6、WWW應用安全技術

　　(1)解決WWW應用安全的方案需要結合通用的internet安全技術和專門針對WWW的技術。前者主要是指防火墻技術，后者包括根據WWW技術的特點改進HTTP協議或者利用代理服務器、插入件、中間件等技術來實現的安全技術。

　　(2)HTTP目前三個版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本，它只定義了最基本的簡單請求和簡單回答;HTTP1.0較完善，也是目前使用廣泛的一個版本;HTTP1.1增加了大量的報頭域，并對HTTP1.0中沒有嚴格定義的部分作了進一步的說明。

　　(3)HTTP1.1提供了一個基于口令基本認證方法，目前所有的WEB服務器都可以通過"基本身份認證"支持訪問控制。在身份認證上，針對基本認證方法以明文傳輸口令這一最大弱點，補充了摘要認證方法，不再傳遞口令明文，而是將口令經過散列函數變換后傳遞它的摘要。

　　(4)針對HTTP協議的改進還有安全HTTP協議SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎上，提供了數據加密、身份認證、數據完整、防止否認等能力。

　　(5)DEC-Web

　　WAND服務器是支持DCE的專用Web服務器，它可以和三種客戶進行通信:第一是設置本地安全代理SLP的普通瀏覽器。第二種是支持SSL瀏覽器，這種瀏覽器向一個安全網關以SSL協議發送請求，SDG再將請求轉換成安全RPC調用發給WAND，收到結果后，將其轉換成SSL回答，發回到瀏覽器。第三種是完全沒有任何安全機制的普通瀏覽器，WANS也接受它直接的HTTP請求，但此時通信得不到任何保護。

　　六、安全服務與安全與機制

　　1、ISO7498-2從體系結構的觀點描述了5種可選的安全服務、8項特定的安全機制以及5種普遍性的安全機制。

　　2、5種可選的安全服務:鑒別、訪問控制、數據保密、數據完整性和防止否認。

　　3、8種安全機制:加密機制、數據完整性機制、訪問控制機制、數據完整性機制、認證機制、通信業務填充機制、路由控制機制、公證機制，它們可以在OSI參考模型的適當層次上實施。

　　4、5種普遍性的安全機制:可信功能、安全標號、事件檢測、安全審計跟蹤、安全恢復。

　　5、信息系統安全評估準則

　　(1)可信計算機系統評估準則TCSEC:是由美國國家計算機安全中心于1983年制訂的，又稱桔皮書。

　　(2)信息技術安全評估準則ITSEC:由歐洲四國于1989年聯合提出的，俗稱白皮書。

　　(3)通用安全評估準則CC:由美國國家標準技術研究所NIST和國家安全局NSA、歐洲四國以及加拿大等6國7方聯合提出的。

　　(4)計算機信息系統安全保護等級劃分準則:我國國家質量技術監督局于1999年發布的國家標準。