淺談網(wǎng)站服務(wù)器安全防護(hù)管理

趙連方，韓冰

（廣州海關(guān)信息中心，廣東廣州，510623）

1 基本網(wǎng)站服務(wù)器維護(hù)

含有保密信息數(shù)據(jù)的區(qū)域全面轉(zhuǎn)成NTFS格式；同時，定期檢查更新殺毒防毒程序。在員工電腦上必須安裝防毒軟件。需要設(shè)定這類軟件定時自動下載最新的病毒防護(hù)文件。此外，必須安裝殺毒防毒軟件在電子郵件服務(wù)器上，用來檢查掃描接收到的電子郵件，如果發(fā)現(xiàn)攜帶病毒感染的附件，系統(tǒng)會發(fā)出提示，相應(yīng)電子郵件應(yīng)該馬上處理。這樣可以降低病毒入侵的幾率。

此外，是限制員工只能在工作時間登錄內(nèi)部網(wǎng)絡(luò)，工作時間外沒有權(quán)限。這也是防止病毒從外部入侵的根本方法。

第三，獲取內(nèi)部網(wǎng)絡(luò)信息上的各種數(shù)據(jù)需要密碼。員工設(shè)置個人密碼需要標(biāo)準(zhǔn)規(guī)則。例如，數(shù)字，特殊字符和大小寫字母等，以及限制密碼長度。同時，可以使用相關(guān)密碼測試軟件進(jìn)行抽樣測試，以監(jiān)測密碼安全。

2 換位思考，模擬可能的入侵和攻擊

我們以網(wǎng)站服務(wù)器維護(hù)員的思路想問題，不容易找到網(wǎng)站服務(wù)器的問題。如果我們能換個角度，從網(wǎng)站服務(wù)器入侵者的立場思考他們采取的方法，從哪些方面對網(wǎng)站服務(wù)器進(jìn)行入侵破壞，可能會找出網(wǎng)站服務(wù)器的安全隱患。未雨綢繆，提前制定修改方案，從而杜絕被木馬或者病毒攻擊。

此外，從外部網(wǎng)路訪問自身的，進(jìn)行全面的檢查，進(jìn)而模擬病毒入侵攻擊自身的網(wǎng)站服務(wù)器，檢測服務(wù)器的安全性。維護(hù)人員可以模擬自己為入侵者，通過對網(wǎng)站服務(wù)器進(jìn)行掃描，及早查出服務(wù)器安全隱患或漏洞。通常在網(wǎng)站服務(wù)器安裝或配置的時候，部分不必要的操作系統(tǒng)服務(wù)器會默認(rèn)安裝并啟動，黑客攻擊者會利用這些漏洞攻擊網(wǎng)站。例如提供服務(wù)器系統(tǒng)的詳細(xì)信息的基本網(wǎng)絡(luò)維護(hù)協(xié)議，其中包含了網(wǎng)站服務(wù)器的操作系統(tǒng)，對應(yīng)的端口等重要信息。基本網(wǎng)絡(luò)維護(hù)協(xié)議在系統(tǒng)安裝完畢后默認(rèn)是開啟的，入侵者獲取此類信息就可以入侵網(wǎng)站服務(wù)器。這些問題不易被維護(hù)人員在日常工作中發(fā)現(xiàn)。采用多種方法，檢查網(wǎng)站服務(wù)器的安全性，把隱患降低最低，是防護(hù)管理的根本。

3 日常防火墻的管理

防火墻是網(wǎng)站服務(wù)器日常防護(hù)管理中重要組成環(huán)節(jié)，必不可少。定期檢查防火墻的設(shè)置保證其版本更新，可以保護(hù)網(wǎng)站及公司電腦設(shè)備上的信息不被竊取。

第一，IP地址不能隨意泄露。設(shè)定一個對外部的的IP地址，網(wǎng)絡(luò)通訊信息等需要通過這個IP地址。電子郵件服務(wù)器和網(wǎng)站服務(wù)器必須經(jīng)過防火墻才可以對外。重要的IP地址一定要隱藏，例如，內(nèi)部平臺上的IP地址。

第二，日常要關(guān)閉非必要的端口，但是像用于HTTP流量的端口不能關(guān)閉。我們可以在網(wǎng)絡(luò)服務(wù)站是看到各個端口的詳細(xì)信息，從而做出合理操作。網(wǎng)站服務(wù)器通常除了運(yùn)行網(wǎng)站，同時提供內(nèi)部多個服務(wù)器和網(wǎng)絡(luò)服務(wù)的應(yīng)用。多種網(wǎng)絡(luò)服務(wù)出現(xiàn)在相同服務(wù)器上，會出現(xiàn)服務(wù)之間的相互感染。如果網(wǎng)絡(luò)入侵者進(jìn)入了某一種服務(wù)，其他使用會被輕易攻克。同理，內(nèi)部平臺會遭到入侵者的破壞。因此避免多種服務(wù)應(yīng)用公用一個服務(wù)器是可以避免其他服務(wù)器被病毒串聯(lián)感染的。

4 網(wǎng)站服務(wù)器的備份工作

定期對網(wǎng)站服務(wù)器的備份是預(yù)防系統(tǒng)故障和員工操作失誤，避免數(shù)據(jù)丟失的重要環(huán)節(jié)。重要信息和文檔要備份在幾個服務(wù)器上，防止網(wǎng)站服務(wù)器系統(tǒng)或者硬盤崩潰將信息丟失。這樣可以在某個服務(wù)器出現(xiàn)故障時，馬上將系統(tǒng)恢復(fù)到正常模式。定期對全系統(tǒng)進(jìn)行備份是網(wǎng)站服務(wù)器的根本工作，可以根據(jù)需要，每天，每周及每月等設(shè)定備份時間。

此外，可以利用密碼保護(hù)網(wǎng)站服務(wù)器備份工作。編輯備份程序時添加加密設(shè)置，將數(shù)據(jù)進(jìn)行加密可以有效保障其安全性。

圖1 為網(wǎng)站服務(wù)器安全防護(hù)流程

5 網(wǎng)站防護(hù)系統(tǒng)的設(shè)置

信息安全防護(hù)中的重要環(huán)節(jié)是網(wǎng)站服務(wù)器的防護(hù)系統(tǒng)部署。為了網(wǎng)站服務(wù)器免遭外部網(wǎng)絡(luò)攻擊、網(wǎng)頁被篡改，病毒蠕蟲或黑客攻擊的破壞，可以通過接入網(wǎng)站服務(wù)器防護(hù)系統(tǒng)的硬件引擎，以串接方式，連入網(wǎng)站服務(wù)器的前端，防火墻和另一端與互聯(lián)網(wǎng)相連，通過內(nèi)部網(wǎng)絡(luò)和硬件引擎的控制端口的連接，維護(hù)員全面對引擎進(jìn)行管理和控制，記錄數(shù)據(jù)。目前大多數(shù)網(wǎng)絡(luò)入侵是通過應(yīng)用層傳播，為了進(jìn)行阻斷，防護(hù)系統(tǒng)的應(yīng)用可以對網(wǎng)絡(luò)蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊、網(wǎng)絡(luò)設(shè)備攻擊等進(jìn)行保護(hù)。

在網(wǎng)站服務(wù)器前端連接，有效的保護(hù)網(wǎng)站服務(wù)器，但此應(yīng)用防護(hù)范圍限于網(wǎng)站服務(wù)器。將硬件引擎串接到被保護(hù)范圍的網(wǎng)絡(luò)前端這種方法可以消除無關(guān)網(wǎng)絡(luò)數(shù)據(jù)的干擾，從而提高網(wǎng)站服務(wù)器的運(yùn)行效率。

設(shè)置網(wǎng)站服務(wù)器防護(hù)系統(tǒng)，可以加強(qiáng)內(nèi)部網(wǎng)絡(luò)平的保護(hù)力度，保證內(nèi)部信息的安全穩(wěn)定。

6 腳本安全防護(hù)管理

不良的腳本是網(wǎng)絡(luò)攻擊者入侵網(wǎng)站服務(wù)器的門戶，很多服務(wù)器出于這個原因被攻擊從而崩潰的。CGI程序或者PHP腳本通常受到攻擊者的青睞。

圖2 為網(wǎng)站防護(hù)系統(tǒng)

參數(shù)是訪問網(wǎng)站服務(wù)器的基礎(chǔ)。在日常工作中，通常有兩種參數(shù)，值得信任的參數(shù)，和不值得信任的參數(shù)。通常防火墻內(nèi)部的參數(shù)是可以安全使用的且安全的，反之，不安全的參數(shù)大多數(shù)是來自外部的參數(shù)。對于網(wǎng)站服務(wù)器，不是絕對的來自防火墻外部的參數(shù)都不安全。需要維護(hù)人員在建立網(wǎng)站服務(wù)器的初始階段，檢測外部參數(shù)，看其是否可以使用，不能全部使用。不全面的檢查會造成網(wǎng)站服務(wù)器的安全隱患。比如，網(wǎng)絡(luò)入侵者采用TELNET連接到81端口，就能給CGL腳本傳輸不安全的參數(shù)。因此，我們在編輯程序或者建立PHP腳本的時候，設(shè)置為陌生參數(shù)不能隨意進(jìn)入。在接受參數(shù)之前，必須檢查參數(shù)的正當(dāng)性，我們可以加入某些判斷條件在程序或者腳本編寫時。這樣網(wǎng)站服務(wù)器可以提醒維護(hù)人員如果有參數(shù)不準(zhǔn)確的情況。維護(hù)人員可以在第一時間發(fā)現(xiàn)這攻擊者，進(jìn)而采取對應(yīng)的防御措施。

7 設(shè)置日志開啟

記錄網(wǎng)絡(luò)入侵者行蹤的一個方法時開啟日志服務(wù)。日志服務(wù)可以記錄網(wǎng)路入侵者攻擊的時間和操作信息。網(wǎng)絡(luò)服務(wù)器的維護(hù)人員可以在日志上可以查看攻擊者在系統(tǒng)上的攻擊行為，并通過分析網(wǎng)絡(luò)服務(wù)器的安全隱患。維護(hù)人員進(jìn)而制定查漏補(bǔ)缺的方案。

8 信息保密中的MD5算法

8.1 MD5的用途

日常工作中防止信息及文件被篡改，可以使用MD5算法。

在通過網(wǎng)絡(luò)傳輸電子文件情況下，在文件發(fā)送前，需要在文檔內(nèi)容里進(jìn)行MD5運(yùn)算，從而得到這個電子文件的 “數(shù)字指紋”，然后把 “數(shù)字指紋” 和電子文件一起發(fā)送給對方。當(dāng)對方收到電子文件后,應(yīng)用MD5算法對文件的內(nèi)容進(jìn)行運(yùn)算，最后會得到對應(yīng)的“數(shù)字指紋”，這個指紋和你所發(fā)送文件的“數(shù)字指紋” 相同時，表明文件在傳輸過程中沒有篡改。

當(dāng)用戶登錄系統(tǒng)時，登錄系統(tǒng)對用戶輸入的密碼執(zhí)行MD5哈希運(yùn)算，然后再使用用戶ID和密碼對應(yīng)的MD5“數(shù)字指紋” 進(jìn)行用戶認(rèn)證。認(rèn)證通過，則當(dāng)前的用戶可以正常登錄系統(tǒng)。用戶密碼經(jīng)過MD5哈希運(yùn)算后存儲的方案至少有兩個好處：防內(nèi)部攻擊：因?yàn)樵跀?shù)據(jù)庫中不會以明文的方式保存密碼，因此可以避免系統(tǒng)中用戶的密碼被具有系統(tǒng)管理員權(quán)限的人員知道。防外部攻擊：網(wǎng)站數(shù)據(jù)庫被黑客入侵，黑客只能獲取經(jīng)過 MD5 運(yùn)算后的密碼，而不是用戶的明文密碼。

8.2 MD5應(yīng)用

第一，驗(yàn)證密碼。如果想密碼不被破譯，最好的方法是加鹽和亂序，也可以只取一半md5的長度。md5是不可逆算法，只要保證算法不變，就能和數(shù)據(jù)庫中的md5相匹配。第二，文件完整性的檢測。當(dāng)下載一個文件時，服務(wù)器返回的信息中包括這個文件的md5，在本地下載完畢時進(jìn)行md5，將兩個md5值進(jìn)行比較，相同就表示文件沒有被改動。第三，文件上傳。文件上傳時會上傳文件的信息此時將文件的md5上傳，服務(wù)器中存儲這個md5值，并存儲這個md5值所對應(yīng)的已上傳字節(jié)長度，比如未上傳對應(yīng)為0，已上傳對應(yīng)為-1，已上傳200字節(jié)就對應(yīng)200，這個上傳的時候可以匹配到這個文件在服務(wù)器中的狀態(tài)，方便做斷點(diǎn)續(xù)傳，保證源文件沒有更改,即便更改名字，更改賬戶都能在服務(wù)器找到對應(yīng)的文件，所以這個文件已經(jīng)在服務(wù)器中上傳完成時,其他人再上傳這個文件就可以達(dá)到秒傳。

9 結(jié)論

在網(wǎng)站服務(wù)器的安全防護(hù)管理中，我們要不斷完善方法措施。當(dāng)前網(wǎng)絡(luò)發(fā)展迅猛，前方的挑戰(zhàn)和威脅無時無刻不在提醒我們，只有不斷提高自身的防護(hù)能力才能有效遏制攻擊。越來越多的黑客攻擊給網(wǎng)絡(luò)服務(wù)器帶來了嚴(yán)重的毀壞。網(wǎng)站服務(wù)器的維護(hù)人員，需要未雨綢繆，制定有效的防護(hù)管理措施。我們要充分利用防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等，把問題消除在萌芽階段，確保網(wǎng)站安全運(yùn)營。