淺談web服務(wù)器的安全防護(hù)體系構(gòu)建

【摘 要】 由于Intranet網(wǎng)站的數(shù)據(jù)資料都存儲(chǔ)于WEB服務(wù)器中，一旦遭到破壞將會(huì)影響正常的網(wǎng)站運(yùn)營(yíng)，給企業(yè)造成不可彌補(bǔ)的損失，因此，構(gòu)建Web服務(wù)器安全防護(hù)體系至關(guān)重要。本文針對(duì)Web服務(wù)器面臨的主要威脅，分別對(duì)服務(wù)器系統(tǒng)及Web軟件防護(hù)體系的構(gòu)建問題進(jìn)行探討，以期通過(guò)本文的闡述不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保企業(yè)WEB服務(wù)器有一個(gè)安全、穩(wěn)定、高效的運(yùn)行環(huán)境。

【關(guān)鍵詞】 web服務(wù)器 安全防護(hù) 安全設(shè)置

Abstract ： Aiming at the main threat which the Web server is faced with respectively， the paper discusses the construction of the server system and Web software protection system.

1.Web服務(wù)器面臨的主要威脅

Web服務(wù)器面臨著許多威脅，大部分威脅與系統(tǒng)中配置的應(yīng)用程序、操作系統(tǒng)和環(huán)境有關(guān)。

1.1拒絕服務(wù)

拒絕服務(wù)是一種“老牌”服務(wù)器攻擊。這種攻擊很簡(jiǎn)單，通常由技術(shù)水平較低的被稱為腳本小子的年輕人發(fā)動(dòng)此類攻擊。總體而言，DoS攻擊通過(guò)一個(gè)系統(tǒng)攻擊另一個(gè)系統(tǒng)，其目的是消耗后者的所有資源，例如帶寬和處理器時(shí)間，從而無(wú)法進(jìn)行合法請(qǐng)求，通常認(rèn)為這是一種無(wú)聊的攻擊。但一定不要因此放松警惕，為它會(huì)使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，或無(wú)法及時(shí)同應(yīng)外界請(qǐng)求。

1.2Web頁(yè)面更改攻擊

在Intranet上經(jīng)常可以看到Web貞面被更改。顧名思義，Web頁(yè)面更改源于攻擊者利用Web服務(wù)器的不良配置修改Web頁(yè)面，其原因有很多，比如為了捉弄?jiǎng)e人或推行某種政治主張。

1.3SQL注入

結(jié)構(gòu)化查詢語(yǔ)言（SQL）注入是專門針對(duì)數(shù)據(jù)庫(kù)的攻擊。在這種攻擊中，攻擊者利用數(shù)據(jù)庫(kù)或Web頁(yè)面的設(shè)計(jì)缺陷，從數(shù)據(jù)庫(kù)提取信息，甚至操縱數(shù)據(jù)庫(kù)的信息，雖然不能詳細(xì)解釋這種攻擊是如何實(shí)施的，但如果了解SQL的話，就可以找到相關(guān)的答案。如果在Web服務(wù)器上駐留數(shù)據(jù)庫(kù)的話，一定要了解這種攻擊。

1.4不良代碼

任何開發(fā)人員或信息技術(shù)人員都知道，不良的編程習(xí)慣會(huì)帶來(lái)很多問題。不良代碼源于眾多閃素，包括培訓(xùn)質(zhì)量差、新手或應(yīng)用程序的質(zhì)量沒有保證。從好的方面講，不良代碼會(huì)給人添麻煩，并且某些特性不能按預(yù)期工作；從壞的方面講，包含不良代碼的應(yīng)用程序就成了最大的安全隱患。

2.服務(wù)器的安全防護(hù)

2.1密碼安全

服務(wù)器操作系統(tǒng)安裝初期有一部分賬號(hào)默認(rèn)狀態(tài)為開啟，這些賬號(hào)很多都是沒用的，比如guest賬號(hào)。不要使用windows默認(rèn)管理員帳戶administrator做為管理賬戶，同時(shí)在建立兩個(gè)管理員帳戶，以便不時(shí)之需，但是這些帳戶的權(quán)限要嚴(yán)格控制，非必要時(shí)不要將鍵個(gè)服務(wù)器予以授權(quán)。鑒于暴力破解密碼的手段和速度，密碼復(fù)雜度一定要高，最好是字符、數(shù)字、字母、特殊符號(hào)等組合的十位以上的字符串。并定期更改密碼防止破解。

2.2系統(tǒng)安全

我們現(xiàn)階段常使用的服務(wù)器操作系統(tǒng)為Windows 2003 Enterprise Edition版。操作系統(tǒng)安裝后，要安裝正版的服務(wù)器專用殺毒軟件，做到必要的安全防護(hù)。另外，微軟公司根據(jù)安全需求更新的系統(tǒng)補(bǔ)丁，必須及時(shí)為服務(wù)器安裝上。將可能由這些漏洞引起的安全問題，及時(shí)扼殺在萌芽狀態(tài)。

2.3服務(wù)分屬、數(shù)據(jù)管理、保留地址

企業(yè)內(nèi)的服務(wù)通常有DNS服務(wù)、郵件服務(wù)、0A服務(wù)、FTP服務(wù)等等。盡量做到重要的服務(wù)，最好按照不同服務(wù)，分屬開來(lái)，實(shí)行單一化。避免一臺(tái)服務(wù)器提供多項(xiàng)服務(wù)造成相互影響，增加服務(wù)器的自身運(yùn)行壓力。

數(shù)據(jù)的安全至關(guān)重要，為保證數(shù)據(jù)的安全，備份是必不可少的，最好能做到增量備份，每星期做全盤備份，每個(gè)月檢杏數(shù)據(jù)備份是否完善。有條件的能夠做到將數(shù)據(jù)定期制作成兀余光盤是最理想的。

服務(wù)器的地址要有完全不受控性和永久不被侵占性，這就要保留一部分地址只供服務(wù)器使用。并將這些IP地址和服務(wù)器的MAC地址綁定。避免服務(wù)器地址被占用而造成服務(wù)中斷。

3.WEB的安全防護(hù)

3.1 IIS的相關(guān)設(shè)置

不使用默認(rèn)的web站點(diǎn)，如果使用也要將IIS目錄與系統(tǒng)磁盤分開。

在IIS中展開網(wǎng)站，找到正在使用的網(wǎng)站，在其屬性中配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬以及性能等。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl應(yīng)用程序擴(kuò)展。設(shè)置I1S的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。

更改IIS日志的路徑，避免使用默認(rèn)的保存、缺省路徑。

3.2 MySQL安全設(shè)置

由于服務(wù)器使用MySQL數(shù)據(jù)庫(kù)，因此MySQL數(shù)據(jù)庫(kù)也有一些需要注意的安全設(shè)置。

密碼策略。密碼策略是所有安全配置的第一步，很多數(shù)據(jù)庫(kù)帳號(hào)的密碼過(guò)于簡(jiǎn)單，對(duì)于sa更應(yīng)該應(yīng)該注意，同時(shí)不要讓sa帳號(hào)的密碼寫于應(yīng)用程序或者腳本中。

安全的帳號(hào)策略。sa是既不能更改也不能刪除的超級(jí)用戶，所以，我仃必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)。比如使用一個(gè)復(fù)雜的密碼，或者最好不要在數(shù)據(jù)庫(kù)應(yīng)用中使用sa帳號(hào)，只有當(dāng)沒有其它方法登錄到SQL Server實(shí)例（例如，當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼）時(shí)才使用sa。建議數(shù)據(jù)庫(kù)管理員新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來(lái)管理數(shù)據(jù)庫(kù)。

賦予普通用戶update、Delete、alert、create、drop等權(quán)限的時(shí)候，要限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。

檢查mysq1.user表，取消不必要用戶的shutdown_priv，reload_priv，proces_priv和File_

priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限（此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息）。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的普及、應(yīng)用及Web技術(shù)的不斷完善，Web服務(wù)已經(jīng)成為互聯(lián)網(wǎng)上重要的服務(wù)形式之一。保護(hù)Web服務(wù)器和駐留在其上的應(yīng)用程序是一項(xiàng)艱巨的任務(wù)，但這項(xiàng)任務(wù)并非不可完成。通過(guò)一些研究和適當(dāng)?shù)呐Γ湍軌颢@得更加安全的宿主環(huán)境，并避免以后可能發(fā)生的問題。

參考文獻(xiàn)：

[1]馬琰．如何提高個(gè)人Web服務(wù)器的安全性[J].職業(yè)圈，2007，（9）．

[2]王遠(yuǎn)哲．細(xì)說(shuō)高校WEB服務(wù)器安全[J]．電腦知識(shí)與技術(shù)，2008，（9）．

[3]田巍.四川航空股份有限公司網(wǎng)絡(luò)安全方案可行性分析和規(guī)劃[M].北京：電子科技大學(xué)，2005．

（作者單位：秦皇島首創(chuàng)水務(wù)有限公司）