如何保障Web服務器安全

不但企業(yè)的門戶網站被篡改、資料被竊取，而且還成為了病毒與木馬的傳播者。有些Web管理員采取了一些措施，雖然可以保證門戶網站的主頁不被篡改，但是卻很難避免自己的網站被當作肉雞，來傳播病毒、惡意插件、木馬等等。筆者認為，這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防御。為了徹底提高Web服務器的安全，筆者認為，Web安全要主動出擊。具體的來說，需要做到如下幾點。 一、在代碼編寫時就要進行漏洞測試 現(xiàn)在的企業(yè)網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的，是通過代碼堆積起來的。如果這個代碼只供企業(yè)內部使用，那么不會帶來多大的安全隱患。但是如果放在互聯(lián)網上使用的話，則這些為實現(xiàn)特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發(fā)動攻擊，來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控件。用戶在安裝這些控件時，其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網站某個特定功能編寫代碼時，就要主動出擊。從編碼的設計到編寫、到測試，都需要認識到是否存在著安全的漏洞。筆者在日常過程中，在這方面對于員工提出了很高的要求。各個員工必須對自己所開發(fā)的功能負責。至少現(xiàn)在已知的病毒、木馬不能夠在你所開發(fā)的插件中有機可乘。通過這層層把關，就可以提高代碼編寫的安全性。 二、對Web服務器進行持續(xù)的監(jiān)控 冰凍三尺、非一日之寒。這就好像人生病一樣，都有一個過程。病毒、木馬等等在攻擊Web服務器時，也需要一個過程。或者說，在攻擊取得成功之前，他們會有一些試探性的動作。如對于一個采取了一定安全措施的Web服務器，從攻擊開始到取得成果，至少要有半天的時間。如果Web管理員對服務器進行了全天候的監(jiān)控。在發(fā)現(xiàn)有異常行為時，及早的采取措施，將病毒與木馬阻擋在門戶之外。這種主動出擊的方式，就可以大大的提高Web服務器的安全性。 筆者現(xiàn)在維護的Web服務器有好幾十個?，F(xiàn)在專門有一個小組，來全天候的監(jiān)控服務器的訪問。平均每分鐘都可以監(jiān)測到一些試探性的攻擊行為。其中99%以上的攻擊行為，由于服務器已經采取了對應的安全措施，都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞，或者采取了新的攻擊方式。在服務器上原先沒有采取對應的安全措施。如果沒有及時的發(fā)現(xiàn)這種行為，那么他們就很有可能最終實現(xiàn)他們的非法目的。相反，現(xiàn)在及早的發(fā)現(xiàn)了他們的攻擊手段，那么我們就可以在他們采取進一步行動之前，就在服務器上關掉這扇門，補上這個漏洞。 筆者在這里也建議，企業(yè)用戶在選擇互聯(lián)網Web服務器提供商的時候，除了考慮性能等因素之外，還要評估服務提供商能否提供全天候的監(jiān)控機制。在Web安全上主動出擊，及時發(fā)現(xiàn)攻擊者的攻擊行為。在他們采取進一步攻擊措施之前，就他們消除在萌芽狀態(tài)。 三、設置蜜罐，將攻擊者引向錯誤的方向 在軍隊中，有時候會給軍人一些偽裝，讓敵人分不清真?zhèn)?。其實在跟病毒、木馬打交道時，本身就是一場無硝煙的戰(zhàn)爭。為此對于Web服務器采取一些偽裝，也能夠將攻擊者引向錯誤的方向。等到供給者發(fā)現(xiàn)自己的目標錯誤時，管理員已經鎖定了攻擊者，從而可以及早的采取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說，就是設置兩個服務器。其中一個是真正的服務器，另外一個是蜜罐。現(xiàn)在需要做的是，如何將真正的服務器偽裝起來，而將蜜罐推向公眾。讓攻擊者認為蜜罐服務器才是真正的服務器。要做到這一點的話，可能需要從如下幾個方面出發(fā)。 一是有真有假，難以區(qū)分。如果要瞞過攻擊者的眼睛，那么蜜罐服務器就不能夠做的太假。筆者在做蜜罐服務器的時候，80%以上的內容都是跟真的服務器相同的。只有一些比較機密的信息沒有防治在蜜罐服務器上。而且蜜罐服務器所采取的安全措施跟真的服務器事完全相同的。這不但可以提高蜜罐服務器的真實性，而且也可以用來評估真實服務器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐服務器。攻擊者在判斷一個Web服務器是否值得攻擊時，會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高，那么即使被攻破了，也沒有多大的實用價值。攻擊者如果沒有有利可圖的話，不會花這么大的精力在這個網站服務器上面。如果要將攻擊者引向這個蜜罐服務器的話，那么就需要提高這個蜜罐服務器的訪問量。其實要做到這一點也非常的容易。現(xiàn)在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些后門讓攻擊者來鉆。作為Web服務器的管理者，不僅關心自己的服務器是否安全，還要知道自己的服務器有沒有被人家盯上?；蛘哒f，有沒有被攻擊的價值。此時管理者就需要知道，自己的服務器一天被攻擊了多少次。如果攻擊的頻率比較高，管理者就高興、又憂慮。高興的是自己的服務器價值還蠻大的，被這么多人惦記著。憂慮的是自己的服務器成為了眾人攻擊的目標。就應該抽取更多的力量來關注服務器的安全。 四、專人對Web服務器的安全性進行測試 俗話說，靠人不如靠自己。在Web服務器的攻防戰(zhàn)上，這一個原則也適用。筆者建議，如果企業(yè)對于Web服務的安全比較高，如網站服務器上有電子商務交易平臺，此時最好設置一個專業(yè)的團隊。他們充當攻擊者的角色，對服務器進行安全性的測試。這個專業(yè)團隊主要執(zhí)行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對自己的Web服務器發(fā)動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道?，F(xiàn)在要評估的是，Web管理團隊在多少時間之內能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最后沒有成功，Web管理團隊也應該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個不同的概念。 二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務器現(xiàn)有的漏洞所產生的。現(xiàn)在這個專業(yè)團隊要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對于這些已經存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

創(chuàng)新互聯(lián)公司-專業(yè)網站定制、快速模板網站建設、高性價比宣州網站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式宣州網站制作公司更省心,省錢,快速模板網站建設找我們，業(yè)務覆蓋宣州地區(qū)。費用合理售后完善，10年實體公司更值得信賴。

如何保證Web服務器安全？

一、在代碼編寫時就要進行漏洞測試。

二、對Web服務器進行持續(xù)的監(jiān)控。

三、設置蜜罐，將攻擊者引向錯誤的方向。

四、專人對Web服務器的安全性進行測試。

在Web服務器的攻防戰(zhàn)上，這一個原則也適用。筆者建議，如果企業(yè)對于Web服務的安全比較高，如網站服務器上有電子商務交易平臺，此時最好設置一個專業(yè)的團隊。他們充當攻擊者的角色，對服務器進行安全性的測試。這個專業(yè)團隊主要執(zhí)行如下幾個任務?！?/p>

一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對自己的Web服務器發(fā)動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道?，F(xiàn)在要評估的是，Web管理團隊在多少時間之內能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最后沒有成功，Web管理團隊也應該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個不同的概念。

二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務器現(xiàn)有的漏洞所產生的。現(xiàn)在這個專業(yè)團隊要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對于這些已經存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

信息安全 web 安全 論文

提起黑客，你也許會想到《黑客帝國》中變幻莫測的高手，其實現(xiàn)在功能強大且簡便易用的黑客軟件數不勝數，即便是剛剛上網的初級網蟲也能夠利用這些現(xiàn)成的攻擊軟件成為頗具殺傷力的黑客大俠。不過，我們并不要對黑客產生過分的恐懼感，我們完全可以做好防范，讓黑客無從下手。

第一步：選好操作系統(tǒng)

由于window98的易用性很好，所以它是很多朋友上網的首選操作系統(tǒng)。不過windows98很多系統(tǒng)本身的缺陷都為世人皆知，通過DDoS,WinNuke或者是UDP Flood之類的攻擊軟件，都可以輕易讓Windows 98給你一個藍色的死機臉色看看。目前微軟公司已經停止了對于Windows 98缺陷更新升級，因此這個操作系統(tǒng)可以說已經被時代所拋棄，如果不想頻繁地遭遇各種惡意炸彈攻擊，最好還是改換門庭，使用Windows 2000/XP系統(tǒng)吧。

第二步：補丁升級

沒有不透風的墻，即使采用了最新的操作系統(tǒng)，這也不意味著你的計算機已經放進了一個保險箱中，所以我們還要時刻關注微軟官方站點發(fā)布的補丁程序。通常在微軟公司發(fā)現(xiàn)了某些有可能影響系統(tǒng)安全的漏洞之后，都會在它的官方網站中發(fā)布系統(tǒng)補丁，這時應該在第一時間中下載安裝最新的補丁，及時堵住系統(tǒng)漏洞。比如Windows XP安裝了SP1之后也可以大幅度提升系統(tǒng)的安全性。

另外，使用Windows 2000/XP過程中還需要經常查看系統(tǒng)日志文件，因為這個文件會完整記錄一段時間之內所有的網絡活動情況，通過查看系統(tǒng)日志能夠得知是否有人對系統(tǒng)嘗試攻擊以及攻擊的結果，便于我們進行針對性的彌補。

第三步：關閉無用的服務

黑客對計算機發(fā)起攻擊必須通過計算機開放相應的端口，如果我們關閉了無用的端口，這樣就大大減少遭受攻擊的風險。對于Windows而言，可以去除系統(tǒng)中的NWLink、IPX/SPX傳輸協(xié)議，同時在TCP/IP協(xié)議屬性里啟用安全機制。如果沒有諸如ICQ、Real在線播放之類特別的需求，建議將所有UDP端口關閉。同樣，在Windows 2000/XP中也可將打印共享、Web服務等用不到的服務關閉，不僅節(jié)約了更多系統(tǒng)資源，同時也減少了黑客入侵的機會。

第四步：隱藏你的IP地址

黑客對你的計算機發(fā)起攻擊之前首先要確認計算機的IP地址，因此，我們可以防止別人通過ping方式來探測服務器，或者借助代理服務器來隱藏自己的真實IP地址。比如我們在天網防火墻的設置欄目中選中“防止別人用ping命令探測”，這樣不管別人通過域名還是IP地址方式進行ping測試都無法確認服務器是否處于開啟狀態(tài)，自然也就減少了黑客攻擊的機會。

第五步：查找本機漏洞

但是，長時間掛在網上給別人掃描你的計算機提供了便利的條件，怎樣才能有效防護呢？首先必須知道計算機中存在的安全隱患，因此我們可以借助系統(tǒng)掃描軟件來找出這些漏洞。就拿XScan來說，它可以采用多線程方式對本機所有的端口進行安全漏洞檢測，并且將掃描結果以文件方式保存起來，這樣我們就可以很輕松地找到計算機的漏洞，并且程序還會給出一些已知漏洞的細節(jié)描述，利用程序及解決方案，我們就能夠直接對漏洞進行修補來增強系統(tǒng)安全性。

第六步：防火墻軟件保平安

我們即使完成了上述操作，這也只是部分防護措施而已，最行之有效的網絡安全防護手段就是安裝一款防火墻軟件。目前這種防火墻軟件很多，比如天網防火墻、Norton Internet Firewall、ZoneAlarm等，它們不僅可以防Ping、防止惡意連接，而且在遇到惡意攻擊的時候還會有獨特的警告信息來引起你的注意，并且把所有的入侵信息記錄下來，讓你有案可查。因此，為了徹底確保上網沖浪時候不受外來的侵擾，還是選擇一款合適的網絡防火墻軟件讓你和MM聊天的時候擁有一個好心情吧。不過需要提醒大家注意：安裝了防火墻軟件并不意味著萬事大吉，為了避免防火墻軟件變成為徒有虛名的馬其諾防線，最好每隔一段時間還要在線升級更新，這樣網絡防火墻軟件才能更好地抵御最新的網絡攻擊。

真正做到了上述幾方面之后，專家建議我們再給電腦安裝個雨過天晴電腦保護系統(tǒng)，那么就算黑客給你電腦放入殺除不了木馬病毒，你也可以通過雨過天晴電腦保護系統(tǒng)快速，方便將電腦恢復到正常的工作狀態(tài)。有了雨過天晴電腦保護系統(tǒng)的保護，你的電腦就像穿上防彈衣一樣安全，讓你在網絡中任意遨游。

web服務器可能存在的安全問題有哪些？？

1、來自服務器本身及網絡環(huán)境的安全，這包括服務器系統(tǒng)漏洞，系統(tǒng)權限，網絡環(huán)境（如ARP等）、網絡端口管理等，這個是基礎。

2、來自WEB服務器應用的安全，IIS或者Apache等，本身的配置、權限等，這個直接影響訪問網站的效率和結果。

3、網站程序的安全，這可能程序漏洞，程序的權限審核，以及執(zhí)行的效率，這個是WEB安全中占比例非常高的一部分。

4、WEB Server周邊應用的安全，一臺WEB服務器通常不是獨立存在的，可能其它的應用服務器會影響到WEB服務器的安全，如數據庫服務、FTP服務等。

這只是大概說了一下，關于WEB應用服務器的安全從來都不是一個獨立存在的問題。