Web 賴以生成的環(huán)境包括計算機硬件、操作系統(tǒng)、計算機網(wǎng)絡(luò)、許多的網(wǎng)絡(luò)服務(wù)和應(yīng)用，所有這些都存在著安全隱患，最終威脅到Web的安全。Web 的安全體系結(jié)構(gòu)非常復(fù)雜，主要包括以下幾個方面。
①客戶端軟件（即Web瀏覽器軟件）的安全。
②運行瀏覽器的計算機設(shè)備及其操作系統(tǒng)的安全（主機系統(tǒng)安全）。
③客戶端的局域網(wǎng)（LAN）。
④Internet。
⑤ 服務(wù)器端的局域網(wǎng)（LAN）。
⑥運行服務(wù)器的計算機設(shè)備及操作系統(tǒng)的安全（主機系統(tǒng)的安全）。
⑦服務(wù)器上的Web服務(wù)器軟件。
在分析Web服務(wù)器的安全性時，一定要全面考慮所有方面，因為它們是相互聯(lián)系的，每個方面都會影響到Web服務(wù)器的安全性，它們中安全性最差的決定了給定服務(wù)器的安全級別。下面主要討論Web服務(wù)器軟件及支撐服務(wù)器運行的操作系統(tǒng)的安全設(shè)置與管理。
1.主機系統(tǒng)的安全需求
網(wǎng)絡(luò)的攻擊者通常通過主機的訪問來獲取主機的訪問權(quán)限，一旦攻擊者突破了這個機制，就可以完成任意的操作。對某個計算機，通常是通過口令認證機制來實現(xiàn)登錄計算機系統(tǒng)。現(xiàn)在大部分個人計算機沒有提供認證系統(tǒng)，也沒有身份的概念，極其容易被獲取系統(tǒng)的訪問權(quán)限。因此，一個沒有認證機制的PC是Web服務(wù)器最不安全的平臺。所以，確保主機系統(tǒng)的認證機制，嚴密地設(shè)置及管理訪問口令，是主機系統(tǒng)抵御威脅的有力保障。
2.Web服務(wù)器的安全需求
隨著“開放系統(tǒng)”的發(fā)展和Internet的知識普及，獲取使用簡單、功能強大的系統(tǒng)安全攻擊工具是非常容易的事情。在訪問Web站點的用戶中，不少技術(shù)高超的人，有足夠的經(jīng)驗和工具來探視他們感興趣的東西。還有在人才流動頻繁的今天，“系統(tǒng)有關(guān)人員”也可能因為種種原因離開原來的崗位，系統(tǒng)的秘密也可能隨之擴散。
不同的Web網(wǎng)站有不同的安全需求。建立Web網(wǎng)站是為了更好地提供信息和服務(wù)，在一定程度上Web站點是其擁有者的代言人，為了滿足Web服務(wù)器的安全需求，維護擁有者的形象和聲譽，必須對各類用戶訪問Web資源的權(quán)限作嚴格管理；維持Web服務(wù)的可用性，采取積極主動的預(yù)防、檢測措施，防止他人破壞，造成設(shè)備、操作系統(tǒng)停運或服務(wù)癱瘓；確保Web服務(wù)器不被用作跳板來進一步侵入內(nèi)部網(wǎng)絡(luò)和其他網(wǎng)，使內(nèi)部網(wǎng)免遭破壞，同時避免不必要的麻煩甚至法律糾紛。