天的時間。在這段時間里,必須不斷進行獲取、編譯或運行代碼的工作。這個過程需要重復幾百次,既慢又費力且容易出錯。而所有這些努力,僅僅是完成了對單台主機的檢測。更糟糕的是,在完成一台主機的檢測後,留下了一大堆沒有統一格式的數據。在人工檢測後,又不得不花幾天的時間來分析這些變化的數據。而掃描程序可在在很短的時間內就解決這些問題。掃描程序開發者利用可得到的常用攻擊方法,並把它們集成到整個掃描中。輸出的結果格式統一,容易參考和分析。
----從上述事實可以看出:掃描程序是一個強大的工具,它可以用來為審計收集初步的數據。如同一桿霰彈獵槍,它可以快速而無痛苦地在大范圍內發現已知的脆弱點。
----在掃描程序的發展中,已有的掃描程序大約有幾十種,有的快捷小巧,能夠很好地實現某個單一功能;有的功能完善,界面友好,曾經名噪一時。至今,仍然被廣泛使用的掃描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。
入侵檢測技術
----人們發現只從防禦的角度構造安全系統是不夠的。因此,人們開始尋求其他途徑來補充保護網路的安全,系統脆弱性評估及入侵檢測的研究課題便應運而生。入侵檢測可被定義為對計算機和網路資源上的惡意使用行為進行識別和響應的處理過程。它不僅檢測來自外部的入侵行為,同時也指內部用戶的未授權活動。入侵檢測應用了以攻為守的策略,它所提供的數據不僅有可能用來發現合法用戶濫用特權,還有可能在一定程度上提供追究入侵者法律責任的有效證據。
----從20世紀80年代初開始,國外就有一些研究機構及學校著手有關系統脆弱性分類的研究,如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系統脆弱性的研究一方面因為 Internet的迅速膨脹,另一方面因為入侵檢測的興起。對入侵檢測的研究機構也有不少,其中有 Stanford Research Institute 的Computer Science Laboratory(SRI/CSL), Pure University 的 COAST (Computer Operations Audit and Security Technology)研究小組,以及美國國家能源部的Lawrence Livermore National Laboratory等機構。系統脆弱性的研究目前仍不很成熟,因為系統脆弱性的涵蓋面很廣,而且還在不斷地增加,對於脆弱性的分類也會因新的漏洞被發現而相應地發展補充,所以它是一個動態的過程。另外,針對不同的目的也要求分類方法有所差別。對於入侵檢測的研究,從早期的審計跟蹤數據分析,到實時入侵檢測系統,到目前應用於大型網路和分布式系統,基本上已發展成具有一定規模和相應理論的課題。
----(1) 從具體的檢測方法上,將檢測系統分為基於行為的和基於知識的兩類。
----基於行為的檢測指根據使用者的行為或資源使用狀況的正常程度來判斷是否發生入侵,而不依賴於具體行為是否出現來檢測,即建立被檢測系統正常行為的參考庫,並通過與當前行為進行比較來尋找偏離參考庫的異常行為。例如一般在白天使用計算機的用戶,如果他突然在午夜注冊登錄,則被認為是異常行為,有可能是某入侵者在使用。基於行為的檢測也被稱為異常檢測(Anomaly Detection)。
----基於知識的檢測指運用已知攻擊方法,根據已定義好的入侵模式,通過判斷這些入侵模式是否出現來判斷。因為很大一部分入侵是利用了系統的脆弱性,通過分析入侵過程的特徵、條件、排列以及事件間關系,具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有警戒作用,因為只要部分滿足這些入侵跡象就意味著可能有入侵發生。基於知識的檢測也被稱為誤用檢測(Misuse Detection)。
----(2) 根據檢測系統所分析的原始數據不同,可入侵檢測分為來自系統日誌和網路數據包兩種。
----操作系統的日誌文件中包含了詳細的用戶信息和系統調用數據,從中可分析系統是否被侵入以及侵入者留下的痕跡等審計信息。隨著Internet的推廣,網路數據包逐漸成為有效且直接的檢測數據源,因為數據包中同樣也含有用戶信息。入侵檢測的早期研究主要集中在主機系統的日誌文件分析上。因為用戶對象局限於本地用戶,隨著分布式大型網路的推廣,用戶可隨機地從不同客戶機上登錄,主機間也經常需要交換信息。尤其是Internet的廣泛應用,據統計入侵行為大多數發生在網路上。這樣就使入侵檢測的對象范圍也擴大至整個網路。
----在現有的實用系統中,還可根據系統運行特性分為實時檢測和周期性檢測,以及根據檢測到入侵行為後是否採取相應措施而分為主動型和被動型。對於入侵檢測系統的分類可用下圖表示:
----以上僅對網路信息安全方面的若干技術做了一個簡要的介紹。從中我們可以看到,與計算機黑客的斗爭,是一個「道高一尺,魔高一丈」過程。尤其在最近一年裡,黑客的行為表現得更為組織化、規模化,其技術水平普遍都有了很大的提高。如果想要在這場此消彼長的斗爭中保持主動,那麼就必須保持一支專業隊伍,不斷跟蹤黑客技術,研究其行為特點,提出自己的反黑客理論及方法,通過深入研究黑客技術,有效地提高系統的管理和應用水平。
『伍』 網站分析的數據來源
網站分析的數據來源
Avinash Kaushik在他的《Web Analytics》一書中將數據的來源分為4部分:點擊流數據(Clickstream)、運營數據(Outcomes)、調研數據(Research/Qualitative)和競爭對手數據(Competitive Data)。點擊流數據主要指的是用戶瀏覽網站時產生的數據;Outcomes我更習慣叫做運營數據,主要指用戶在網站中應用服務或者購買產品時記錄下來的數據;調研數據主要是網站通過某些用戶調研手段(線上問卷或者線下調研)獲取的一些定性數據;Competitive Data直譯為競爭對手數據可能不太合適,因為根據Avinash Kaushik的闡述,更像是跟網站有業務關系或競爭關系或存在某種利益影響的一切網站的可能的數據來源。
在獲取上述幾類數據的同時,也許我們還可以從其他方面獲取一些更為豐富的數據。下面是我對網站分析數據獲取途徑的整理:
網站內部數據
網站內部數據是網站最容易獲取到的數據,它們往往就存放在網站的文件系統或資料庫中,也是與網站本身最為密切相關的數據,是網站分析最常見的數據來源,我們需要好好利用這部分數據。
伺服器日誌
隨著網站應用的不斷擴張,網站日誌不再局限於點擊流的日誌數據,如果你的網站提供上傳下載、視頻音樂、網頁游戲等服務,那麼很明顯,你的網站伺服器產生的絕不僅有用戶瀏覽點擊網頁的日誌,也不只有標準的apache日誌格式日誌,更多的W3C、JSON或自定義格式的輸出日誌也給網站分析提供了新的方向。
網站分析不再局限於網頁瀏覽的PV、UV,轉化流失等,基於事件(Events)的分析將會越來越普遍,將會更多的關注用戶在接受網站服務的整個流程的情況:上傳下載是否完成,速度如何;用戶是否觀看的整部視頻,視頻的載入情況;及用戶在玩網頁游戲時的操作和體驗分析等。Google Analytics已經支持了基於事件的分析——Event Tracking,通過JS的動作響應獲取數據,但是還存在著一定的局限性。
網站分析工具
當然,通過網站分析工具獲得數據是一個最為簡便快捷的方式,從原先的基於網站日誌的AWStats、webalizer,到目前非常流行的基於JS Tags的Google Analytics、Omniture的SiteCatalyst,及JS和網站日誌通吃的WebTrends。通過網站分析工具獲得的數據一般都已經經過特殊計算,較為規范,如PV、UV、Exit Rate、Bounce Rate等,再配上一些趨勢圖或比例圖,通過細分、排序等方法讓結果更為直觀。
但通過網站分析工具得到數據也不遠只這些,上面的這些數據也一樣可以通過統計網站日誌獲得,但網站分析工具的優勢在於其能通過一些嵌入頁面的JS代碼獲得一些有趣的結果,如Google Analytics上的Overlay或者也叫Click Density——網站點擊密度分布,及一些其它的網站分析工具提供的點擊熱圖,甚至滑鼠移動軌跡圖。這些分析結果往往對網站優化和用戶行為分析更為有效。
資料庫數據
對於一般的網站來說,存放於資料庫中的數據可以大致分為3個部分:
網站用戶信息,一般提供注冊服務的網站都會將用戶的注冊賬號和填寫的基本信息存放在資料庫裡面;
網站應用或產品數據,就像電子商務的商品詳細信息或者博客的文章信息,如商品信息會包含商品名稱、庫存數量、價格、特徵描述等;
用戶在應用服務或購買產品時產生的數據,最簡單的例子就是博客上用戶的評論和電子商務網站的用戶購買數據,購買時間、購買的用戶、購買的商品、購買數量、支付的金額等。
當然,這一部分數據的具體形式會根據網站的運營模式存在較大差異,一些業務范圍很廣,提供多樣服務的網站其資料庫中數據的組合會相當復雜。
其它
其它一切網站運營過程中產生的數據,有可能是用戶創造,也有可能是網站內部創造,其中有一大部分我們可以稱其為「線下數據(Offline Data)」。如用戶的反饋和抱怨,可能通過網站的交流論壇,也有可能通過網站時公布的客服電話、即時通訊工具等,如果你相信「客戶中心論」,那麼顯然對於這些數據的分析必不可少;另外一部分來源就是網站開展的線下活動,促銷或推廣,衡量它們開展的效果或投入產出,以便於之後更好地開展類似的線下推廣。
外部數據
網站分析除了可以從網站內部獲取數據以外,通過互聯網這個開放的環境,從網站外部捕獲一些數據可以讓分析的結果更加全面。
互聯網環境數據
即使你的網站只是一個很小的網站,但如果想讓你的網站變得更好,或者不至於落後於互聯網的前進腳步,那麼建議你關注一下互聯網的發展趨勢。可以上Alexa查一下互聯網中頂級網站的訪問量趨勢;看看comScore發布的數據或者199IT–中國互聯網數據中心網站上的各種數據分析和研究資料;如果經營電子商務網站,淘寶數據中心也許會讓你感興趣。
競爭對手數據
時刻關注競爭對手的情況可以讓你的網站不至於在競爭中落伍。除了在Alexa及一些其他的網站數據查詢平台以外,直接從競爭對手網站上獲取數據也是另外一條有效的途徑,一般網站會出於某些原因(信息透明、數據展示等)將自己的部分統計信息展現在網站上,看看那些數據對於掌握你的競爭對手的情況是否有幫助。
合作夥伴數據
如果你有合作的網站或者你經營的是一個電子商務網站,也許你會有相關的產品提供商、物流供應商等合作夥伴,看看他們能為你提供些什麼數據。
用戶數據
嘗試跟蹤用戶的腳步去看看他們是怎麼評價你的網站的。如果你的網站已經小有名氣,那麼嘗試在搜索引擎看看用戶是怎麼評價你的網站,或者通過Twitter、新浪微博等看看用戶正在上面發表什麼關於你的網站的言論。
當然通過用戶調研獲取數據是另外一個不錯的途徑,通過網站上的調查問卷或者線下的用戶回訪,電話、IM調查,可用性實驗測試等方式可以獲取一些用戶對網站的直觀感受和真實評價,這些數據往往是十分有價值的,也是普通的網站分析工具所獲取不到的。
在分析網站的外部數據的時候,需要注意的是不要過於相信數據,外部數據相比內部數據不確定性會比較高。網站內部數據即使也不準確,但我們至少能知道數據的誤差大概會有多大,是什麼原因造成了數據存在誤差。而外部數據一般都是有其他網站或機構公布的,每個公司,無論是數據平台、咨詢公司還是合作夥伴都可能會為了某些利益而使其公布的數據更加可信或更具一定的偏向性,所以我們在分析外部數據是需要更加嚴格的驗證和深入的分析。而對於用戶調研中獲取的數據,我們一般會通過統計學的方法檢驗數據是否可以被接受,或者是否滿足一定的置信區間,這是進行數據分析前必須完成的一步。
『陸』 什麼是WEB安全是網路安全么
網站安全
§1、網站安全概述
一、 常見的網站提供的服務:DNS SERVER,WEB SERVER,E-MAIL SERVER,FTP SERVER,此外網站還需要有個主伺服器(最好不要把網站的操作系統伺服器與上述的SERVER 放在一起)(不一定全對互聯網開放)
1、 這些常見的服務屬於TCP/IP協議棧,如果低層安全性被攻擊了,則高層安全成了空中樓閣。所以要進行安全分析(安全只是個動態的狀態)
2、 TCP/IP協議棧各層常見的攻擊(回憶TCP/IP各層結構圖)
(1)物理層:數據通過線傳輸是特點
威脅:監聽網線,sniffer軟體進行抓包,拓樸結構被電磁掃描攻破
保護:加密,流量填充等
(2)internet層:提供定址功能是其特點-----路由,IP,ICMP,ARP,RARP
威脅:IP欺騙(工具完成將數據包源地址IP改變)
保護:補丁、防火牆、邊界路由器設定
(3)傳輸層:控制主機間的信息流量-----TCP,UDP
威脅:DOS(圖),DDOS,會話劫持等
保護:補丁、防火牆、開啟操作系統抗DDOS攻擊特性
(4)應用層:協議最多最難防
①SMTP協議:
威脅:郵件風暴(黑客給郵件伺服器不斷發木馬或病毒),企業用戶內網與外網採用同樣的郵箱名,郵件的中繼與轉發(圖)
保護:防病毒網關,郵件伺服器軟體及時打補丁
②FTP協議:
威脅:匿名用戶如果具有寫許可權,會上傳非法服務給FTP SERVER; 用戶名、口令在FTP客戶端與伺服器端之間是明文傳輸
保護:FTP數據存放於獨立分區,不允許匿名的FTP連接,上傳與下載位於不同的NTFS分區,FTP客戶端與伺服器端的通訊進行加密SSH
③HTTP協議:
威脅:java script,CGI,ASP,ActiveX
保護:禁止這些不安全的控制項,殺毒軟體
④Telnet協議:
威脅:明文傳輸敏感數據
保護:加密
⑤SNMP協議:
威脅:public默認社區名,明文傳輸敏感信息
保護:將默認社區名改名,防火牆
⑥DNS協議:
威脅:DNS欺騙
保護:防火牆阻止,在DNS zone中設定成只允許幾個主機的zone傳輸
3、 網站業務流(電子商務與普通企業網站業務流不同,重點是認證)、採用的拓樸、防火牆體系結構、操作系統等的不同,受到的威脅也不同
二、 在網站業務流、採用的拓樸、防火牆體系結構、操作系統等體系結構確定的前提下,還存在的安全問題
1、未授權存取(匿名用戶具有寫許可權----IIS寫許可權掃描工具+桂林老兵可以完成)
2、竊取系統信息:帳號,銀行
3、破壞系統:破壞數據(刪除數據)
4、非法使用:利用FTP伺服器存放非法軟體
5、病毒木馬:不小心執行病毒、木馬
三、web站點典型安全漏洞
1、操作系統類:通用安全漏洞,各操作系統特有的安全漏洞
2、路由器等網路系統漏洞:如路由器、防火牆等的預設配置及配置錯誤(一部分邊界路由器有自動配置的功能,但這種自動配置功能必須手工開啟)(見校園網拓樸結構圖)
3、應用系統安全漏洞:協議漏洞
4、網路安全防護系統不健全:缺乏安全意識,缺少定期的安全檢測、安全監控
5、其它漏洞:易被欺騙,弱認證,對電郵隊服附件病毒及WEB瀏覽可能存在的惡意java/ActiveX小控制項進行有效控制。
正因為存在這些安全漏洞所以要制定安全策略。
§2、WEB站點安全策略
允許遠程執行CGI腳本,腳本中的bug會成為保護操作系統的漏洞;但如果限制CGI限製得過頭了,web使用起來不方便(安全是使用方便與安全配置之間的一個平衡點)
一、 安全策略定製原則:
1、風險分析:搞清站點屬於低端安全、中端安全、還是高端安全?易受哪些威脅?(默認配置)?根據威脅進行安全評估(使用啟明星辰的工具)
2、伺服器記錄原則:web伺服器會記錄它們收到的每一次連接(如果web server採用認證的方式還會記錄下用戶名),該用戶在此期間填寫的表格會被記錄下來,會對用戶構成威脅。
解決方案:web伺服器管理者可以查閱用戶資料,但無需打開(審計人員查管理員好些)
二、 配置web server的安全特性
1、用戶與站點建立連接的過程中可能會造成因域名欺騙而使得用戶得不到授權訪問及要求的信息或者把黑客當作合法用戶來允許其訪問
2、加強各伺服器的措施
①web server:主分區存放操作系統,web server放至另一分區;CGI腳本放至第三個NTFS分區;不以administrator身份運行web server(而以另一用戶身份運行web server)其餘見winnt站點解決方案
②ftp server:與web server不同分區,允許只讀訪問,進行訪問控制的設置(一般只對內網開放)
③電子郵件伺服器:安裝網路級電子郵件掃描軟體;禁掉中繼任何未授權用戶;設置垃圾郵件過濾及巨型郵件過濾條件
三、 排除站點中的安全漏洞,盡量減少安全漏洞
1、物理漏洞:未授權人員訪問引起的
2、軟體漏洞:由軟體應用程序的錯誤授權引起。首要規則----不輕易相信腳本、java applet
3、不兼容問題
4、缺乏安全策略
四、 監視控制出入web站點的出入情況
1、 Webtrends:查訪問次數最多的站點、最頻繁的用戶。它可以完成監控請求(如:sever訪問次數,用戶來自何處,伺服器上哪類信息被訪問、訪問的瀏覽器類型、用戶提交方式等);它可以測算命中次數(可以確定出站點的命中次數----一個用戶詳細地讀站點時一次簡單的會話可以形成幾次命中;還可以通過站點上某個文件的訪問次數來確定站點訪問者的數目)
2、 入侵檢測系統:免費的snort
3、 傳輸更新:web三元素----HTTP協議,數據格式HTML,瀏覽器。三元素以HTML為中心,必須保持其更新