許世瑜

摘 要：網(wǎng)站服務(wù)器安全關(guān)系著用戶隱私和企業(yè)數(shù)據(jù)的安全，越來越受到業(yè)界重視。英國一家網(wǎng)絡(luò)安全咨詢公司曾發(fā)表安全報告稱：經(jīng)統(tǒng)計發(fā)現(xiàn)，1個月內(nèi)網(wǎng)絡(luò)服務(wù)器遭受的攻擊次數(shù)達(dá)到了13654次。網(wǎng)站服務(wù)器安全是一個動態(tài)的概念，沒有靜止永不變的安全狀態(tài)。隨著時間的變化，新的漏洞的產(chǎn)生、新的攻擊手段的發(fā)明、新的配置更改等等都可能使的網(wǎng)絡(luò)的安全性能出現(xiàn)波動。本文針對網(wǎng)站服務(wù)器安全防護(hù)問題，提出了安全防護(hù)管理思路，可以有效降低服務(wù)器安全事故發(fā)生可能性，減少網(wǎng)絡(luò)安全問題帶來的損失，主要是給廣大運(yùn)維人員提供安全防護(hù)參考。

關(guān)鍵詞：網(wǎng)站服務(wù)器 安全防護(hù) 維護(hù) 入侵防御系統(tǒng)

一、網(wǎng)站服務(wù)器日常安全維護(hù)管理

對于網(wǎng)站服務(wù)器，可以執(zhí)行的安全防護(hù)主要可分兩大塊：日常安全維護(hù)管理和安裝專業(yè)設(shè)備防護(hù)。日常安全維護(hù)管理包括以下幾點。

（1）系統(tǒng)必須安裝殺毒軟件并及時升級，開啟實時監(jiān)控，定期全盤查殺病毒和木馬。（2）系統(tǒng)需要安裝最新的各種補(bǔ)丁，定期掃描并修復(fù)可能存在的系統(tǒng)漏洞。（3）啟用Windows的防火墻，定期檢查已設(shè)置的例外程序和服務(wù)。（4）關(guān)閉不用的端口和服務(wù)，定期查看端口連接情況，可以通過netstat-na命令查看。除了需要用的端口，例如SQL的默認(rèn)監(jiān)聽端口1433，網(wǎng)站用到的80、808等端口，其它經(jīng)確認(rèn)不需使用的端口都可關(guān)閉。（5）定期更新設(shè)置用戶名和密碼，密碼應(yīng)包括小寫和大寫字母、數(shù)字、特殊字符等，保持相對復(fù)雜，同時要對用戶進(jìn)行權(quán)限管理。（6）定時瀏覽網(wǎng)站前臺頁面，查看是否正常。網(wǎng)站管理員應(yīng)該時常瀏覽網(wǎng)站，以便第一時間發(fā)現(xiàn)代碼異常并及時處理。每天至少早晚應(yīng)各訪問一次，因為大部分網(wǎng)絡(luò)攻擊發(fā)生在夜間。（7）定期查看日志記錄文件。日志記錄文件是網(wǎng)站運(yùn)行過程中外部訪問行為的有效記錄，時常查看有助于改進(jìn)和提升網(wǎng)站服務(wù)質(zhì)量，更為重要的是，可以發(fā)現(xiàn)攻擊跡象并抵御排除。網(wǎng)站管理員應(yīng)勤看日志，尤其是一些異常增長的日志，一般從中可以發(fā)現(xiàn)許多攻擊源，根據(jù)情況，可以對這些攻擊源IP在服務(wù)器中設(shè)置拒絕服務(wù)等。

二、安裝專業(yè)防護(hù)設(shè)備的種類

（1）可以安裝專業(yè)級別的防火墻設(shè)備，防火墻是一種由計算機(jī)硬件和軟件結(jié)合的設(shè)備，它能在Internet與Intranet之間創(chuàng)建起一個安全網(wǎng)關(guān)（SecurityGateway），繼而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入和攻擊，防火墻通常由服務(wù)訪問規(guī)則、驗證工具、數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)四個部分組成。它大體上具備防基本注入攻擊、防止盜鏈、禁止木馬上傳、禁止非法腳本執(zhí)行和設(shè)置IP地址黑白名單等功能。選購時應(yīng)盡量選擇國產(chǎn)品牌，國外產(chǎn)品可能存在后門導(dǎo)致隱私被竊取、被監(jiān)控和失泄密等網(wǎng)絡(luò)安全事故，可選的國產(chǎn)品牌很多，如“龍盾IIS防火墻”，具體各型號的價格從6千至幾萬不等。

（2）安裝專業(yè)級的入侵防御系統(tǒng)設(shè)備，如部署IDS入侵檢測系統(tǒng)或IPS入侵防護(hù)系統(tǒng)設(shè)備，若經(jīng)費充足，可考慮部署目前高效、流行的UTM（統(tǒng)一威脅管理）設(shè)備，對惡意用戶采用的各種攻擊手段進(jìn)行檢測和防護(hù)，重點過濾惡意流量、突發(fā)流量等。入侵檢測系統(tǒng)（intrusiondetectionsystem，簡稱“IDS”）是一種針對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)視，在發(fā)現(xiàn)可疑網(wǎng)絡(luò)傳輸時發(fā)出警報或采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。有各種品牌和類型的入侵防御系統(tǒng)設(shè)備，選購時應(yīng)選擇國產(chǎn)品牌，價格從2萬至大幾萬不等。

入侵防護(hù)（阻止）系統(tǒng)（IPS）是更新一代的入侵檢測系統(tǒng)（IDS），能夠彌補(bǔ)IDS在前攝及假陽性/陰性等性質(zhì)方面的缺陷。IPS可以識別事件的入侵、沖擊、關(guān)聯(lián)、方向以及適當(dāng)?shù)姆治?，然后傳送合適的信息和命令給防火墻、交換機(jī)和其它的網(wǎng)絡(luò)設(shè)備，以應(yīng)對和減輕該事件的風(fēng)險。自從2004年IDC提出UTM的概念以來，UTM的發(fā)展迅猛，其市場份額已經(jīng)超越防火墻，成為安全網(wǎng)關(guān)市場的主流。一般UTM設(shè)備包括如下基本功能，才具備基本的可用性：基礎(chǔ)防火墻功能、入侵防御（IPS）功能、防病毒功能、VPN功能、高可用性（HA）。

（3）安裝防篡改軟件，自動監(jiān)視網(wǎng)站代碼文件是否被篡改，目前市場上此類軟件較多，具體效果尚不明確，是否需要安裝視具體情況可選。

當(dāng)然，有效的技術(shù)防護(hù)手段只是網(wǎng)絡(luò)安全管控的基礎(chǔ)性工作，但是僅靠網(wǎng)絡(luò)安全技術(shù)是無法確保信息絕對安全的。建立并執(zhí)行嚴(yán)格的計算機(jī)網(wǎng)絡(luò)安全管理制度，才能最大程度地發(fā)揮網(wǎng)絡(luò)安全技術(shù)的效能，才能確保網(wǎng)絡(luò)信息更加安全可靠。只有即時了解自身的網(wǎng)絡(luò)安全現(xiàn)狀，及時的發(fā)現(xiàn)存在的問題，才能在安全和運(yùn)維上防患于未然，避免損失。在配備安全設(shè)備的基礎(chǔ)上，更需要加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)管理。通過高性能網(wǎng)管工作站，實時監(jiān)控網(wǎng)絡(luò)運(yùn)行的各種狀況，如網(wǎng)絡(luò)設(shè)備的工作狀態(tài)、網(wǎng)絡(luò)中各節(jié)點的流量情況、各類應(yīng)用服務(wù)的運(yùn)行狀況、網(wǎng)絡(luò)設(shè)備及服務(wù)器的響應(yīng)時間，以及各類安全設(shè)備本身的工作狀況、告警等信息，從而及時掌握網(wǎng)絡(luò)的全局運(yùn)行狀態(tài)，以及網(wǎng)絡(luò)中出現(xiàn)的各類需關(guān)注事件。良好的網(wǎng)絡(luò)運(yùn)行維護(hù)管理，是在網(wǎng)絡(luò)中出現(xiàn)安全問題后進(jìn)行及時處理的基本條件。制定并落實網(wǎng)絡(luò)安全應(yīng)急響應(yīng)制度，在突發(fā)安全事件發(fā)生時，根據(jù)職責(zé)分工，按照事件分級和應(yīng)急處置流程，密切協(xié)作，果斷處置，妥善解決。從而有效降低網(wǎng)絡(luò)安全問題帶來的損失，提高安全問題的追蹤能力。

參考文獻(xiàn)

[1]潘利福.現(xiàn)代企業(yè)網(wǎng)絡(luò)安全防護(hù)策略與探討[J].電腦知識與技術(shù)，2009（15）.

[2]張小剛.網(wǎng)站服務(wù)器安全防護(hù)常用方法[J].信息與電腦：理論版，2012（4）.

[3]李培.入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺互動的研究及實現(xiàn)[J].計算機(jī)與信息技術(shù)，2007 （12）.