趙連方，韓冰

（廣州海關信息中心，廣東廣州，510623）

1 基本網(wǎng)站服務器維護

含有保密信息數(shù)據(jù)的區(qū)域全面轉成NTFS格式；同時，定期檢查更新殺毒防毒程序。在員工電腦上必須安裝防毒軟件。需要設定這類軟件定時自動下載最新的病毒防護文件。此外，必須安裝殺毒防毒軟件在電子郵件服務器上，用來檢查掃描接收到的電子郵件，如果發(fā)現(xiàn)攜帶病毒感染的附件，系統(tǒng)會發(fā)出提示，相應電子郵件應該馬上處理。這樣可以降低病毒入侵的幾率。

此外，是限制員工只能在工作時間登錄內部網(wǎng)絡，工作時間外沒有權限。這也是防止病毒從外部入侵的根本方法。

第三，獲取內部網(wǎng)絡信息上的各種數(shù)據(jù)需要密碼。員工設置個人密碼需要標準規(guī)則。例如，數(shù)字，特殊字符和大小寫字母等，以及限制密碼長度。同時，可以使用相關密碼測試軟件進行抽樣測試，以監(jiān)測密碼安全。

2 換位思考，模擬可能的入侵和攻擊

我們以網(wǎng)站服務器維護員的思路想問題，不容易找到網(wǎng)站服務器的問題。如果我們能換個角度，從網(wǎng)站服務器入侵者的立場思考他們采取的方法，從哪些方面對網(wǎng)站服務器進行入侵破壞，可能會找出網(wǎng)站服務器的安全隱患。未雨綢繆，提前制定修改方案，從而杜絕被木馬或者病毒攻擊。

此外，從外部網(wǎng)路訪問自身的，進行全面的檢查，進而模擬病毒入侵攻擊自身的網(wǎng)站服務器，檢測服務器的安全性。維護人員可以模擬自己為入侵者，通過對網(wǎng)站服務器進行掃描，及早查出服務器安全隱患或漏洞。通常在網(wǎng)站服務器安裝或配置的時候，部分不必要的操作系統(tǒng)服務器會默認安裝并啟動，黑客攻擊者會利用這些漏洞攻擊網(wǎng)站。例如提供服務器系統(tǒng)的詳細信息的基本網(wǎng)絡維護協(xié)議，其中包含了網(wǎng)站服務器的操作系統(tǒng)，對應的端口等重要信息?；揪W(wǎng)絡維護協(xié)議在系統(tǒng)安裝完畢后默認是開啟的，入侵者獲取此類信息就可以入侵網(wǎng)站服務器。這些問題不易被維護人員在日常工作中發(fā)現(xiàn)。采用多種方法，檢查網(wǎng)站服務器的安全性，把隱患降低最低，是防護管理的根本。

3 日常防火墻的管理

防火墻是網(wǎng)站服務器日常防護管理中重要組成環(huán)節(jié)，必不可少。定期檢查防火墻的設置保證其版本更新，可以保護網(wǎng)站及公司電腦設備上的信息不被竊取。

第一，IP地址不能隨意泄露。設定一個對外部的的IP地址，網(wǎng)絡通訊信息等需要通過這個IP地址。電子郵件服務器和網(wǎng)站服務器必須經(jīng)過防火墻才可以對外。重要的IP地址一定要隱藏，例如，內部平臺上的IP地址。

第二，日常要關閉非必要的端口，但是像用于HTTP流量的端口不能關閉。我們可以在網(wǎng)絡服務站是看到各個端口的詳細信息，從而做出合理操作。網(wǎng)站服務器通常除了運行網(wǎng)站，同時提供內部多個服務器和網(wǎng)絡服務的應用。多種網(wǎng)絡服務出現(xiàn)在相同服務器上，會出現(xiàn)服務之間的相互感染。如果網(wǎng)絡入侵者進入了某一種服務，其他使用會被輕易攻克。同理，內部平臺會遭到入侵者的破壞。因此避免多種服務應用公用一個服務器是可以避免其他服務器被病毒串聯(lián)感染的。

4 網(wǎng)站服務器的備份工作

定期對網(wǎng)站服務器的備份是預防系統(tǒng)故障和員工操作失誤，避免數(shù)據(jù)丟失的重要環(huán)節(jié)。重要信息和文檔要備份在幾個服務器上，防止網(wǎng)站服務器系統(tǒng)或者硬盤崩潰將信息丟失。這樣可以在某個服務器出現(xiàn)故障時，馬上將系統(tǒng)恢復到正常模式。定期對全系統(tǒng)進行備份是網(wǎng)站服務器的根本工作，可以根據(jù)需要，每天，每周及每月等設定備份時間。

此外，可以利用密碼保護網(wǎng)站服務器備份工作。編輯備份程序時添加加密設置，將數(shù)據(jù)進行加密可以有效保障其安全性。

圖1 為網(wǎng)站服務器安全防護流程

5 網(wǎng)站防護系統(tǒng)的設置

信息安全防護中的重要環(huán)節(jié)是網(wǎng)站服務器的防護系統(tǒng)部署。為了網(wǎng)站服務器免遭外部網(wǎng)絡攻擊、網(wǎng)頁被篡改，病毒蠕蟲或黑客攻擊的破壞，可以通過接入網(wǎng)站服務器防護系統(tǒng)的硬件引擎，以串接方式，連入網(wǎng)站服務器的前端，防火墻和另一端與互聯(lián)網(wǎng)相連，通過內部網(wǎng)絡和硬件引擎的控制端口的連接，維護員全面對引擎進行管理和控制，記錄數(shù)據(jù)。目前大多數(shù)網(wǎng)絡入侵是通過應用層傳播，為了進行阻斷，防護系統(tǒng)的應用可以對網(wǎng)絡蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊、網(wǎng)絡設備攻擊等進行保護。

在網(wǎng)站服務器前端連接，有效的保護網(wǎng)站服務器，但此應用防護范圍限于網(wǎng)站服務器。將硬件引擎串接到被保護范圍的網(wǎng)絡前端這種方法可以消除無關網(wǎng)絡數(shù)據(jù)的干擾，從而提高網(wǎng)站服務器的運行效率。

設置網(wǎng)站服務器防護系統(tǒng)，可以加強內部網(wǎng)絡平的保護力度，保證內部信息的安全穩(wěn)定。

6 腳本安全防護管理

不良的腳本是網(wǎng)絡攻擊者入侵網(wǎng)站服務器的門戶，很多服務器出于這個原因被攻擊從而崩潰的。CGI程序或者PHP腳本通常受到攻擊者的青睞。

圖2 為網(wǎng)站防護系統(tǒng)

參數(shù)是訪問網(wǎng)站服務器的基礎。在日常工作中，通常有兩種參數(shù)，值得信任的參數(shù)，和不值得信任的參數(shù)。通常防火墻內部的參數(shù)是可以安全使用的且安全的，反之，不安全的參數(shù)大多數(shù)是來自外部的參數(shù)。對于網(wǎng)站服務器，不是絕對的來自防火墻外部的參數(shù)都不安全。需要維護人員在建立網(wǎng)站服務器的初始階段，檢測外部參數(shù)，看其是否可以使用，不能全部使用。不全面的檢查會造成網(wǎng)站服務器的安全隱患。比如，網(wǎng)絡入侵者采用TELNET連接到81端口，就能給CGL腳本傳輸不安全的參數(shù)。因此，我們在編輯程序或者建立PHP腳本的時候，設置為陌生參數(shù)不能隨意進入。在接受參數(shù)之前，必須檢查參數(shù)的正當性，我們可以加入某些判斷條件在程序或者腳本編寫時。這樣網(wǎng)站服務器可以提醒維護人員如果有參數(shù)不準確的情況。維護人員可以在第一時間發(fā)現(xiàn)這攻擊者，進而采取對應的防御措施。

7 設置日志開啟

記錄網(wǎng)絡入侵者行蹤的一個方法時開啟日志服務。日志服務可以記錄網(wǎng)路入侵者攻擊的時間和操作信息。網(wǎng)絡服務器的維護人員可以在日志上可以查看攻擊者在系統(tǒng)上的攻擊行為，并通過分析網(wǎng)絡服務器的安全隱患。維護人員進而制定查漏補缺的方案。

8 信息保密中的MD5算法

8.1 MD5的用途

日常工作中防止信息及文件被篡改，可以使用MD5算法。

在通過網(wǎng)絡傳輸電子文件情況下，在文件發(fā)送前，需要在文檔內容里進行MD5運算，從而得到這個電子文件的 “數(shù)字指紋”，然后把 “數(shù)字指紋” 和電子文件一起發(fā)送給對方。當對方收到電子文件后,應用MD5算法對文件的內容進行運算，最后會得到對應的“數(shù)字指紋”，這個指紋和你所發(fā)送文件的“數(shù)字指紋” 相同時，表明文件在傳輸過程中沒有篡改。

當用戶登錄系統(tǒng)時，登錄系統(tǒng)對用戶輸入的密碼執(zhí)行MD5哈希運算，然后再使用用戶ID和密碼對應的MD5“數(shù)字指紋” 進行用戶認證。認證通過，則當前的用戶可以正常登錄系統(tǒng)。用戶密碼經(jīng)過MD5哈希運算后存儲的方案至少有兩個好處：防內部攻擊：因為在數(shù)據(jù)庫中不會以明文的方式保存密碼，因此可以避免系統(tǒng)中用戶的密碼被具有系統(tǒng)管理員權限的人員知道。防外部攻擊：網(wǎng)站數(shù)據(jù)庫被黑客入侵，黑客只能獲取經(jīng)過 MD5 運算后的密碼，而不是用戶的明文密碼。

8.2 MD5應用

第一，驗證密碼。如果想密碼不被破譯，最好的方法是加鹽和亂序，也可以只取一半md5的長度。md5是不可逆算法，只要保證算法不變，就能和數(shù)據(jù)庫中的md5相匹配。第二，文件完整性的檢測。當下載一個文件時，服務器返回的信息中包括這個文件的md5，在本地下載完畢時進行md5，將兩個md5值進行比較，相同就表示文件沒有被改動。第三，文件上傳。文件上傳時會上傳文件的信息此時將文件的md5上傳，服務器中存儲這個md5值，并存儲這個md5值所對應的已上傳字節(jié)長度，比如未上傳對應為0，已上傳對應為-1，已上傳200字節(jié)就對應200，這個上傳的時候可以匹配到這個文件在服務器中的狀態(tài)，方便做斷點續(xù)傳，保證源文件沒有更改,即便更改名字，更改賬戶都能在服務器找到對應的文件，所以這個文件已經(jīng)在服務器中上傳完成時,其他人再上傳這個文件就可以達到秒傳。

9 結論

在網(wǎng)站服務器的安全防護管理中，我們要不斷完善方法措施。當前網(wǎng)絡發(fā)展迅猛，前方的挑戰(zhàn)和威脅無時無刻不在提醒我們，只有不斷提高自身的防護能力才能有效遏制攻擊。越來越多的黑客攻擊給網(wǎng)絡服務器帶來了嚴重的毀壞。網(wǎng)站服務器的維護人員，需要未雨綢繆，制定有效的防護管理措施。我們要充分利用防火墻、安全路由器、安全網(wǎng)關、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等，把問題消除在萌芽階段，確保網(wǎng)站安全運營。