如何保障Web服務(wù)器安全
不但企業(yè)的門戶網(wǎng)站被篡改�、資料被竊取��,而且還成為了病毒與木馬的傳播者�。有些Web管理員采取了一些措施,雖然可以保證門戶網(wǎng)站的主頁不被篡改���,但是卻很難避免自己的網(wǎng)站被當(dāng)作肉雞,來傳播病毒�����、惡意插件����、木馬等等。筆者認(rèn)為���,這很大一部分原因是管理員在Web安全防護(hù)上太被動�����。他們只是被動的防御���。為了徹底提高Web服務(wù)器的安全��,筆者認(rèn)為�����,Web安全要主動出擊����。具體的來說����,需要做到如下幾點。 一�����、在代碼編寫時就要進(jìn)行漏洞測試 現(xiàn)在的企業(yè)網(wǎng)站做的越來越復(fù)雜����、功能越來越強(qiáng)����。不過這些都不是憑空而來的�,是通過代碼堆積起來的。如果這個代碼只供企業(yè)內(nèi)部使用��,那么不會帶來多大的安全隱患�����。但是如果放在互聯(lián)網(wǎng)上使用的話����,則這些為實現(xiàn)特定功能的代碼就有可能成為攻擊者的目標(biāo)���。筆者舉一個簡單的例子���。在網(wǎng)頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發(fā)動攻擊����,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網(wǎng)站還需要有某些特定的控件。用戶在安裝這些控件時��,其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)����。 為此在為網(wǎng)站某個特定功能編寫代碼時,就要主動出擊�����。從編碼的設(shè)計到編寫����、到測試,都需要認(rèn)識到是否存在著安全的漏洞��。筆者在日常過程中����,在這方面對于員工提出了很高的要求。各個員工必須對自己所開發(fā)的功能負(fù)責(zé)��。至少現(xiàn)在已知的病毒�、木馬不能夠在你所開發(fā)的插件中有機(jī)可乘。通過這層層把關(guān)����,就可以提高代碼編寫的安全性���。 二、對Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控 冰凍三尺���、非一日之寒����。這就好像人生病一樣����,都有一個過程。病毒��、木馬等等在攻擊Web服務(wù)器時��,也需要一個過程��?����;蛘哒f��,在攻擊取得成功之前����,他們會有一些試探性的動作。如對于一個采取了一定安全措施的Web服務(wù)器����,從攻擊開始到取得成果,至少要有半天的時間�。如果Web管理員對服務(wù)器進(jìn)行了全天候的監(jiān)控。在發(fā)現(xiàn)有異常行為時��,及早的采取措施��,將病毒與木馬阻擋在門戶之外����。這種主動出擊的方式,就可以大大的提高Web服務(wù)器的安全性����。 筆者現(xiàn)在維護(hù)的Web服務(wù)器有好幾十個。現(xiàn)在專門有一個小組���,來全天候的監(jiān)控服務(wù)器的訪問�����。平均每分鐘都可以監(jiān)測到一些試探性的攻擊行為�。其中99%以上的攻擊行為,由于服務(wù)器已經(jīng)采取了對應(yīng)的安全措施����,都無功而返。不過每天仍然會遇到一些攻擊行為����。這些攻擊行為可能是針對新的漏洞,或者采取了新的攻擊方式����。在服務(wù)器上原先沒有采取對應(yīng)的安全措施。如果沒有及時的發(fā)現(xiàn)這種行為���,那么他們就很有可能最終實現(xiàn)他們的非法目的�。相反��,現(xiàn)在及早的發(fā)現(xiàn)了他們的攻擊手段���,那么我們就可以在他們采取進(jìn)一步行動之前���,就在服務(wù)器上關(guān)掉這扇門,補(bǔ)上這個漏洞�。 筆者在這里也建議,企業(yè)用戶在選擇互聯(lián)網(wǎng)Web服務(wù)器提供商的時候�,除了考慮性能等因素之外,還要評估服務(wù)提供商能否提供全天候的監(jiān)控機(jī)制��。在Web安全上主動出擊����,及時發(fā)現(xiàn)攻擊者的攻擊行為。在他們采取進(jìn)一步攻擊措施之前�����,就他們消除在萌芽狀態(tài)�。 三、設(shè)置蜜罐�����,將攻擊者引向錯誤的方向 在軍隊中��,有時候會給軍人一些偽裝��,讓敵人分不清真?zhèn)巍F鋵嵲诟《?�、木馬打交道時�����,本身就是一場無硝煙的戰(zhàn)爭�����。為此對于Web服務(wù)器采取一些偽裝����,也能夠?qū)⒐粽咭蝈e誤的方向。等到供給者發(fā)現(xiàn)自己的目標(biāo)錯誤時�,管理員已經(jīng)鎖定了攻擊者,從而可以及早的采取相應(yīng)的措施�。筆者有時候?qū)⑦@種主動出擊的行為叫做蜜罐效應(yīng)。簡單的說�����,就是設(shè)置兩個服務(wù)器�����。其中一個是真正的服務(wù)器,另外一個是蜜罐?����,F(xiàn)在需要做的是�,如何將真正的服務(wù)器偽裝起來����,而將蜜罐推向公眾。讓攻擊者認(rèn)為蜜罐服務(wù)器才是真正的服務(wù)器���。要做到這一點的話�����,可能需要從如下幾個方面出發(fā)����。 一是有真有假��,難以區(qū)分����。如果要瞞過攻擊者的眼睛���,那么蜜罐服務(wù)器就不能夠做的太假。筆者在做蜜罐服務(wù)器的時候�����,80%以上的內(nèi)容都是跟真的服務(wù)器相同的�。只有一些比較機(jī)密的信息沒有防治在蜜罐服務(wù)器上。而且蜜罐服務(wù)器所采取的安全措施跟真的服務(wù)器事完全相同的����。這不但可以提高蜜罐服務(wù)器的真實性,而且也可以用來評估真實服務(wù)器的安全性��。一舉兩得�。 二是需要有意無意的將攻擊者引向蜜罐服務(wù)器。攻擊者在判斷一個Web服務(wù)器是否值得攻擊時�,會進(jìn)行評估。如評估這個網(wǎng)站的流量是否比較高���。如果網(wǎng)站的流量不高��,那么即使被攻破了��,也沒有多大的實用價值�����。攻擊者如果沒有有利可圖的話���,不會花這么大的精力在這個網(wǎng)站服務(wù)器上面����。如果要將攻擊者引向這個蜜罐服務(wù)器的話���,那么就需要提高這個蜜罐服務(wù)器的訪問量。其實要做到這一點也非常的容易?����,F(xiàn)在有很多用來交互流量的團(tuán)隊�����。只要花一點比較小的投資就可以做到這一點��。 三是可以故意開一些后門讓攻擊者來鉆�����。作為Web服務(wù)器的管理者,不僅關(guān)心自己的服務(wù)器是否安全��,還要知道自己的服務(wù)器有沒有被人家盯上����。或者說�,有沒有被攻擊的價值。此時管理者就需要知道���,自己的服務(wù)器一天被攻擊了多少次��。如果攻擊的頻率比較高�,管理者就高興�、又憂慮。高興的是自己的服務(wù)器價值還蠻大的��,被這么多人惦記著���。憂慮的是自己的服務(wù)器成為了眾人攻擊的目標(biāo)�����。就應(yīng)該抽取更多的力量來關(guān)注服務(wù)器的安全�。 四、專人對Web服務(wù)器的安全性進(jìn)行測試 俗話說����,靠人不如靠自己。在Web服務(wù)器的攻防戰(zhàn)上�,這一個原則也適用。筆者建議��,如果企業(yè)對于Web服務(wù)的安全比較高���,如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺,此時最好設(shè)置一個專業(yè)的團(tuán)隊����。他們充當(dāng)攻擊者的角色,對服務(wù)器進(jìn)行安全性的測試��。這個專業(yè)團(tuán)隊主要執(zhí)行如下幾個任務(wù)���。 一是測試Web管理團(tuán)隊對攻擊行為的反應(yīng)速度�。如可以采用一些現(xiàn)在比較流行的攻擊手段����,對自己的Web服務(wù)器發(fā)動攻擊���。當(dāng)然這個時間是隨機(jī)的。預(yù)先Web管理團(tuán)隊并不知道?���,F(xiàn)在要評估的是,Web管理團(tuán)隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為����。這也是考驗管理團(tuán)隊全天候跟蹤的能力。一般來說����,這個時間越短越好。應(yīng)該將這個時間控制在可控的范圍之內(nèi)����。即使攻擊最后沒有成功,Web管理團(tuán)隊也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為�。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功����,是兩個不同的概念����。 二是要測試服務(wù)器的漏洞是否有補(bǔ)上��。畢竟大部分的攻擊行為����,都是針對服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的。現(xiàn)在這個專業(yè)團(tuán)隊要做的就是���,這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對應(yīng)的安全措施��。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力�����,但是對于這些已經(jīng)存在的漏洞不能夠放過。否則的話���,也太便宜那些攻擊者了�����。
成都創(chuàng)新互聯(lián)主打移動網(wǎng)站����、網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計����、網(wǎng)站改版、網(wǎng)絡(luò)推廣�����、網(wǎng)站維護(hù)���、域名與空間����、等互聯(lián)網(wǎng)信息服務(wù)�,為各行業(yè)提供服務(wù)。在技術(shù)實力的保障下�,我們?yōu)榭蛻舫兄Z穩(wěn)定,放心的服務(wù)�,根據(jù)網(wǎng)站的內(nèi)容與功能再決定采用什么樣的設(shè)計。最后���,要實現(xiàn)符合網(wǎng)站需求的內(nèi)容���、功能與設(shè)計���,我們還會規(guī)劃穩(wěn)定安全的技術(shù)方案做保障。
請你寫出10條以上保證客戶服務(wù)器安全的措施
1�����、構(gòu)建硬件安全防御體系���,防火墻�����、入侵檢測系統(tǒng)�����、路由系統(tǒng)等是一套完善的安全模型需要的組件��。
2、服務(wù)器內(nèi)網(wǎng)��、外網(wǎng)隔離
3�、安裝云鎖服務(wù)器安全防護(hù)軟件
4����、采用NTFS文件系統(tǒng)格式
5��、做好系統(tǒng)備份和數(shù)據(jù)備份
6���、關(guān)掉不必要開的服務(wù)�,做好本地管理和組管理�。
7、關(guān)閉一些默認(rèn)的不必要端口�,應(yīng)該全部關(guān)閉,用到時再開啟����,不用時立刻關(guān)閉。
8��、下載安裝操作系統(tǒng)最新的安全漏洞補(bǔ)救程序
9����、及時下載安裝數(shù)據(jù)庫補(bǔ)丁程序
10、開啟服務(wù)器事件日志��,跟蹤分析黑客行為
服務(wù)器怎么做好安全防護(hù)
1、服務(wù)器初始安全防護(hù)
安裝服務(wù)器時�����,要選擇綠色安全版的防護(hù)軟件���,以防有被入侵的可能性���。對網(wǎng)站提供服務(wù)的服務(wù)器,軟件防火墻的安全設(shè)置最高���,防火墻只要開放服務(wù)器端口�����,其他的一律都關(guān)閉�����,你要訪問網(wǎng)站時防火墻會提示您是否允許訪問���,在根據(jù)實際情況添加允許訪問列表。這樣至少給系統(tǒng)多一份安全���。
2�、修改服務(wù)器遠(yuǎn)程端口���。
因為有不少不法分子經(jīng)常掃描公網(wǎng)IP端口���,如果使用默認(rèn)的3389或者Linux的22端口,相對來說是不安全的�,建議修改掉默認(rèn)遠(yuǎn)程端口。
3��、設(shè)置復(fù)雜密碼����。
一但服務(wù)器IP被掃描出來默認(rèn)端口,非法分子就會對服務(wù)器進(jìn)行暴力破解��,利用第三方字典生成的密碼來嘗試破解服務(wù)器密碼��,如果您的密碼足夠復(fù)雜�,非法分子就需要大量的時間來進(jìn)行密碼嘗試,也許在密碼未破解完成�����,服務(wù)器就已經(jīng)進(jìn)入保護(hù)模式,不允許登陸����。
4、修補(bǔ)已知的漏洞
如果網(wǎng)站出現(xiàn)漏洞時不及時處理��,網(wǎng)站就會出現(xiàn)一系列的安全隱患��,這使得服務(wù)器很容易受到病毒入侵�����,導(dǎo)致網(wǎng)絡(luò)癱瘓��,所以��,平時要養(yǎng)成良好的習(xí)慣����,時刻關(guān)注是否有新的需修補(bǔ)的漏洞。
5���、多服務(wù)器保護(hù)
一個網(wǎng)站可以有多個服務(wù)器��,網(wǎng)站被攻擊時���,那么我們就可以選擇不一樣的方式進(jìn)行防范��,針對不同的服務(wù)器���,我們應(yīng)該設(shè)置不同的管理�,這樣即使一個服務(wù)器被攻陷,其他的服務(wù)還可以正常使用����。
6、防火墻技術(shù)
現(xiàn)在防火墻發(fā)展已經(jīng)很成熟了����,防火墻可以選擇安全性檢驗強(qiáng)的,檢驗的時間會較長����,運行的過程會有很大負(fù)擔(dān)。如果選擇防護(hù)性低的����,那么檢驗時間會比較短。我們在選擇防護(hù)墻時����,要根據(jù)網(wǎng)絡(luò)服務(wù)器自身的特點選擇合適的防火墻技術(shù)��。
7�����、定時為數(shù)據(jù)進(jìn)行備份�����。
定時為數(shù)據(jù)做好備份��,即使服務(wù)器被破解���,數(shù)據(jù)被破壞,或者系統(tǒng)出現(xiàn)故障崩潰���,你只需要進(jìn)行重裝系統(tǒng)����,還原數(shù)據(jù)即可���,不用擔(dān)心數(shù)據(jù)徹底丟失或損壞�。
做好網(wǎng)站服務(wù)器的安全維護(hù)是一項非常重要的工作,只有做好了服務(wù)器安全工作��,才能保證網(wǎng)站可以穩(wěn)定運營���。要想做好網(wǎng)站服務(wù)器安全維護(hù)�,還要學(xué)習(xí)更多的維護(hù)技巧����。
如何保證Web服務(wù)器安全����?
一、在代碼編寫時就要進(jìn)行漏洞測試����。
二、對Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控����。
三、設(shè)置蜜罐����,將攻擊者引向錯誤的方向��。
四���、專人對Web服務(wù)器的安全性進(jìn)行測試。
在Web服務(wù)器的攻防戰(zhàn)上�,這一個原則也適用。筆者建議����,如果企業(yè)對于Web服務(wù)的安全比較高,如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺��,此時最好設(shè)置一個專業(yè)的團(tuán)隊�����。他們充當(dāng)攻擊者的角色�����,對服務(wù)器進(jìn)行安全性的測試�����。這個專業(yè)團(tuán)隊主要執(zhí)行如下幾個任務(wù)����?!?/p>
一是測試Web管理團(tuán)隊對攻擊行為的反應(yīng)速度�����。如可以采用一些現(xiàn)在比較流行的攻擊手段��,對自己的Web服務(wù)器發(fā)動攻擊�。當(dāng)然這個時間是隨機(jī)的。預(yù)先Web管理團(tuán)隊并不知道?,F(xiàn)在要評估的是,Web管理團(tuán)隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為����。這也是考驗管理團(tuán)隊全天候跟蹤的能力�。一般來說,這個時間越短越好�����。應(yīng)該將這個時間控制在可控的范圍之內(nèi)���。即使攻擊最后沒有成功���,Web管理團(tuán)隊也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為��。畢竟有沒有發(fā)現(xiàn)����、與最終有沒有取得成功����,是兩個不同的概念。
二是要測試服務(wù)器的漏洞是否有補(bǔ)上����。畢竟大部分的攻擊行為,都是針對服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的?����,F(xiàn)在這個專業(yè)團(tuán)隊要做的就是�,這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對應(yīng)的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力����,但是對于這些已經(jīng)存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了����。
本文名稱:保障服務(wù)器的安全性的措施 保障服務(wù)器的安全性的措施包括
瀏覽地址:
http://weahome.cn/article/ddihcsc.html
重慶分公司
重慶分公司
