|
WEB服務器主要是面向互聯網的。所以�����,其是企業(yè)眾多信息化應用中最容易受到攻擊的����,F在企業(yè)的WEB應用越來越多,特別是其也逐漸在成為其他信息化應用的進口����。如筆者企業(yè)��,把OA系統�、郵箱系統的入口都捆綁在WEB服務器上。故WEB服務器安全是筆者眾多工作中的重中之重���。
為了提高WEB服務器的安全性���,有眾多的方法�����。在這里�,筆者要向大家推薦的主要是三種方法���。如果只想通過這三種方法來保障WEB服務器的安全當然是遠遠不夠的�����。但是�,若企業(yè)信息化管理人員若疏忽了這三個方面的內容�,則WEB服務器的安全性是很難保障的。
利器一:為WEB應用建立獨立的服務器�����。
由于WEB服務器可能遭受到的攻擊���,比ERP系統����、辦公自動化系統等應用服務器的幾率高的多。所以���,若把這些應用放在WEB應用同一個服務器中�����,則弱WEB服務器遭受到攻擊���,則很有可能殃及到ERP等關鍵應用。
筆者企業(yè)中雖然把OA系統的接口綁定在WEB服務器上�����,但是�����,OA系統與WEB應用仍然在不同的應用服務器上�。這主要是為了方便員工從企業(yè)外部訪問OA系統�����。如此的好處��,就是當WEB服務遭受到攻擊不能使用時,最多員工無法從企業(yè)外部訪問OA系統���;而不影響企業(yè)內部員工的正常訪問����。
不過�����,筆者以前就犯過類似的錯誤����。那時,企業(yè)由于資金緊張����,就把WEB服務器與ERP系統服務器部署在同一個服務器上。突然有一天企業(yè)的WEB服務器遭受到了不明身份的人的攻擊�����。他們可能只是出于好玩吧�,沒有對WEB服務器產生多大的危害。只是CPU與內存的使用率居高不下�。當把WEB服務器跟外網斷開好��,就恢復正常了�����。但是�����,這就使得同一個服務器上的ERP應用無法運作���。企業(yè)員工每次輸入一張銷售訂單,從原來的3分鐘變?yōu)楝F在的30分鐘����。這么慢的速度顯然很難讓人接受。從這個事件中�,讓筆者懂得了一個真理,把企業(yè)內部應用放在WEB服務器上是一個非常不明智的做法����。由于WEB服務器其面向的是互聯網,所以�,其很容易遭受到別人的惡意攻擊�����。殃及池魚,受到攻擊后����,連企業(yè)內部的應用服務都會受到牽連。
所以��,筆者第一個要提醒大家的就是����,在部署服務器的時候,做好讓WEB等面向互聯網的應用服務跟其他面向內部的應用服務在不同的服務器上部署�����。這在保障WEB服務器安全的同時�����,也提高了企業(yè)其他應用服務的安全性�。
利器二:事務日志,讓你對WEB運行狀況了如指掌����。
其實����,WEB服務器只要采取一定的保護措施��,則攻擊就需要一個過程�����,不是說在一個短時間內就可以完成的��。通常情況下��,這個攻擊的過程往往會在WEB服務器的事務日志中留下蛛絲馬跡���。如非法攻擊者視圖通過密碼字典破解工具�����,嘗試網站管理員的口令與密碼的時候����,就會在WEB服務器的日志中留下紀錄���。如果我們在事務審核中��,設置當用戶密碼最多輸入錯誤次數的話�,則當超過這個最大次數的時候�,服務器就會在自己的日志中紀錄這條信息。此時��,若網站管理人員可以看到這條信息�,則他們就可以及時的采取措施,如更改復雜密碼等手段��,來提高服務器的安全性�。
所以,每一個WEB服務器的管理人員都必須要重視事務日志的重要性�。同時,為了讓事務日志發(fā)揮更大的作用���,往往需要啟用審核功能����。通過審核事件跟系統日志結合起來�����,可以讓日志服務器紀錄一些常見的攻擊行為。從而給企業(yè)安全人員提供參考���。否則的話���,企業(yè)安全人員都不知道那里受到攻擊了,那么他們也就根本無法進行及時的應對�����。
不過話說話來���,有些高手攻擊企業(yè)WEB服務后���,不會再事務日志上留下任何痕跡。這并不是說事務日志不管用了�。而是因為他們在結合攻擊后,會修改事務日志的信息�。如某個攻擊者竊取了管理員用戶與密碼后訪問企業(yè)網站中的機密信息。一般情況下����,這個訪問紀錄會在事務日志中有所顯示。但是�����,一些高手會在推出之前修改事務日志。刪除這些訪問信息��,或者更改訪問者�����。讓企業(yè)安全管理人員無從查起���。為了讓他們無法更改事務日志文件,則最好的方法就是更改事務日志文件的路徑���,并對其進行及時的備份����。由于不知道路徑的真確位置���,所以��,及時不法攻擊者想攻擊想修改日志隱藏自己的蹤跡��,都不可能���。
筆者現在的做法是�,更改WEB服務器的日志的默認路徑�。并且每隔三個小時對事務日志進行異地備份。同時��,結合事件審核功能�,當日志服務器捕捉到一些異常信息時,如某個用戶一直在試圖登陸WEB服務器的管理站時��,就會像企業(yè)管理人員遞交這個異常信息��。通過日志的管理�����,可以把WEB服務器的一些安全隱患及時的告知給管理人員����。
所以筆者這里要向大家推薦的第二把利器就是WEB服務器的日志管理 。管理員為了提高日志的安全性��,要修改服務器日志的默認路徑�,并且定時對其進行異地備份。同時���,要跟其他的功能����,如安全審核、賬戶安全策略等工具�,結合使用,可以起到事半功倍的作用����。
利器三:代碼,影響WEB服務器安全的最大殺手�����。
對于WEB服務器來說���,代碼是其安全的最大殺手之一。很多WEB服務器被攻破����,大部分是由于代碼設計不當所引起的。故管理好WEB服務器的代碼���,是保障WEB服務器安全的首要任務�����。
為了提高代碼的安全性��,網站開發(fā)者要養(yǎng)成一些好的代碼編寫習慣�����。
一是不要直接采用網絡上的代碼��。
有些開發(fā)者為了工作上的便利��,會直接拷貝其他網友提供的代碼���。但是���,不幸的是,天下沒有白吃的午餐�����。有些人免費提供這些代碼往往帶有不可告人的秘密��。如現在網絡上提供的一些電子商務平臺與網站論壇代碼����,代碼提供者很有可能會在代碼中預留一個后門����。當他覺得有必要的話�,則就可以很輕易的采用這個后門對其進行攻擊。所以���,若企業(yè)要在WEB服務器上實現一些關鍵應用�����,如客戶在線下單等等����,則最好不要采用網絡上現成的編碼�����。只可以借鑒��,不可以抄襲�。最好的話�,自己開發(fā)����。
二是增加的新功能不要在WEB服����。
企業(yè)在發(fā)展,WEB應用也逐漸在完善��。企業(yè)市場會提出一些新的需求����。當開發(fā)者在開發(fā)某個功能的時候,最好不要直接在WEB服務器上直接進行測試����。有條件的企業(yè),最好專門配置一個測試服務器�����,以方便程序開發(fā)人員測試新功能�。特別是若把這個程序開發(fā)外包給外面的企業(yè)的話,不能夠為了貪圖方便����,直接讓對方在現用的WEB服務器上進行測試��。俗話說���,知人知面不知心。對方很可能在你不知情的情況下����,植入一個木馬都說不定。所以�����,防人之心不可無��。企業(yè)在新功能的開發(fā)測試上還是要小心為妙�。
三是盡量不要采用不安全的控件。
企業(yè)WEB應用跟娛樂網站不同����。企業(yè)門戶網站強調的是快速��、穩(wěn)定�����、安全;而娛樂網站則強調的是美觀����、靚麗、特效��。為了吸引眼球��,提高點擊率�����,娛樂網站往往會采用比較多的特效�����。為此���,他們會在WEB服務上采用比較多的控件來達到這個效果����。但是��,這些控件往往都有安全漏洞,跟WEB服務器的安全背道而馳�����。如FLASH控件等等��。針對這種控件的攻擊�����,互聯網上可能每天都在發(fā)生�。還說不定哪一天就落到企業(yè)的頭上了。所以�,企業(yè)網站只追求穩(wěn)定、安全���,沒有必要過多的采用控件來實現特技效果����。
筆者向大家推薦的第三把利器就是要做好代碼的安全設計�����,盡量減少采用不安全的控件�。企業(yè)網站應該追求穩(wěn)定、反映速度等等�����。而過多的采用控件���,跟這兩個目標都是背道而馳的
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商�!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
