(2)HTTP目前三个版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本，它只定义了最基本的简单请求和简单回答;HTTP1.0较完善，也是目前使用广泛的一个版本;HTTP1.1增加了大量的报头域，并对HTTP1.0中没有严格定义的部分作了进一步的说明。

　　(3)HTTP1.1提供了一个基于口令基本认证方法，目前所有的WEB服务器都可以通过"基本身份认证"支持访问控制。在身份认证上，针对基本认证方法以明文传输口令这一最大弱点，补充了摘要认证方法，不再传递口令明文，而是将口令经过散列函数变换后传递它的摘要。

　　(4)针对HTTP协议的改进还有安全HTTP协议SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基础上，提供了数据加密、身份认证、数据完整、防止否认等能力。

　　(5)DEC-Web

　　WAND服务器是支持DCE的专用Web服务器，它可以和三种客户进行通信:第一是设置本地安全代理SLP的普通浏览器。第二种是支持SSL浏览器，这种浏览器向一个安全网关以SSL协议发送请求，SDG再将请求转换成安全RPC调用发给WAND，收到结果后，将其转换成SSL回答，发回到浏览器。第三种是完全没有任何安全机制的普通浏览器，WANS也接受它直接的HTTP请求，但此时通信得不到任何保护。

　　六、安全服务与安全与机制

　　1、ISO7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。

　　2、5种可选的安全服务:鉴别、访问控制、数据保密、数据完整性和防止否认。

　　3、8种安全机制:加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制，它们可以在OSI参考模型的适当层次上实施。

　　4、5种普遍性的安全机制:可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。

　　5、信息系统安全评估准则

　　(1)可信计算机系统评估准则TCSEC:是由美国国家计算机安全中心于1983年制订的，又称桔皮书。

　　(2)信息技术安全评估准则ITSEC:由欧洲四国于1989年联合提出的，俗称白皮书。

　　(3)通用安全评估准则CC:由美国国家标准技术研究所NIST和国家安全局NSA、欧洲四国以及加拿大等6国7方联合提出的。

　　(4)计算机信息系统安全保护等级划分准则:我国国家质量技术监督局于1999年发布的国家标准。

　　6、可信计算机系统评估准则

　　TCSEC共分为4类7级:D，C1，C2，B1，B2，B3，A1

　　D级，安全保护欠缺级，并不是没有安全保护功能，只是太弱。

　　C1级，自主安全保护级，

　　C2级，受控存取保护级，

　　B1级，结构化保护级

　　B3级，安全域级

　　A1，验证设计级。

　　七、评估增长的安全操作代价

　　为了确定网络的安全策略及解决方案:首先，应该评估风险，即确定侵入破坏的机会和危害的潜在代价;其次，应该评估增长的安全操作代价。

　　安全操作代价主要有以下几点:

　　(1)用户的方便程度

　　(2)管理的复杂性

　　(3)对现有系统的影响

　　(4)对不同平台的支持