鐘志丹

摘 要 隨著信息化發(fā)展，高校越來越重視學(xué)校網(wǎng)站建設(shè)，同時高校Web服務(wù)器承受越來越多的安全問題，所以要從整個服務(wù)器安全體系去綜合考慮，確保服務(wù)器的安全。

關(guān)鍵詞 高校 Web服務(wù)器 安全體系

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

一、引言

近年來，隨著信息化的高速發(fā)展，高校越來越重視學(xué)校網(wǎng)站的作用。高校Web服務(wù)器中除了學(xué)校的主網(wǎng)站外還有幾十個系部和教輔單位的網(wǎng)站，這些網(wǎng)站質(zhì)量良莠不齊，漏洞百出，甚至還有病毒和木馬，給學(xué)校Web服務(wù)器帶來了嚴(yán)重的安全隱患。

二、高校Web服務(wù)器特點

由于高校Web服務(wù)器上有幾十個網(wǎng)站，每個網(wǎng)站的質(zhì)量和網(wǎng)站管理員的水平參差不齊，網(wǎng)站的訪問量也不大，所以最好采用一些主流的、相對容易的建站策略。高校Web服務(wù)器和一般的應(yīng)用服務(wù)器相比有著以下明顯的特點：

1、操作系統(tǒng)主要采用微軟公司的Windows Server系列。

2、應(yīng)用服務(wù)器主要采用微軟公司的Internet信息服務(wù)器（IIS）。

3、數(shù)據(jù)庫一般使用微軟公司的Access和SQL SERVER。

4、網(wǎng)頁語言主要采用asp和.net。

三、高校Web服務(wù)器安全體系

高校Web服務(wù)器安全是個系統(tǒng)工程，要從服務(wù)器硬件、操作系統(tǒng)、安全軟件、Internet信息服務(wù)器（IIS）、數(shù)據(jù)庫、網(wǎng)頁代碼、管理員這七個方面去綜合考慮。

（一）服務(wù)器硬件。

服務(wù)器硬盤采用RAID1磁盤陣列，不采用大型商業(yè)服務(wù)器通常采用的RAID5磁盤陣列。RAID1是1:1的復(fù)制，具有較高的安全性和較低的維護(hù)成本；RAID5雖然也具有很高的安全性，但它的目的更多地是為了擴(kuò)大硬盤陣列的容量和數(shù)據(jù)讀的速度，并且具有較高的采購成本和維護(hù)成本。根據(jù)高校Web服務(wù)器的數(shù)據(jù)容量、訪問量和性價比，優(yōu)先考慮RAID1磁盤陣列。

（二）操作系統(tǒng)。

刪除默認(rèn)的管理員用戶Administrator，生成新的管理員用戶，使用復(fù)雜用戶名和密碼。也可以設(shè)置一個名字為Administrator的Guest用戶，并使用復(fù)雜的密碼，來欺騙攻擊者 。

根據(jù)最小化系統(tǒng)原則，只安裝必要的軟件和啟用必要的服務(wù)，關(guān)閉系統(tǒng)所有端口，只保留80端口。開啟服務(wù)器日志，并改變存放日志的位置，防止被篡改或刪除。

網(wǎng)頁源代碼放在非系統(tǒng)盤，文件夾的安全設(shè)置默認(rèn)情況下Internet來賓賬號只有讀取和運行、列出文件夾目錄、讀取權(quán)限，Internet來賓賬號只對數(shù)據(jù)庫文件夾和上傳文件夾開放修改和可寫權(quán)限。

（三）安全軟件。

安裝殺毒軟件等安全軟件，并及時對殺毒軟件升級。使用文件防篡改軟件來防止網(wǎng)頁被篡改和服務(wù)器被上傳網(wǎng)頁木馬。可以使用McAfee軟件中的自定義規(guī)則，禁止網(wǎng)頁進(jìn)程創(chuàng)建、修改和刪除asp，aspx，gif等文件，禁止網(wǎng)頁進(jìn)程創(chuàng)建、修改、刪除和執(zhí)行exe，cmd，bat等文件。開啟McAfee日志，同時對McAfee軟件要進(jìn)行鎖定，防止被修改配置。

（四）Internet信息服務(wù)器（IIS）。

防止因為個別網(wǎng)站的問題而導(dǎo)致Web服務(wù)器上的所有網(wǎng)站都受到影響，有必要在IIS中設(shè)置應(yīng)用池，當(dāng)一個應(yīng)用池中的網(wǎng)站出問題，其他應(yīng)用池中的網(wǎng)站不受影響。一般情況下把首字母相同的網(wǎng)站放到同一個應(yīng)用池，并用首字母命名該應(yīng)用池。當(dāng)一個應(yīng)用池里網(wǎng)站個數(shù)過多時，可以分放在若干個應(yīng)用池中；當(dāng)某個網(wǎng)站非常重要的時候也可以給一個網(wǎng)站單獨創(chuàng)建一個應(yīng)用池。同時應(yīng)用池太多也影響系統(tǒng)性能，最好不要超過20個 。

在IIS中對任何Internet來賓賬號具有修改和可寫權(quán)限的文件夾的執(zhí)行權(quán)限設(shè)置為“無”，即使這些文件夾被上傳了網(wǎng)頁木馬也無法運行，同時開啟IIS日志 。

（五）數(shù)據(jù)庫。

很多人為了防止Access數(shù)據(jù)庫被下載，會把.mdb數(shù)據(jù)庫文件改為.asp文件。但是這樣做有兩個主要的缺點：一個是.asp文件是腳本文件，木馬病毒可以在中間加些惡意代碼，這就把這個數(shù)據(jù)庫文件完全破壞了，基本上無法恢復(fù)；二是.asp文件已經(jīng)被McAfee設(shè)置為不可修改，數(shù)據(jù)庫文件卻需要可寫權(quán)限。所以不要修改.mdb數(shù)據(jù)庫文件的后綴名，但是要在數(shù)據(jù)庫文件命名中加入“#”號，防止被惡意下載。

SQL Server數(shù)據(jù)庫要刪除sa超級用戶，新建其他管理用戶，設(shè)置復(fù)雜用戶名和復(fù)雜的密碼。

（六）網(wǎng)頁代碼。

網(wǎng)頁代碼對于服務(wù)器管理員來說是最大的挑戰(zhàn)，因為幾十個網(wǎng)站，由不同的人建設(shè)，不可避免存在許多的漏洞和錯誤，甚至本身就是含有網(wǎng)頁木馬和病毒。所以在把網(wǎng)頁代碼放到服務(wù)器前，要仔細(xì)檢查。首先用殺毒軟件掃描，然后利用文本查詢軟件對木馬所具有的關(guān)鍵詞進(jìn)行搜索，清楚可疑網(wǎng)頁。

對每個網(wǎng)頁的輸入字符串都要進(jìn)行過濾，防止SQL注入。

對網(wǎng)頁上傳模塊進(jìn)行修改，刪除不必要的模塊網(wǎng)頁，并限制網(wǎng)頁只能在校內(nèi)等有限IP范圍內(nèi)才能上傳文件，杜絕校外上傳木馬攻擊。

（七）管理員。

管理員是Web服務(wù)器安全體系中最重要的因素，而管理員主要分為服務(wù)器管理員和網(wǎng)站管理員。

服務(wù)器管理員定期查看服務(wù)器、IIS、McAfee日志，看是否有可疑攻擊行為。并定期對網(wǎng)頁所在邏輯盤進(jìn)行搜索，按照時間順序排序，根據(jù)時間、名稱、大小、屬性來判斷是否有可疑文件。定期備份Web服務(wù)器，數(shù)據(jù)庫1個月備份一次，網(wǎng)頁源代碼一個學(xué)期備份一次。

網(wǎng)站管理員必須由學(xué)校專職教師承擔(dān)，不得讓其他人參與網(wǎng)站管理，密碼要設(shè)置復(fù)雜密碼，并根據(jù)工作來分配相應(yīng)權(quán)限。

四、結(jié)論

維護(hù)高校Web服務(wù)器的安全運行是一個巨大的挑戰(zhàn)，同時也是一個系統(tǒng)工程，它不同于一般的應(yīng)用服務(wù)器，有著自身的特點，并根據(jù)這些特點要從服務(wù)器硬件、操作系統(tǒng)、安全軟件、IIS、數(shù)據(jù)庫、網(wǎng)頁代碼、管理員等七個方面去整體布置，確保服務(wù)器安全?！?/p>

（作者單位： 湖南人文科技學(xué)院）

注釋：

魯絮飛.web服務(wù)器安全防衛(wèi)系統(tǒng)構(gòu)建, 現(xiàn)代商貿(mào)工業(yè),2011,(23):311

段衛(wèi)平.淺談Web高校服務(wù)器的安全設(shè)置,科技資訊，2007,（38）:114-116

佘靜濤.林雅宏.淺談高校圖書館Web服務(wù)器的安全配置, 浙江高校圖書情報工作，2011,105（1）:6-11