第I部分 暴露、風(fēng)險(xiǎn)與預(yù)防
第1章 Web安全威脅
1.1 安全事件
1.1.1 威脅源
1.1.2 事件分類
1.1.3 社會(huì)攻擊和物理攻擊
1.1.4 網(wǎng)絡(luò)攻擊
1.2 防御目標(biāo)
1.3 黑客策略
1.4 安全是相互依賴的
1.4.1 破壞安全示例
1.4.2 書(shū)面形式的安全策略
1.5 破解方法
1.5.1 廣播攻擊方法
1.5.2 指定目標(biāo)的攻擊方法
1.6 威脅的核對(duì)清單
第2章 丑化、破壞與拒絕
2.1 問(wèn)題來(lái)源
2.2 Internet協(xié)議初步
2.2.1 網(wǎng)際協(xié)議
2.2.2 域名系統(tǒng)
2.2.3 應(yīng)用程序與服務(wù)
2.3 己知弱點(diǎn)
2.3.1 影響所有系統(tǒng)的最常見(jiàn)的弱點(diǎn)
2.3.2 與平臺(tái)相關(guān)的弱點(diǎn)
2.4 機(jī)會(huì)掃描
2.4.1 假定受到監(jiān)控
2.4.2 ping和掃描的工作原理
2.4.3 識(shí)別Web服務(wù)器或操作系統(tǒng)
2.4.4 用來(lái)避免檢測(cè)的掃描技術(shù)
2.5 弱點(diǎn)探索
2.5.1 配置探測(cè)
2.5.2 惡意或不友善的代碼
2.5.3 分布式拒絕服務(wù)
2.6 已知弱點(diǎn)核對(duì)清單
第3章 準(zhǔn)備與加固Web服務(wù)器
3.1 安裝與配置前的計(jì)劃
3.2 服務(wù)器安全安裝的要求
3.2.1 一般的建議
3.2.2 組件安裝
3.2.3 服務(wù)包和安全補(bǔ)丁
3.3 加固系統(tǒng)
3.3.1 加固工具
3.3.2 加固過(guò)程概述
3.3.3 使用 Microsoft IIS Lockdown工具
3.3.4 手動(dòng)加固過(guò)程
3.4 保護(hù)物理設(shè)置、引導(dǎo)設(shè)置和介質(zhì)設(shè)置
3.5 安裝計(jì)劃核對(duì)清單
3.6 加固建議核對(duì)清單
第4章 賬號(hào)、授權(quán)和安全策略
4.1 運(yùn)用安全策略
4.2 Windows 2000與 IIS的安全概念
4.2.1 信任關(guān)系
4.2.2 工作組和域
4.2.3 身份驗(yàn)證
4.2.4 Intranet與Internet的比較
4.2.5 本地安全管理
4.2.6 訪問(wèn)控制列表
4.2.7 篩選器
4.2.8 繼承
4.3 本地安全管理工具
4.3.1 微軟的管理控制臺(tái)
4.3.2 用模板定制安全策略
4.4 為 Windows 2000配置 Web服務(wù)器的訪問(wèn)控制
4.4.1 修改默認(rèn)的組和管理員設(shè)置
4.4.2 分配管理
4.4.3 修改默認(rèn)的用戶賬號(hào)設(shè)置
4.5 配置IIS站點(diǎn)的屬性
4.5.1 IIS安全屬性
4.5.2 在同一個(gè)服務(wù)器上管理多個(gè)Web站點(diǎn)
4.5.3 使用虛擬目錄
4.6 Windows 2000賬號(hào)權(quán)限核對(duì)清單
4.7 IIS站點(diǎn)屬性核對(duì)清單
第5章 審核與日志
5.1 網(wǎng)站監(jiān)控概述
5.1.1 網(wǎng)站監(jiān)控信息
5.1.2 審核
5.2 建立和維護(hù)日志的過(guò)程
5.2.1 審核的目標(biāo)和結(jié)果
5.2.2 日志管理
5.3 審核
5.3.1 設(shè)置審核策略
5.3.2 審核 Windows 2000的對(duì)象和資源
5.3.3 IIS審核功能
5.3.4 對(duì)備份的審核
5.4 日志和審核核對(duì)清單
第II部分 管理
第6章 部署問(wèn)題
6.1 恢復(fù)規(guī)劃
6.1.1 緊急修復(fù)
6.1.2 備份注冊(cè)表以及其他的系統(tǒng)狀態(tài)信啟
6.1.3 備份的安全問(wèn)題
6.2 網(wǎng)絡(luò)布局以及Intranet上的篩選
6.2.1 Windows 2000的篩選特性
6.2.2 IIS的篩選特性
6.3 保護(hù)網(wǎng)絡(luò)邊界
6.3.1 防火墻和路由器篩選
6.3.2 使用網(wǎng)絡(luò)DMZ
6.4 保護(hù)遠(yuǎn)程管理
6.4.1 虛擬專用網(wǎng)絡(luò)
6.4.2 Windows 2000終端服務(wù)
6.5 部署準(zhǔn)備核對(duì)清單
第7章 安全管理的生命周期
7.1 生命周期方法
7.2 弱點(diǎn)評(píng)估和主動(dòng)監(jiān)控
7.2.1 評(píng)估弱點(diǎn)
7.2.2 進(jìn)一步了解日志文件監(jiān)控
7.2.3 設(shè)置 Windows 2000和 IIS警告
7.3 緊急事件響應(yīng)
7.4 安全管理的生命周期核對(duì)清單
第8章 加密應(yīng)用
8.1 加密的基本概念
8.1.1 密鑰與加密算法
8.1.2 對(duì)稱密鑰（秘密密鑰）加密
8.1.3 非對(duì)稱（公鑰）加密
8.1.4 綜合加密方案
8.1.5 數(shù)字證書(shū)與公鑰基礎(chǔ)結(jié)構(gòu)
8.1.6 公鑰協(xié)議身份驗(yàn)證
8.2 使用IIS安全通信
8.2.1 安全的Web通信如何工作
8.2.2 配置IIS的SSL／TLS
8.2.3 保證站點(diǎn)或目錄的安全
8.3 SSL配置核對(duì)清單
第9章 使用第三方工具增強(qiáng)安全
9.1 防火墻
9.1.1 防火墻技術(shù)
9.1.2 決定所需要的防火墻特征
9.1.3 最主要的防火墻產(chǎn)品
9.2 入侵檢測(cè)系統(tǒng)
9.2.1 入侵檢測(cè)的工作方式
9.2.2 推薦選用的產(chǎn)品
9.3 日志分析程序
9.3.1 收集線索
9.3.2 建議與資源
9.4 病毒掃描程序
9.4.1 工作方式
9.4.2 鎖定的方法
9.4.3 集中與合作
9.4.4 模型解決方案
9.4.5 流行的病毒掃描程序
9.5 安全意識(shí)培訓(xùn)
9.6 修改控制
9.7 硬件性能和訪問(wèn)控制
9.7.1 硬件性能解決方案
9.7.2 硬件身份驗(yàn)證解決方案
9.8 其他推薦的安全增強(qiáng)工具
9.8.1 Web安全掃描程序
9.8.2 基準(zhǔn)測(cè)試工具
9.8.3 Web站點(diǎn)監(jiān)控服務(wù)
9.8.4 網(wǎng)絡(luò)文檔編制程序
9.9 核對(duì)清單
第III部分 高級(jí)主題
第10章 保護(hù)FTP、NNTP和其他IIS服務(wù)
10.1 安裝IIS子組件
10.2 文件傳輸協(xié)議服務(wù)
10.2.1 確保FTP站點(diǎn)安全
10.2.2 賬號(hào)安全
10.2.3 消息
10.2.4 主目錄
10.2.5 目錄安全
10.3 網(wǎng)絡(luò)新聞傳輸協(xié)議服務(wù)
10.3.1 確保NNTP站點(diǎn)的安全
10.3.2 管理新聞組
10.4 Microsoft索引服務(wù)器和內(nèi)容索引服務(wù)
10.4.1 配置索引服務(wù)器
10.4.2 用NTFS文件安全來(lái)保護(hù)索引服務(wù)器上的文件
10.4.3 用索引目錄來(lái)限制對(duì)內(nèi)容的訪問(wèn)
10.4.4 限制遠(yuǎn)程管理
10.5 簡(jiǎn)單郵件傳輸協(xié)議服務(wù)
10.6 開(kāi)始與停止服務(wù)
10.7 Windows媒體服務(wù)
10.7.1 Windows媒體安全
10.7.2 管理和日志
10.7.3 Windows媒體服務(wù)和防火墻
10.8 簡(jiǎn)單的TCP／IP服務(wù)
10.9 核對(duì)清單
第11章 活動(dòng)內(nèi)容安全
11.1 活動(dòng)內(nèi)容技術(shù)
11.2 公共同關(guān)接口
11.2.1 活動(dòng)服務(wù)器頁(yè)面
11.2.2 ActivePerl
11.3 活動(dòng)內(nèi)容的文件夾結(jié)構(gòu)
11.3.1 腳本文件許可
11.3.2 應(yīng)用程序設(shè)置
11.4 應(yīng)用程序映射
11.5 源控制
11.5.1 源控制軟件
11.5.2 備份
11.5.3 版權(quán)保護(hù)
11.6 用戶輸入確認(rèn)
11.6.1 篩選輸入數(shù)據(jù)
11.6.2 HTML編碼
11.6.3 為特定字符編碼輸出
11.7 ISAPI篩選器
11.7.1 配置ISAPI篩選器
11.7.2 利用ISAPI篩選器保護(hù)專有代碼
11.7.3 腳本編碼器
11.8 對(duì)Web內(nèi)容安全訪問(wèn)的其他方法
11.8.1 使用ASP保護(hù)頁(yè)面
11.8.2 文件系統(tǒng)加密
11.9 調(diào)試活動(dòng)內(nèi)容
11.9.1 錯(cuò)誤俘獲
11.9.2 ASP錯(cuò)誤和 Windows事件日志
11.10 代碼簽名
11.11 FrontPage服務(wù)器擴(kuò)展
11.11.1 管理 FPSE
11.11.2 擴(kuò)展的 FrontPage Web
11.11.3 FPSE動(dòng)態(tài)鏈接庫(kù)
11.11.4 訪問(wèn)許可
11.11.5 子Web
11.11.6 刪除 FPSE
11.11.7 FPSE配置變量
11.12 Robot和蜘蛛人
11.12.1 robot排除協(xié)議
11.12.2 robotMETA標(biāo)記
11.13 核對(duì)清單
第12章 Web隱私
12.1 Web隱私概述
12.1.1 隱私悖論
12.1.2 隱私前景
12.1.3 隱私策略與聲明
12.2 隱私原則及實(shí)踐
12.2.1 基本原則
12.2.2 經(jīng)濟(jì)合作與開(kāi)發(fā)組織對(duì)隱私指導(dǎo)方針的保護(hù)
12.2.3 公平的信息實(shí)踐原則
12.3 隱私法律
12.3.1 網(wǎng)上兒童隱私保護(hù)法
12.3.2 Gramm－Leach－Bliley
12.3.3 Health Insurance Portability and Accountability Act
12.3.4 全世界的隱私法律
12.4 建立和執(zhí)行隱私策略的工具
12.4.1 Web隱私產(chǎn)品
12.4.2 Web隱私封條
12.4.3 隱私權(quán)選擇平臺(tái)方案（P3P）
12.5 Web隱私和責(zé)任
12.5.1 隱私聲明和 FTC
12.5.2 隱私聲明和P3P
12.6 Web隱私和E－mail
12.6.1 E－mail還是垃圾郵件
12.6.2 可靠的 E-mail
12.6.3 E－mail的基本注意事項(xiàng)
12.6.4 E－mail隱私技術(shù)
12.7 結(jié)束語(yǔ)
12.8 核對(duì)清單
第IV部分 附錄
附錄A 安全資源
A.1 安全Web站點(diǎn)
A.2 黑客Web站點(diǎn)
附錄B 術(shù)語(yǔ)表
附錄C 配置參考表
C.1 建議的 Windows 2000和 IIS目錄權(quán)限
C.2 本地安全策略設(shè)置
C.3 報(bào)文篩選協(xié)議號(hào)
附錄D Microsoft IIS身份驗(yàn)證方法
D.1 匿名身份驗(yàn)證
D.2 基本身份驗(yàn)證
D.3 集成的Windows身份驗(yàn)證
D.4 客戶證書(shū)映射