時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
??? 為了提高WEB服務(wù)器的安全性,有眾多的方法。在這里,要向大家推薦的主要是三種方法。如果只想通過這三種方法來保障WEB服務(wù)器的安全當(dāng)然是遠(yuǎn)遠(yuǎn)不夠的。但是,若企業(yè)信息化管理人員若疏忽了這三個方面的內(nèi)容,則WEB服務(wù)器的安全性是很難保障的。
??? 利器一:為WEB應(yīng)用建立獨立的服務(wù)器。?
??? 由于WEB服務(wù)器可能遭受到的攻擊,比ERP系統(tǒng)、辦公自動化系統(tǒng)等應(yīng)用服務(wù)器的幾率高的多。所以,若把這些應(yīng)用放在WEB應(yīng)用同一個服務(wù)器中,則弱WEB服務(wù)器遭受到攻擊,則很有可能殃及到ERP等關(guān)鍵應(yīng)用。
??? 筆者企業(yè)中雖然把OA系統(tǒng)的接口綁定在WEB服務(wù)器上,但是,OA系統(tǒng)與WEB應(yīng)用仍然在不同的應(yīng)用服務(wù)器上。這主要是為了方便員工從企業(yè)外部訪問OA系統(tǒng)。如此的好處,就是當(dāng)WEB服務(wù)遭受到攻擊不能使用時,最多員工無法從企業(yè)外部訪問OA系統(tǒng);而不影響企業(yè)內(nèi)部員工的正常訪問。
??? 筆者第一個要提醒大家的就是,在部署服務(wù)器的時候,做好讓W(xué)EB等面向互聯(lián)網(wǎng)的應(yīng)用服務(wù)跟其他面向內(nèi)部的應(yīng)用服務(wù)在不同的服務(wù)器上部署。這在保障WEB服務(wù)器安全的同時,也提高了企業(yè)其他應(yīng)用服務(wù)的安全性。
??? 利器二:事務(wù)日志,讓你對WEB運行狀況了如指掌。?
??? 其實,WEB服務(wù)器只要采取一定的保護措施,則攻擊就需要一個過程,不是說在一個短時間內(nèi)就可以完成的。通常情況下,這個攻擊的過程往往會在WEB服務(wù)器的事務(wù)日志中留下蛛絲馬跡。如非法攻擊者視圖通過密碼字典破解工具,嘗試網(wǎng)站管理員的口令與密碼的時候,就會在WEB服務(wù)器的日志中留下紀(jì)錄。如果我們在事務(wù)審核中,設(shè)置當(dāng)用戶密碼最多輸入錯誤次數(shù)的話,則當(dāng)超過這個最大次數(shù)的時候,服務(wù)器就會在自己的日志中紀(jì)錄這條信息。此時,若網(wǎng)站管理人員可以看到這條信息,則他們就可以及時的采取措施,如更改復(fù)雜密碼等手段,來提高服務(wù)器的安全性。
??? 所以,每一個WEB服務(wù)器的管理人員都必須要重視事務(wù)日志的重要性。同時,為了讓事務(wù)日志發(fā)揮更大的作用,往往需要啟用審核功能。通過審核事件跟系統(tǒng)日志結(jié)合起來,可以讓日志服務(wù)器紀(jì)錄一些常見的攻擊行為。從而給企業(yè)安全人員提供參考。否則的話,企業(yè)安全人員都不知道那里受到攻擊了,那么他們也就根本無法進行及時的應(yīng)對。
??? 不過話說話來,有些高手攻擊企業(yè)WEB服務(wù)后,不會再事務(wù)日志上留下任何痕跡。這并不是說事務(wù)日志不管用了。而是因為他們在結(jié)合攻擊后,會修改事務(wù)日志的信息。如某個攻擊者竊取了管理員用戶與密碼后訪問企業(yè)網(wǎng)站中的機密信息。一般情況下,這個訪問紀(jì)錄會在事務(wù)日志中有所顯示。但是,一些高手會在推出之前修改事務(wù)日志。刪除這些訪問信息,或者更改訪問者。讓企業(yè)安全管理人員無從查起。為了讓他們無法更改事務(wù)日志文件,則最好的方法就是更改事務(wù)日志文件的路徑,并對其進行及時的備份。由于不知道路徑的準(zhǔn)確位置,所以,不法攻擊者想攻擊想修改日志并隱藏自己的蹤跡,都不可能。
??? 筆者現(xiàn)在的做法是,更改WEB服務(wù)器的日志的默認(rèn)路徑。并且每隔三個小時對事務(wù)日志進行異地備份。同時,結(jié)合事件審核功能,當(dāng)日志服務(wù)器捕捉到一些異常信息時,如某個用戶一直在試圖登陸WEB服務(wù)器的管理站時,就會像企業(yè)管理人員遞交這個異常信息。通過日志的管理,可以把WEB服務(wù)器的一些安全隱患及時的告知給管理人員。
??? 所以筆者這里要向大家推薦的第二把利器就是WEB服務(wù)器的日志管理 。管理員為了提高日志的安全性,要修改服務(wù)器日志的默認(rèn)路徑,并且定時對其進行異地備份。同時,要跟其他的功能,如安全審核、賬戶安全策略等工具,結(jié)合使用,可以起到事半功倍的作用。
??? 利器三:代碼,影響WEB服務(wù)器安全的最大殺手。
??? 對于WEB服務(wù)器來說,代碼是其安全的最大殺手之一。很多WEB服務(wù)器被攻破,大部分是由于代碼設(shè)計不當(dāng)所引起的。故管理好WEB服務(wù)器的代碼,是保障WEB服務(wù)器安全的首要任務(wù)。
??? 為了提高代碼的安全性,網(wǎng)站開發(fā)者要養(yǎng)成一些好的代碼編寫習(xí)慣。
??? 一是不要直接采用網(wǎng)絡(luò)上的代碼。
??? 有些開發(fā)者為了工作上的便利,會直接拷貝其他網(wǎng)友提供的代碼。但是,不幸的是,天下沒有白吃的午餐。有些人免費提供這些代碼往往帶有不可告人的秘密。如現(xiàn)在網(wǎng)絡(luò)上提供的一些電子商務(wù)平臺與網(wǎng)站論壇代碼,代碼提供者很有可能會在代碼中預(yù)留一個后門。當(dāng)他覺得有必要的話,則就可以很輕易的采用這個后門對其進行攻擊。所以,若企業(yè)要在WEB服務(wù)器上實現(xiàn)一些關(guān)鍵應(yīng)用,如客戶在線下單等等,則最好不要采用網(wǎng)絡(luò)上現(xiàn)成的編碼。只可以借鑒,不可以抄襲。最好的話,自己開發(fā)。
??? 二是增加的新功能不要在WEB服。
??? 企業(yè)在發(fā)展,WEB應(yīng)用也逐漸在完善。企業(yè)市場會提出一些新的需求。當(dāng)開發(fā)者在開發(fā)某個功能的時候,最好不要直接在WEB服務(wù)器上直接進行測試。有條件的企業(yè),最好專門配置一個測試服務(wù)器,以方便程序開發(fā)人員測試新功能。特別是若把這個程序開發(fā)外包給外面的企業(yè)的話,不能夠為了貪圖方便,直接讓對方在現(xiàn)用的WEB服務(wù)器上進行測試。俗話說,知人知面不知心。對方很可能在你不知情的情況下,植入一個木馬都說不定。所以,防人之心不可無。企業(yè)在新功能的開發(fā)測試上還是要小心為妙。
??? 三是盡量不要采用不安全的控件。
??? 企業(yè)WEB應(yīng)用跟娛樂網(wǎng)站不同。企業(yè)門戶網(wǎng)站強調(diào)的是快速、穩(wěn)定、安全;而娛樂網(wǎng)站則強調(diào)的是美觀、靚麗、特效。為了吸引眼球,提高點擊率,娛樂網(wǎng)站往往會采用比較多的特效。為此,他們會在WEB服務(wù)上采用比較多的控件來達到這個效果。但是,這些控件往往都有安全漏洞,跟WEB服務(wù)器的安全背道而馳。如FLASH控件等等。針對這種控件的攻擊,互聯(lián)網(wǎng)上可能每天都在發(fā)生。還說不定哪一天就落到企業(yè)的頭上了。所以,企業(yè)網(wǎng)站只追求穩(wěn)定、安全,沒有必要過多的采用控件來實現(xiàn)特技效果。
??? 筆者向大家推薦的第三把利器就是要做好代碼的安全設(shè)計,盡量減少采用不安全的控件。企業(yè)網(wǎng)站應(yīng)該追求穩(wěn)定、反映速度等等。而過多的采用控件,跟這兩個目標(biāo)都是背道而馳的。
關(guān)鍵詞標(biāo)簽:WEB服務(wù)器
相關(guān)閱讀
熱門文章 ISAPI Rewrite實現(xiàn)IIS圖片防盜鏈 IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin 在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略 win2000server IIS和tomcat5多站點配置
人氣排行 XAMPP配置出現(xiàn)403錯誤“Access forbidden!”的解決辦法 WIN2003 IIS6.0+PHP+ASP+MYSQL優(yōu)化配置 訪問網(wǎng)站403錯誤 Forbidden解決方法 如何從最大用戶并發(fā)數(shù)推算出系統(tǒng)最大用戶數(shù) Server Application Unavailable的解決辦法 報錯“HTTP/1.1 400 Bad Request”的處理方法 Windows Server 2003的Web接口 http 500內(nèi)部服務(wù)器錯誤的解決辦法(windows xp + IIS5.0)