鄭炎++朱成文++張馳++田璋++蔡小艷++曾垂振

摘 要：網(wǎng)站服務器安全關系著用戶隱私和企業(yè)數(shù)據(jù)的安全，越來越受到業(yè)界重視。針對網(wǎng)站服務器安全防護問題，本文總結提出了幾種解決的措施，可以有效降低服務器安全事故發(fā)生可能性，減少網(wǎng)絡安全問題帶來的損失。

關鍵詞：網(wǎng)站服務器 安全 防護 維護 入侵防御系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2014）09（b）-0034-01

網(wǎng)站服務器安全問題可以說是當前非常引人關注的問題，有關服務器安全、用戶隱私安全、企業(yè)數(shù)據(jù)安全的文章和爭論從來沒有停息過。英國一家網(wǎng)絡安全咨詢公司曾發(fā)表安全報告稱：經(jīng)統(tǒng)計發(fā)現(xiàn)，1個月內(nèi)網(wǎng)絡服務器遭受的攻擊次數(shù)達到了13654次。本文淺談安全防護管理思路，主要是給廣大運維人員提供安全防護參考。網(wǎng)站服務器安全是一個動態(tài)的概念，沒有靜止永不變的安全狀態(tài)。隨著時間的變化，新的漏洞的產(chǎn)生、新的攻擊手段的發(fā)明、新的配置更改等等都可能使的網(wǎng)絡的安全性能出現(xiàn)波動。

對于網(wǎng)站服務器，可以執(zhí)行的安全防護主要可分兩大塊：日常安全維護管理和安裝專業(yè)設備防護。日常安全維護管理包括以下幾點。

（1）系統(tǒng)必須安裝殺毒軟件并及時升級，開啟實時監(jiān)控，定期全盤查殺病毒和木馬。（2）系統(tǒng)需要安裝最新的各種補丁，定期掃描并修復可能存在的系統(tǒng)漏洞。（3）啟用Windows的防火墻，定期檢查已設置的例外程序和服務。（4）關閉不用的端口和服務，定期查看端口連接情況，可以通過netstat -na命令查看。除了需要用的端口，例如SQL的默認監(jiān)聽端口1433，網(wǎng)站用到的80、808等端口，其它經(jīng)確認不需使用的端口都可關閉。（5）定期更新設置用戶名和密碼，密碼應包括小寫和大寫字母、數(shù)字、特殊字符等，保持相對復雜，同時要對用戶進行權限管理。（6）定時瀏覽網(wǎng)站前臺頁面，查看是否正常。網(wǎng)站管理員應該時常瀏覽網(wǎng)站，以便第一時間發(fā)現(xiàn)代碼異常并及時處理。每天至少早晚應各訪問一次，因為大部分網(wǎng)絡攻擊發(fā)生在夜間。（7）定期查看日志記錄文件。日志記錄文件是網(wǎng)站運行過程中外部訪問行為的有效記錄，時常查看有助于改進和提升網(wǎng)站服務質(zhì)量，更為重要的是，可以發(fā)現(xiàn)攻擊跡象并抵御排除。網(wǎng)站管理員應勤看日志，尤其是一些異常增長的日志，一般從中可以發(fā)現(xiàn)許多攻擊源，根據(jù)情況，可以對這些攻擊源IP在服務器中設置拒絕服務等。

安裝專業(yè)防護設備主要包括以下幾種。

（1）可以安裝專業(yè)級別的防火墻設備，防火墻是一種由計算機硬件和軟件結合的設備，它能在Internet與Intranet之間創(chuàng)建起一個安全網(wǎng)關（Security Gateway），繼而保護內(nèi)部網(wǎng)絡免受非法用戶的侵入和攻擊，防火墻通常由服務訪問規(guī)則、驗證工具、數(shù)據(jù)包過濾和應用網(wǎng)關四個部分組成。它大體上具備防基本注入攻擊、防止盜鏈、禁止木馬上傳、禁止非法腳本執(zhí)行和設置IP地址黑白名單等功能。選購時應盡量選擇國產(chǎn)品牌，國外產(chǎn)品可能存在后門導致隱私被竊取、被監(jiān)控和失泄密等網(wǎng)絡安全事故，可選的國產(chǎn)品牌很多，如“龍盾IIS防火墻”，具體各型號的價格從6千至幾萬不等。

（2）安裝專業(yè)級的入侵防御系統(tǒng)設備，如部署IDS入侵檢測系統(tǒng)或IPS入侵防護系統(tǒng)設備，若經(jīng)費充足，可考慮部署目前高效、流行的UTM（統(tǒng)一威脅管理）設備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量、突發(fā)流量等。入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”）是一種針對網(wǎng)絡傳輸進行實時監(jiān)視，在發(fā)現(xiàn)可疑網(wǎng)絡傳輸時發(fā)出警報或采取主動反應措施的網(wǎng)絡安全設備。設備如圖1所示，有各種品牌和類型的入侵防御系統(tǒng)設備，選購時應選擇國產(chǎn)品牌，價格從2萬至大幾萬不等。

入侵防護（阻止）系統(tǒng)（IPS）是更新一代的入侵檢測系統(tǒng)（IDS），能夠彌補 IDS 在前攝及假陽性/陰性等性質(zhì)方面的缺陷。IPS 可以識別事件的入侵、沖擊、關聯(lián)、方向以及適當?shù)姆治?，然后傳送合適的信息和命令給防火墻、交換機和其它的網(wǎng)絡設備，以應對和減輕該事件的風險。自從2004年IDC提出UTM的概念以來， UTM的發(fā)展迅猛，其市場份額已經(jīng)超越防火墻，成為安全網(wǎng)關市場的主流。一般UTM設備包括如下基本功能，才具備基本的可用性：基礎防火墻功能、入侵防御（IPS）功能、防病毒功能、VPN功能、高可用性（HA）。

（3）安裝防篡改軟件，自動監(jiān)視網(wǎng)站代碼文件是否被篡改，目前市場上此類軟件較多，具體效果尚不明確，是否需要安裝視具體情況可選。

當然，有效的技術防護手段只是網(wǎng)絡安全管控的基礎性工作，但是僅靠網(wǎng)絡安全技術是無法確保信息絕對安全的。建立并執(zhí)行嚴格的計算機網(wǎng)絡安全管理制度，才能最大程度地發(fā)揮網(wǎng)絡安全技術的效能，才能確保網(wǎng)絡信息更加安全可靠。只有即時了解自身的網(wǎng)絡安全現(xiàn)狀，及時的發(fā)現(xiàn)存在的問題，才能在安全和運維上防患于未然，避免損失。在配備安全設備的基礎上，更需要加強網(wǎng)絡運行維護管理。通過高性能網(wǎng)管工作站，實時監(jiān)控網(wǎng)絡運行的各種狀況，如網(wǎng)絡設備的工作狀態(tài)、網(wǎng)絡中各節(jié)點的流量情況、各類應用服務的運行狀況、網(wǎng)絡設備及服務器的響應時間，以及各類安全設備本身的工作狀況、告警等信息，從而及時掌握網(wǎng)絡的全局運行狀態(tài)，以及網(wǎng)絡中出現(xiàn)的各類需關注事件。良好的網(wǎng)絡運行維護管理，是在網(wǎng)絡中出現(xiàn)安全問題后進行及時處理的基本條件。制定并落實網(wǎng)絡安全應急響應制度，在突發(fā)安全事件發(fā)生時，根據(jù)職責分工，按照事件分級和應急處置流程，密切協(xié)作，果斷處置，妥善解決。從而有效降低網(wǎng)絡安全問題帶來的損失，提高安全問題的追蹤能力。

參考文獻

[1] 潘利福.現(xiàn)代企業(yè)網(wǎng)絡安全防護策略與探討[J].電腦知識與技術，2009（15）.

[2] 張小剛.網(wǎng)站服務器安全防護常用方法[J].信息與電腦：理論版，2012（4）.

[3] 李培.入侵檢測系統(tǒng)與網(wǎng)絡教學平臺互動的研究及實現(xiàn)[J].計算機與信息技術，2007（12）.endprint

摘 要：網(wǎng)站服務器安全關系著用戶隱私和企業(yè)數(shù)據(jù)的安全，越來越受到業(yè)界重視。針對網(wǎng)站服務器安全防護問題，本文總結提出了幾種解決的措施，可以有效降低服務器安全事故發(fā)生可能性，減少網(wǎng)絡安全問題帶來的損失。

關鍵詞：網(wǎng)站服務器 安全 防護 維護 入侵防御系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2014）09（b）-0034-01

網(wǎng)站服務器安全問題可以說是當前非常引人關注的問題，有關服務器安全、用戶隱私安全、企業(yè)數(shù)據(jù)安全的文章和爭論從來沒有停息過。英國一家網(wǎng)絡安全咨詢公司曾發(fā)表安全報告稱：經(jīng)統(tǒng)計發(fā)現(xiàn)，1個月內(nèi)網(wǎng)絡服務器遭受的攻擊次數(shù)達到了13654次。本文淺談安全防護管理思路，主要是給廣大運維人員提供安全防護參考。網(wǎng)站服務器安全是一個動態(tài)的概念，沒有靜止永不變的安全狀態(tài)。隨著時間的變化，新的漏洞的產(chǎn)生、新的攻擊手段的發(fā)明、新的配置更改等等都可能使的網(wǎng)絡的安全性能出現(xiàn)波動。

對于網(wǎng)站服務器，可以執(zhí)行的安全防護主要可分兩大塊：日常安全維護管理和安裝專業(yè)設備防護。日常安全維護管理包括以下幾點。

（1）系統(tǒng)必須安裝殺毒軟件并及時升級，開啟實時監(jiān)控，定期全盤查殺病毒和木馬。（2）系統(tǒng)需要安裝最新的各種補丁，定期掃描并修復可能存在的系統(tǒng)漏洞。（3）啟用Windows的防火墻，定期檢查已設置的例外程序和服務。（4）關閉不用的端口和服務，定期查看端口連接情況，可以通過netstat -na命令查看。除了需要用的端口，例如SQL的默認監(jiān)聽端口1433，網(wǎng)站用到的80、808等端口，其它經(jīng)確認不需使用的端口都可關閉。（5）定期更新設置用戶名和密碼，密碼應包括小寫和大寫字母、數(shù)字、特殊字符等，保持相對復雜，同時要對用戶進行權限管理。（6）定時瀏覽網(wǎng)站前臺頁面，查看是否正常。網(wǎng)站管理員應該時常瀏覽網(wǎng)站，以便第一時間發(fā)現(xiàn)代碼異常并及時處理。每天至少早晚應各訪問一次，因為大部分網(wǎng)絡攻擊發(fā)生在夜間。（7）定期查看日志記錄文件。日志記錄文件是網(wǎng)站運行過程中外部訪問行為的有效記錄，時常查看有助于改進和提升網(wǎng)站服務質(zhì)量，更為重要的是，可以發(fā)現(xiàn)攻擊跡象并抵御排除。網(wǎng)站管理員應勤看日志，尤其是一些異常增長的日志，一般從中可以發(fā)現(xiàn)許多攻擊源，根據(jù)情況，可以對這些攻擊源IP在服務器中設置拒絕服務等。

安裝專業(yè)防護設備主要包括以下幾種。

（1）可以安裝專業(yè)級別的防火墻設備，防火墻是一種由計算機硬件和軟件結合的設備，它能在Internet與Intranet之間創(chuàng)建起一個安全網(wǎng)關（Security Gateway），繼而保護內(nèi)部網(wǎng)絡免受非法用戶的侵入和攻擊，防火墻通常由服務訪問規(guī)則、驗證工具、數(shù)據(jù)包過濾和應用網(wǎng)關四個部分組成。它大體上具備防基本注入攻擊、防止盜鏈、禁止木馬上傳、禁止非法腳本執(zhí)行和設置IP地址黑白名單等功能。選購時應盡量選擇國產(chǎn)品牌，國外產(chǎn)品可能存在后門導致隱私被竊取、被監(jiān)控和失泄密等網(wǎng)絡安全事故，可選的國產(chǎn)品牌很多，如“龍盾IIS防火墻”，具體各型號的價格從6千至幾萬不等。

（2）安裝專業(yè)級的入侵防御系統(tǒng)設備，如部署IDS入侵檢測系統(tǒng)或IPS入侵防護系統(tǒng)設備，若經(jīng)費充足，可考慮部署目前高效、流行的UTM（統(tǒng)一威脅管理）設備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量、突發(fā)流量等。入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”）是一種針對網(wǎng)絡傳輸進行實時監(jiān)視，在發(fā)現(xiàn)可疑網(wǎng)絡傳輸時發(fā)出警報或采取主動反應措施的網(wǎng)絡安全設備。設備如圖1所示，有各種品牌和類型的入侵防御系統(tǒng)設備，選購時應選擇國產(chǎn)品牌，價格從2萬至大幾萬不等。

入侵防護（阻止）系統(tǒng)（IPS）是更新一代的入侵檢測系統(tǒng)（IDS），能夠彌補 IDS 在前攝及假陽性/陰性等性質(zhì)方面的缺陷。IPS 可以識別事件的入侵、沖擊、關聯(lián)、方向以及適當?shù)姆治觯缓髠魉秃线m的信息和命令給防火墻、交換機和其它的網(wǎng)絡設備，以應對和減輕該事件的風險。自從2004年IDC提出UTM的概念以來， UTM的發(fā)展迅猛，其市場份額已經(jīng)超越防火墻，成為安全網(wǎng)關市場的主流。一般UTM設備包括如下基本功能，才具備基本的可用性：基礎防火墻功能、入侵防御（IPS）功能、防病毒功能、VPN功能、高可用性（HA）。

（3）安裝防篡改軟件，自動監(jiān)視網(wǎng)站代碼文件是否被篡改，目前市場上此類軟件較多，具體效果尚不明確，是否需要安裝視具體情況可選。

當然，有效的技術防護手段只是網(wǎng)絡安全管控的基礎性工作，但是僅靠網(wǎng)絡安全技術是無法確保信息絕對安全的。建立并執(zhí)行嚴格的計算機網(wǎng)絡安全管理制度，才能最大程度地發(fā)揮網(wǎng)絡安全技術的效能，才能確保網(wǎng)絡信息更加安全可靠。只有即時了解自身的網(wǎng)絡安全現(xiàn)狀，及時的發(fā)現(xiàn)存在的問題，才能在安全和運維上防患于未然，避免損失。在配備安全設備的基礎上，更需要加強網(wǎng)絡運行維護管理。通過高性能網(wǎng)管工作站，實時監(jiān)控網(wǎng)絡運行的各種狀況，如網(wǎng)絡設備的工作狀態(tài)、網(wǎng)絡中各節(jié)點的流量情況、各類應用服務的運行狀況、網(wǎng)絡設備及服務器的響應時間，以及各類安全設備本身的工作狀況、告警等信息，從而及時掌握網(wǎng)絡的全局運行狀態(tài)，以及網(wǎng)絡中出現(xiàn)的各類需關注事件。良好的網(wǎng)絡運行維護管理，是在網(wǎng)絡中出現(xiàn)安全問題后進行及時處理的基本條件。制定并落實網(wǎng)絡安全應急響應制度，在突發(fā)安全事件發(fā)生時，根據(jù)職責分工，按照事件分級和應急處置流程，密切協(xié)作，果斷處置，妥善解決。從而有效降低網(wǎng)絡安全問題帶來的損失，提高安全問題的追蹤能力。

參考文獻

[1] 潘利福.現(xiàn)代企業(yè)網(wǎng)絡安全防護策略與探討[J].電腦知識與技術，2009（15）.

[2] 張小剛.網(wǎng)站服務器安全防護常用方法[J].信息與電腦：理論版，2012（4）.

[3] 李培.入侵檢測系統(tǒng)與網(wǎng)絡教學平臺互動的研究及實現(xiàn)[J].計算機與信息技術，2007（12）.endprint

摘 要：網(wǎng)站服務器安全關系著用戶隱私和企業(yè)數(shù)據(jù)的安全，越來越受到業(yè)界重視。針對網(wǎng)站服務器安全防護問題，本文總結提出了幾種解決的措施，可以有效降低服務器安全事故發(fā)生可能性，減少網(wǎng)絡安全問題帶來的損失。

關鍵詞：網(wǎng)站服務器 安全 防護 維護 入侵防御系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2014）09（b）-0034-01

網(wǎng)站服務器安全問題可以說是當前非常引人關注的問題，有關服務器安全、用戶隱私安全、企業(yè)數(shù)據(jù)安全的文章和爭論從來沒有停息過。英國一家網(wǎng)絡安全咨詢公司曾發(fā)表安全報告稱：經(jīng)統(tǒng)計發(fā)現(xiàn)，1個月內(nèi)網(wǎng)絡服務器遭受的攻擊次數(shù)達到了13654次。本文淺談安全防護管理思路，主要是給廣大運維人員提供安全防護參考。網(wǎng)站服務器安全是一個動態(tài)的概念，沒有靜止永不變的安全狀態(tài)。隨著時間的變化，新的漏洞的產(chǎn)生、新的攻擊手段的發(fā)明、新的配置更改等等都可能使的網(wǎng)絡的安全性能出現(xiàn)波動。

對于網(wǎng)站服務器，可以執(zhí)行的安全防護主要可分兩大塊：日常安全維護管理和安裝專業(yè)設備防護。日常安全維護管理包括以下幾點。

（1）系統(tǒng)必須安裝殺毒軟件并及時升級，開啟實時監(jiān)控，定期全盤查殺病毒和木馬。（2）系統(tǒng)需要安裝最新的各種補丁，定期掃描并修復可能存在的系統(tǒng)漏洞。（3）啟用Windows的防火墻，定期檢查已設置的例外程序和服務。（4）關閉不用的端口和服務，定期查看端口連接情況，可以通過netstat -na命令查看。除了需要用的端口，例如SQL的默認監(jiān)聽端口1433，網(wǎng)站用到的80、808等端口，其它經(jīng)確認不需使用的端口都可關閉。（5）定期更新設置用戶名和密碼，密碼應包括小寫和大寫字母、數(shù)字、特殊字符等，保持相對復雜，同時要對用戶進行權限管理。（6）定時瀏覽網(wǎng)站前臺頁面，查看是否正常。網(wǎng)站管理員應該時常瀏覽網(wǎng)站，以便第一時間發(fā)現(xiàn)代碼異常并及時處理。每天至少早晚應各訪問一次，因為大部分網(wǎng)絡攻擊發(fā)生在夜間。（7）定期查看日志記錄文件。日志記錄文件是網(wǎng)站運行過程中外部訪問行為的有效記錄，時常查看有助于改進和提升網(wǎng)站服務質(zhì)量，更為重要的是，可以發(fā)現(xiàn)攻擊跡象并抵御排除。網(wǎng)站管理員應勤看日志，尤其是一些異常增長的日志，一般從中可以發(fā)現(xiàn)許多攻擊源，根據(jù)情況，可以對這些攻擊源IP在服務器中設置拒絕服務等。

安裝專業(yè)防護設備主要包括以下幾種。

（1）可以安裝專業(yè)級別的防火墻設備，防火墻是一種由計算機硬件和軟件結合的設備，它能在Internet與Intranet之間創(chuàng)建起一個安全網(wǎng)關（Security Gateway），繼而保護內(nèi)部網(wǎng)絡免受非法用戶的侵入和攻擊，防火墻通常由服務訪問規(guī)則、驗證工具、數(shù)據(jù)包過濾和應用網(wǎng)關四個部分組成。它大體上具備防基本注入攻擊、防止盜鏈、禁止木馬上傳、禁止非法腳本執(zhí)行和設置IP地址黑白名單等功能。選購時應盡量選擇國產(chǎn)品牌，國外產(chǎn)品可能存在后門導致隱私被竊取、被監(jiān)控和失泄密等網(wǎng)絡安全事故，可選的國產(chǎn)品牌很多，如“龍盾IIS防火墻”，具體各型號的價格從6千至幾萬不等。

（2）安裝專業(yè)級的入侵防御系統(tǒng)設備，如部署IDS入侵檢測系統(tǒng)或IPS入侵防護系統(tǒng)設備，若經(jīng)費充足，可考慮部署目前高效、流行的UTM（統(tǒng)一威脅管理）設備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量、突發(fā)流量等。入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”）是一種針對網(wǎng)絡傳輸進行實時監(jiān)視，在發(fā)現(xiàn)可疑網(wǎng)絡傳輸時發(fā)出警報或采取主動反應措施的網(wǎng)絡安全設備。設備如圖1所示，有各種品牌和類型的入侵防御系統(tǒng)設備，選購時應選擇國產(chǎn)品牌，價格從2萬至大幾萬不等。

入侵防護（阻止）系統(tǒng)（IPS）是更新一代的入侵檢測系統(tǒng)（IDS），能夠彌補 IDS 在前攝及假陽性/陰性等性質(zhì)方面的缺陷。IPS 可以識別事件的入侵、沖擊、關聯(lián)、方向以及適當?shù)姆治觯缓髠魉秃线m的信息和命令給防火墻、交換機和其它的網(wǎng)絡設備，以應對和減輕該事件的風險。自從2004年IDC提出UTM的概念以來， UTM的發(fā)展迅猛，其市場份額已經(jīng)超越防火墻，成為安全網(wǎng)關市場的主流。一般UTM設備包括如下基本功能，才具備基本的可用性：基礎防火墻功能、入侵防御（IPS）功能、防病毒功能、VPN功能、高可用性（HA）。

（3）安裝防篡改軟件，自動監(jiān)視網(wǎng)站代碼文件是否被篡改，目前市場上此類軟件較多，具體效果尚不明確，是否需要安裝視具體情況可選。

當然，有效的技術防護手段只是網(wǎng)絡安全管控的基礎性工作，但是僅靠網(wǎng)絡安全技術是無法確保信息絕對安全的。建立并執(zhí)行嚴格的計算機網(wǎng)絡安全管理制度，才能最大程度地發(fā)揮網(wǎng)絡安全技術的效能，才能確保網(wǎng)絡信息更加安全可靠。只有即時了解自身的網(wǎng)絡安全現(xiàn)狀，及時的發(fā)現(xiàn)存在的問題，才能在安全和運維上防患于未然，避免損失。在配備安全設備的基礎上，更需要加強網(wǎng)絡運行維護管理。通過高性能網(wǎng)管工作站，實時監(jiān)控網(wǎng)絡運行的各種狀況，如網(wǎng)絡設備的工作狀態(tài)、網(wǎng)絡中各節(jié)點的流量情況、各類應用服務的運行狀況、網(wǎng)絡設備及服務器的響應時間，以及各類安全設備本身的工作狀況、告警等信息，從而及時掌握網(wǎng)絡的全局運行狀態(tài)，以及網(wǎng)絡中出現(xiàn)的各類需關注事件。良好的網(wǎng)絡運行維護管理，是在網(wǎng)絡中出現(xiàn)安全問題后進行及時處理的基本條件。制定并落實網(wǎng)絡安全應急響應制度，在突發(fā)安全事件發(fā)生時，根據(jù)職責分工，按照事件分級和應急處置流程，密切協(xié)作，果斷處置，妥善解決。從而有效降低網(wǎng)絡安全問題帶來的損失，提高安全問題的追蹤能力。

參考文獻

[1] 潘利福.現(xiàn)代企業(yè)網(wǎng)絡安全防護策略與探討[J].電腦知識與技術，2009（15）.

[2] 張小剛.網(wǎng)站服務器安全防護常用方法[J].信息與電腦：理論版，2012（4）.

[3] 李培.入侵檢測系統(tǒng)與網(wǎng)絡教學平臺互動的研究及實現(xiàn)[J].計算機與信息技術，2007（12）.endprint