高校Web服務(wù)器安全體系淺談

鐘志丹

摘 要 隨著信息化發(fā)展，高校越來越重視學(xué)校網(wǎng)站建設(shè)，同時(shí)高校Web服務(wù)器承受越來越多的安全問題，所以要從整個(gè)服務(wù)器安全體系去綜合考慮，確保服務(wù)器的安全。

關(guān)鍵詞 高校 Web服務(wù)器 安全體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

一、引言

近年來，隨著信息化的高速發(fā)展，高校越來越重視學(xué)校網(wǎng)站的作用。高校Web服務(wù)器中除了學(xué)校的主網(wǎng)站外還有幾十個(gè)系部和教輔單位的網(wǎng)站，這些網(wǎng)站質(zhì)量良莠不齊，漏洞百出，甚至還有病毒和木馬，給學(xué)校Web服務(wù)器帶來了嚴(yán)重的安全隱患。

二、高校Web服務(wù)器特點(diǎn)

由于高校Web服務(wù)器上有幾十個(gè)網(wǎng)站，每個(gè)網(wǎng)站的質(zhì)量和網(wǎng)站管理員的水平參差不齊，網(wǎng)站的訪問量也不大，所以最好采用一些主流的、相對(duì)容易的建站策略。高校Web服務(wù)器和一般的應(yīng)用服務(wù)器相比有著以下明顯的特點(diǎn)：

1、操作系統(tǒng)主要采用微軟公司的Windows Server系列。

2、應(yīng)用服務(wù)器主要采用微軟公司的Internet信息服務(wù)器（IIS）。

3、數(shù)據(jù)庫一般使用微軟公司的Access和SQL SERVER。

4、網(wǎng)頁語言主要采用asp和.net。

三、高校Web服務(wù)器安全體系

高校Web服務(wù)器安全是個(gè)系統(tǒng)工程，要從服務(wù)器硬件、操作系統(tǒng)、安全軟件、Internet信息服務(wù)器（IIS）、數(shù)據(jù)庫、網(wǎng)頁代碼、管理員這七個(gè)方面去綜合考慮。

（一）服務(wù)器硬件。

服務(wù)器硬盤采用RAID1磁盤陣列，不采用大型商業(yè)服務(wù)器通常采用的RAID5磁盤陣列。RAID1是1:1的復(fù)制，具有較高的安全性和較低的維護(hù)成本；RAID5雖然也具有很高的安全性，但它的目的更多地是為了擴(kuò)大硬盤陣列的容量和數(shù)據(jù)讀的速度，并且具有較高的采購成本和維護(hù)成本。根據(jù)高校Web服務(wù)器的數(shù)據(jù)容量、訪問量和性價(jià)比，優(yōu)先考慮RAID1磁盤陣列。

（二）操作系統(tǒng)。

刪除默認(rèn)的管理員用戶Administrator，生成新的管理員用戶，使用復(fù)雜用戶名和密碼。也可以設(shè)置一個(gè)名字為Administrator的Guest用戶，并使用復(fù)雜的密碼，來欺騙攻擊者 。

根據(jù)最小化系統(tǒng)原則，只安裝必要的軟件和啟用必要的服務(wù)，關(guān)閉系統(tǒng)所有端口，只保留80端口。開啟服務(wù)器日志，并改變存放日志的位置，防止被篡改或刪除。

網(wǎng)頁源代碼放在非系統(tǒng)盤，文件夾的安全設(shè)置默認(rèn)情況下Internet來賓賬號(hào)只有讀取和運(yùn)行、列出文件夾目錄、讀取權(quán)限，Internet來賓賬號(hào)只對(duì)數(shù)據(jù)庫文件夾和上傳文件夾開放修改和可寫權(quán)限。

（三）安全軟件。

安裝殺毒軟件等安全軟件，并及時(shí)對(duì)殺毒軟件升級(jí)。使用文件防篡改軟件來防止網(wǎng)頁被篡改和服務(wù)器被上傳網(wǎng)頁木馬?？梢允褂肕cAfee軟件中的自定義規(guī)則，禁止網(wǎng)頁進(jìn)程創(chuàng)建、修改和刪除asp，aspx，gif等文件，禁止網(wǎng)頁進(jìn)程創(chuàng)建、修改、刪除和執(zhí)行exe，cmd，bat等文件。開啟McAfee日志，同時(shí)對(duì)McAfee軟件要進(jìn)行鎖定，防止被修改配置。

（四）Internet信息服務(wù)器（IIS）。

防止因?yàn)閭€(gè)別網(wǎng)站的問題而導(dǎo)致Web服務(wù)器上的所有網(wǎng)站都受到影響，有必要在IIS中設(shè)置應(yīng)用池，當(dāng)一個(gè)應(yīng)用池中的網(wǎng)站出問題，其他應(yīng)用池中的網(wǎng)站不受影響。一般情況下把首字母相同的網(wǎng)站放到同一個(gè)應(yīng)用池，并用首字母命名該應(yīng)用池。當(dāng)一個(gè)應(yīng)用池里網(wǎng)站個(gè)數(shù)過多時(shí)，可以分放在若干個(gè)應(yīng)用池中；當(dāng)某個(gè)網(wǎng)站非常重要的時(shí)候也可以給一個(gè)網(wǎng)站單獨(dú)創(chuàng)建一個(gè)應(yīng)用池。同時(shí)應(yīng)用池太多也影響系統(tǒng)性能，最好不要超過20個(gè) 。

在IIS中對(duì)任何Internet來賓賬號(hào)具有修改和可寫權(quán)限的文件夾的執(zhí)行權(quán)限設(shè)置為“無”，即使這些文件夾被上傳了網(wǎng)頁木馬也無法運(yùn)行，同時(shí)開啟IIS日志 。

（五）數(shù)據(jù)庫。

很多人為了防止Access數(shù)據(jù)庫被下載，會(huì)把.mdb數(shù)據(jù)庫文件改為.asp文件。但是這樣做有兩個(gè)主要的缺點(diǎn)：一個(gè)是.asp文件是腳本文件，木馬病毒可以在中間加些惡意代碼，這就把這個(gè)數(shù)據(jù)庫文件完全破壞了，基本上無法恢復(fù)；二是.asp文件已經(jīng)被McAfee設(shè)置為不可修改，數(shù)據(jù)庫文件卻需要可寫權(quán)限。所以不要修改.mdb數(shù)據(jù)庫文件的后綴名，但是要在數(shù)據(jù)庫文件命名中加入“#”號(hào)，防止被惡意下載。

SQL Server數(shù)據(jù)庫要?jiǎng)h除sa超級(jí)用戶，新建其他管理用戶，設(shè)置復(fù)雜用戶名和復(fù)雜的密碼。

（六）網(wǎng)頁代碼。

網(wǎng)頁代碼對(duì)于服務(wù)器管理員來說是最大的挑戰(zhàn)，因?yàn)閹资畟€(gè)網(wǎng)站，由不同的人建設(shè)，不可避免存在許多的漏洞和錯(cuò)誤，甚至本身就是含有網(wǎng)頁木馬和病毒。所以在把網(wǎng)頁代碼放到服務(wù)器前，要仔細(xì)檢查。首先用殺毒軟件掃描，然后利用文本查詢軟件對(duì)木馬所具有的關(guān)鍵詞進(jìn)行搜索，清楚可疑網(wǎng)頁。

對(duì)每個(gè)網(wǎng)頁的輸入字符串都要進(jìn)行過濾，防止SQL注入。

對(duì)網(wǎng)頁上傳模塊進(jìn)行修改，刪除不必要的模塊網(wǎng)頁，并限制網(wǎng)頁只能在校內(nèi)等有限IP范圍內(nèi)才能上傳文件，杜絕校外上傳木馬攻擊。

（七）管理員。

管理員是Web服務(wù)器安全體系中最重要的因素，而管理員主要分為服務(wù)器管理員和網(wǎng)站管理員。

服務(wù)器管理員定期查看服務(wù)器、IIS、McAfee日志，看是否有可疑攻擊行為。并定期對(duì)網(wǎng)頁所在邏輯盤進(jìn)行搜索，按照時(shí)間順序排序，根據(jù)時(shí)間、名稱、大小、屬性來判斷是否有可疑文件。定期備份Web服務(wù)器，數(shù)據(jù)庫1個(gè)月備份一次，網(wǎng)頁源代碼一個(gè)學(xué)期備份一次。

網(wǎng)站管理員必須由學(xué)校專職教師承擔(dān)，不得讓其他人參與網(wǎng)站管理，密碼要設(shè)置復(fù)雜密碼，并根據(jù)工作來分配相應(yīng)權(quán)限。

四、結(jié)論

維護(hù)高校Web服務(wù)器的安全運(yùn)行是一個(gè)巨大的挑戰(zhàn)，同時(shí)也是一個(gè)系統(tǒng)工程，它不同于一般的應(yīng)用服務(wù)器，有著自身的特點(diǎn)，并根據(jù)這些特點(diǎn)要從服務(wù)器硬件、操作系統(tǒng)、安全軟件、IIS、數(shù)據(jù)庫、網(wǎng)頁代碼、管理員等七個(gè)方面去整體布置，確保服務(wù)器安全?！?/p>

（作者單位： 湖南人文科技學(xué)院）

注釋：

魯絮飛.web服務(wù)器安全防衛(wèi)系統(tǒng)構(gòu)建, 現(xiàn)代商貿(mào)工業(yè),2011,(23):311

段衛(wèi)平.淺談Web高校服務(wù)器的安全設(shè)置,科技資訊，2007,（38）:114-116

佘靜濤.林雅宏.淺談高校圖書館Web服務(wù)器的安全配置, 浙江高校圖書情報(bào)工作，2011,105（1）:6-11