建立安全的Web站點(diǎn)(4)_Windows教程

2、合理配置Web服務(wù)器

　　(1)在Unix OS中，以非特權(quán)用戶(hù)而不是Root身份運(yùn)行Web服務(wù)器。(如Nobody、www、Daemon)
　　(2)設(shè)置Web服務(wù)器訪(fǎng)問(wèn)控制。通過(guò)IP地址控制、子網(wǎng)域名來(lái)控制，未被允許的IP地址、IP子網(wǎng)域發(fā)來(lái)的請(qǐng)求將被拒絕；
　　(3)通過(guò)用戶(hù)名和口令限制。只有當(dāng)遠(yuǎn)程用戶(hù)輸入正確的用戶(hù)名和口令的時(shí)候，訪(fǎng)問(wèn)才能被正確響應(yīng)。
　　(4)用公用密鑰加密方法。對(duì)文件的訪(fǎng)問(wèn)請(qǐng)求和文件本身都將加密，以便只有預(yù)計(jì)的用戶(hù)才能讀取文件內(nèi)容。

　　3、設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限

　　為了安全起見(jiàn)，管理員應(yīng)對(duì)“文檔根目錄”(HTML文件存放的位置)和“服務(wù)器根目錄”(日志文件和配置文件存放的位置)做嚴(yán)格的訪(fǎng)問(wèn)權(quán)限控制；

　　(1)服務(wù)器根目錄下存放日志文件、配置文件等敏感信息，它們對(duì)系統(tǒng)的安全至關(guān)重要，不能讓用戶(hù)隨意讀取或刪改；
　　(2)服務(wù)器根目錄下存放CGI腳本程序，用戶(hù)對(duì)這些程序有執(zhí)行權(quán)限，惡意用戶(hù)有可能利用其中的漏洞進(jìn)行越權(quán)操作，比如，增、刪、改；
　　(3)服務(wù)器根目錄下的某些文件需要由Root來(lái)寫(xiě)或者執(zhí)行，如Web服務(wù)器需要Root來(lái)啟動(dòng)，如果其他用戶(hù)對(duì)Web服務(wù)器的執(zhí)行程序有寫(xiě)權(quán)限，則該用戶(hù)可以用其他代碼替換掉Web服務(wù)器的執(zhí)行程序，當(dāng)Root 再次執(zhí)行這個(gè)程序時(shí)，用戶(hù)設(shè)定的代碼將以Root身份運(yùn)行。

　　4、謹(jǐn)慎組織Web服務(wù)器的內(nèi)容

　　5、安全管理Web服務(wù)器

　　Web服務(wù)器的日常管理、維護(hù)工作包括Web服務(wù)器的內(nèi)容更新，日志文件的審計(jì)，安裝一些新的工具、軟件，更改服務(wù)器配置，對(duì)Web進(jìn)行安全檢查等。主要注意以下幾點(diǎn)：

　　(1)以安全的方式更新Web服務(wù)器(盡量在服務(wù)器本地操作)；
　　(2)經(jīng)常審查有關(guān)日志記錄；
　　(3)進(jìn)行必要的數(shù)據(jù)備份；
　　(4)定期對(duì)Web服務(wù)器進(jìn)行安全檢查；
　　(5)冷靜處理意外事件。

　　五、Web網(wǎng)站的安全管理

　　1、建立安全的Web網(wǎng)站，首先要全盤(pán)考慮Web服務(wù)器的安全設(shè)計(jì)和實(shí)施。無(wú)論是政府網(wǎng)站，還是企業(yè)、商業(yè)機(jī)構(gòu)或是社會(huì)團(tuán)體，各自都有其特殊的安全要求，所以，根據(jù)本單位的實(shí)際情況出發(fā)，周密制定安全政策是實(shí)現(xiàn)系統(tǒng)安全的前提。

　　2、對(duì)Web系統(tǒng)進(jìn)行安全評(píng)估，也就是說(shuō)，權(quán)衡考慮各類(lèi)安全資源的價(jià)值和對(duì)它們實(shí)施保護(hù)所需要的費(fèi)用。這個(gè)當(dāng)中不能只考慮看得見(jiàn)的資源實(shí)體，應(yīng)該綜合考慮資源帶來(lái)的效益，資源發(fā)生不安全情況的幾率，資源的安全保護(hù)被突然破壞時(shí)將可能帶來(lái)的損失。

　　3、制定安全策略的基本原則和管理規(guī)定，即指明各類(lèi)資源的基本安全要求以及為了達(dá)到這種安全要求應(yīng)該實(shí)施的事項(xiàng)。安全管理是由個(gè)人或組織針對(duì)為了達(dá)到特定的安全水平而制定的一整套要求有關(guān)部門(mén)人員必須遵守的規(guī)則和違規(guī)罰則。對(duì)于Web服務(wù)提供者來(lái)說(shuō)，安全管理的一個(gè)重要的組成是哪個(gè)人可以訪(fǎng)問(wèn)哪些Web文擋，獲權(quán)訪(fǎng)問(wèn)Web文檔和使用這些訪(fǎng)問(wèn)的人的有關(guān)部門(mén)權(quán)利和責(zé)任，有關(guān)人員對(duì)設(shè)備、系統(tǒng)的管理權(quán)限和維護(hù)守則，失職處罰等。

　　4、對(duì)員工的安全培訓(xùn)，培養(yǎng)員工主動(dòng)學(xué)習(xí)安全知識(shí)的意識(shí)和能力。一個(gè)網(wǎng)站的安全政策必須被每一個(gè)工作人員所理解，這樣才可能讓每一個(gè)員工自覺(jué)遵守、維護(hù)它。

　　盡管如此，Web網(wǎng)站的安全是相對(duì)的，沒(méi)有絕對(duì)的安全，我們只能把遭受攻擊的可能性降到最低。更重要的是，必須做到“有法必依”，把安全政策體現(xiàn)到設(shè)備的選購(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)、人員的配置、管理及每一個(gè)人的日常的工作中。

　　本文所用到的英漢縮略說(shuō)明：

　　Web 是 World Wide Web 的簡(jiǎn)稱(chēng)
　　HTTP(Hyper Text Transfer Protocol) 超文本傳輸協(xié)議
　　IIS (Internet Information Server) Internet 信息服務(wù)器
　　CGI(Common Gateway Interface) 公共網(wǎng)關(guān)接口
　　LAN(Local Area Network) 局域網(wǎng)
　　RPC(Remote Procedure Call) 遠(yuǎn)程過(guò)程調(diào)用
　　TCP(Transmission Control Protocol) 傳輸控制協(xié)議
　　IP(Internet Protocol) 網(wǎng)際協(xié)議
　　FTP(File Transfer Protocol) 文件傳輸協(xié)議
　　SMTP(Simple Mail Transfer Protocol) 簡(jiǎn)單郵件傳送協(xié)議
　　PC(Personal Computer) 個(gè)人計(jì)算機(jī)
　　OS(Operating System) 操作系統(tǒng)