加強(qiáng)Web服務(wù)器安全防護(hù)措施的策略探討

金姍

摘 要：外網(wǎng)Web服務(wù)器部署于互聯(lián)網(wǎng)對外提供服務(wù)，遭受惡意攻擊的概率較大，且往往后果嚴(yán)重。論文從殺毒軟件的選型、查殺設(shè)置、更新維護(hù)、服務(wù)器操作系統(tǒng)補(bǔ)丁更新、服務(wù)器備份以及操作系統(tǒng)安全加固等方面提出建議措施，對Web服務(wù)器進(jìn)行綜合安全防護(hù)。

關(guān)鍵詞：Web服務(wù)器；補(bǔ)丁；備份；安全加固

中圖分類號： TP 文獻(xiàn)標(biāo)識碼：B

Abstract： External network Web server deployed in the Internet to provide services to the outside world， the probability of malicious attacks is relatively large， and often has serious consequences. This paper gives the proposed measures from the selection of anti-virus software settings， update and maintenance， server operating system update server， backup， and operating system security reinforcement and so on. It will gives comprehensive security protection for Web server.

Key words： web server； patch； backup； security reinforcement

1 引言

外網(wǎng)Web服務(wù)器部署于互聯(lián)網(wǎng)對外提供服務(wù)，遭受惡意攻擊的可能性比較大，輕則導(dǎo)致服務(wù)中斷，或者主頁篡改，重則危及業(yè)務(wù)數(shù)據(jù)安全，其后果影響巨大，因此如何提升Web服務(wù)器的整體防護(hù)能力至關(guān)重要，本文從殺毒軟件的選型、查殺設(shè)置、更新維護(hù)、服務(wù)器操作系統(tǒng)補(bǔ)丁更新、服務(wù)器備份以及操作系統(tǒng)安全加固等方面提出建議措施。

2 殺毒軟件的選型、查殺設(shè)置和更新維護(hù)

2.1 殺毒軟件的選型

看性能：主要從掃描速度、反病毒功能（漏報漏殺和誤報誤殺）、自我保護(hù)強(qiáng)度以及資源占用等要素進(jìn)行考量。

看評價：主要通過收集、整理網(wǎng)上點(diǎn)評，參考兄弟單位選用情況和使用效果，在此基礎(chǔ)上進(jìn)行綜合分析。

看服務(wù)：主要從廠商是否能夠及時提供最新的病毒庫，是否可以進(jìn)行現(xiàn)場技術(shù)支持，是否具備快速的服務(wù)響應(yīng)時間等方面進(jìn)行考慮。

結(jié)合防毒墻綜合考慮，需選購與防毒墻的病毒庫不同品牌的殺毒軟件，與現(xiàn)有防毒墻協(xié)同工作，形成兩道病毒防護(hù)線，提高病毒查殺率。

2.2 病毒查殺方式設(shè)置

殺毒軟件是直接安裝在Web服務(wù)器上的，如果出現(xiàn)誤殺情況，那么極有可能導(dǎo)致Web服務(wù)器無法正常對外提供服務(wù)，因此如果已經(jīng)在網(wǎng)關(guān)處部署了硬件防毒墻，建議Web服務(wù)器上安裝的殺毒軟件，其查殺方式設(shè)置得更為“柔和”，比如采取告警提示或隔離可疑文件等措施。

2.3 殺毒軟件更新維護(hù)

殺毒軟件更新維護(hù)包括兩方面：軟件引擎更新和病毒庫升級。出于安全考慮，中心機(jī)房往往通過配置防火墻訪問控制策略，阻斷了所有服務(wù)器主動發(fā)起的外網(wǎng)訪問請求，但是為了保證殺毒軟件引擎和病毒庫處于最新狀態(tài)，我們需在防火墻上配置過慮策略，僅允許服務(wù)器訪問指定域名或地址，實(shí)現(xiàn)安全可控的在線自動實(shí)時更新。

3 服務(wù)器操作系統(tǒng)補(bǔ)丁更新機(jī)制

系統(tǒng)漏洞往往被惡意行為者利用，以竊取服務(wù)器中的重要數(shù)據(jù)，甚至破壞系統(tǒng)，為了規(guī)避系統(tǒng)漏洞引發(fā)的安全隱患，需及時更新補(bǔ)丁，但是由于服務(wù)器補(bǔ)丁的隨意更新可能會對服務(wù)器的正常運(yùn)行產(chǎn)生影響，因此在更新操作系統(tǒng)補(bǔ)丁時應(yīng)考慮四點(diǎn)。

3.1 服務(wù)器選取原則

優(yōu)先選擇在正式應(yīng)用環(huán)境具備公網(wǎng)地址的服務(wù)器。

3.2 補(bǔ)丁選取原則

優(yōu)先選取服務(wù)器在防火墻上所開放端口對應(yīng)服務(wù)的補(bǔ)丁。

3.3 補(bǔ)丁更新原則

每臺計劃安裝補(bǔ)丁的服務(wù)器需準(zhǔn)備相同環(huán)境的備用服務(wù)器（備機(jī)可采用虛擬機(jī)），用作安裝最新補(bǔ)丁測試，為了更好地觀察補(bǔ)丁更新后是否對服務(wù)器產(chǎn)生了負(fù)面影響，建議采取每次僅更新一個補(bǔ)丁的辦法，將更新好補(bǔ)丁的備用服務(wù)器接入正式環(huán)境，暫替換正式環(huán)境服務(wù)器，并對系統(tǒng)運(yùn)行情況進(jìn)行為期兩周的觀察（觀察時間可根據(jù)官方補(bǔ)丁發(fā)布頻率做適當(dāng)調(diào)整）。在此期間，若備用服務(wù)器無法正常運(yùn)行應(yīng)及時切換至正式環(huán)境服務(wù)器；若備用服務(wù)器可以正常運(yùn)行則為正式環(huán)境服務(wù)器打上相同補(bǔ)丁，接入正式環(huán)境替換備用服務(wù)器，再運(yùn)行兩周，確保運(yùn)行無誤后，在備用服務(wù)器上更新第二個補(bǔ)丁，以此類推。

歸檔記錄：當(dāng)補(bǔ)丁在服務(wù)器上成功安裝且系統(tǒng)在正式環(huán)境下穩(wěn)定運(yùn)行后，則將該補(bǔ)丁歸檔，同時更新服務(wù)器補(bǔ)丁安裝記錄表。

4 備份機(jī)制

服務(wù)器崩潰、黑客攻擊、人為誤操作等原因都會造成系統(tǒng)無法正常對外提供服務(wù)，這時以最短時間重構(gòu)系統(tǒng)至為關(guān)鍵，而一個完善的系統(tǒng)備份體系是重構(gòu)系統(tǒng)的基礎(chǔ)和保障，該項工作需考慮幾個方面。

為保證備份數(shù)據(jù)正確無誤，需制定完整的數(shù)據(jù)備份操作規(guī)程，在每次實(shí)施完成后如實(shí)填寫備份操作表。

服務(wù)器備份需根據(jù)實(shí)際情況進(jìn)行選擇，備份的方式分為兩種，即文件備份和系統(tǒng)全盤Ghost備份。所有Web服務(wù)器都需要分別以這兩種形式進(jìn)行備份，并分別用專用移動存儲設(shè)備進(jìn)行備份；如果服務(wù)器程序需更新，先將更新的文件備份至專用移動存儲設(shè)備和光盤，再更新服務(wù)器程序，保證數(shù)據(jù)備份的準(zhǔn)確性。

適時進(jìn)行備份數(shù)據(jù)恢復(fù)測試和模擬故障恢復(fù)演練，如果出現(xiàn)程序文件丟失、破壞或服務(wù)器操作系統(tǒng)的故障，確保可以安全、快速地恢復(fù)故障。

5 操作系統(tǒng)安全加固

操作系統(tǒng)安全是計算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)，目前盡管中心機(jī)房往往配備防火墻、防毒墻、IPS等安全防護(hù)設(shè)備，但是它們基本上都工作在網(wǎng)絡(luò)層以上，一旦服務(wù)器遭受到網(wǎng)絡(luò)底層攻擊，所有的應(yīng)用層防護(hù)都將形同虛設(shè)，因此操作系統(tǒng)安全加固顯得尤為重要，建議從系統(tǒng)用戶口令策略加固、日志及審核策略配置、安全選項策略配置、用戶權(quán)限策略配置及注冊表安全設(shè)置等方面對操作系統(tǒng)進(jìn)行安全加固。

6 結(jié)束語

盡管說“信息安全，防護(hù)為主”，但是構(gòu)建一個相對完善的信息安全保障體系是一項系統(tǒng)工程，今后還需從Web服務(wù)器的監(jiān)控與告警、出現(xiàn)故障后的應(yīng)急處置方案等方面進(jìn)行綜合考慮。

參考文獻(xiàn)

[1] 寧蒙.網(wǎng)絡(luò)信息安全與防范技術(shù)[M].南京： 東南大學(xué)出版社，2005.

[2] 杜厚祥.計算機(jī)公共機(jī)房軟件系統(tǒng)備份與還原[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2007（5）：70-71.

[3] 張英鵬.如何選擇殺毒軟件[J].職大學(xué)報，2009（2）：104-105.

[4] 郭文，周路捷，張潔.物理隔離環(huán)境下操作系統(tǒng)補(bǔ)丁更新方案[J].計算機(jī)安全，2013（8）：65-70.endprint