web服务器安全措施
Web服务器的设计目的主要是为了满足Web服务器所有者的需要,实现组织或个人建的Web服务器初衷和目的。所以,web服务器所有者定义的各种功能需求决定了Web站点和服务器的规模和复杂程度。web服务器安全策略是由组织或个人针对web安全而制定的一整套决策。每个web服务器都应有一个安全策略。这些安全策略因web功能作用的不同而各不相同。对web服务器所有者来说,安全策略规定了那些人可以访问那些web文档,同时还定义获权访问这些web文档的人和拥有这些访问权限的人员的有关权利和责任。一般来说,web服务器管理后台都有权限的严格划分和管理。同样,在web服务器上,我们也能发现对不同权限用户的严格控制和管理。不同的安全策略是实现信息安全的重要保障。
安全机制是实现安全策略的技术或手段。我们必须根据实际需要和安全目标来配置操作系统和Web网站,抵御各种威胁,消除各种风险。建立安全机制,必须对威胁有充分认识。主要应该注意以下几个方面。
.分析web服务器有多少外部入口点存在。例如有10个web服务器,其中6台服务器开放了mysql服务,3台服务器开放了ftp服务、邮件服务。
.分析哪些用户会对web服务器产生威胁:威胁来自黑客,还是内部恶意员工。
.分析目前存在哪些威胁?黑客能访问哪些数据库、网站、IP。威胁是来自安全投入不足,还是来自内部的非授权使用。
.分析已有的安全措施无法防御的攻击方式。
.确定信息安全保护的目标和范围。
.安全解决方案必须切实可行。
对web服务器等重要资产做风险评估非常重要。风险评估是指定位网络资源和明确攻击发生的可能性,是制定web安全策略和设计网络安全措施的基本依据。风险评估是一种“差距分析”,可以显示出安全策略和实际发生攻击之间的差距。
要切实维护好web服务器的安全,我们必须对web服务器的安全性有全面的认识。作为web服务器维护人员,应该做到以下几点。
.一般来说,web服务器上通常运行众多的应用服务(如Mail服务、FTP服务、web服务等)。根据最少服务原则,要想安全地配置web服务器,必须关注每个服务的安全。我们必须删除和关闭不必要的服务,只保留必要的服务。
.增强服务器操作系统的安全,密切关注安全动态,并及时安装操作系统及应用软件的最新补丁,使用足够安全的口令,这些工作不容马虎。
.对web服务器进行远程管理时,服务器管理员应该注意自身电脑的安全。同时,为了防止发生意外,应该对服务器经常性地备份,并保留旧的备份文件。这样可以防患未然,避免数据丢失,大大提高安全事故发生后的恢复效率。
web服务器管理员必须时刻关注网站程序和服务器管理软件的安全。不应该在web服务器安装一些无关软件和网站程序。不少软件或网站程序,在网络上传播后,本身就被植入了后门,web服务器管理员冒然下载它们到web服务器上使用后,将导致web服务器被入侵。同时在选用web服务器时,应考虑服务器不同用途对安全的要求不一样,对于安全级别很高的服务器,应该尽量选用正版软件。
.使用防火墙或其他安全设备对数据包进行过滤,启用访问控制策略对重要服务器进行访问控制,有效隔离内部网络和web服务器。
.如果经济条件许可,应使用入侵检测系统监视web服务器操作系统日志、安全日志和网络中的数据包,对恶意访问进行阻断、报警,及时发现安全问题和调整安全策略。
.在网关和服务器上构建多层次的防病毒体系。对于允许上传和交互web服务器来说,防止病毒及木马程序的出现是保证服务器安全的关键要点。
.经常使用漏洞扫描工具和安全评估软件,对web服务器所在网络进行全面的扫描、分析和评估,从多方面进行安全分析和审计。尽早识别安全风险,及时发现并弥补安全漏洞,使信息安全从静态防护转化为动态防护,构造立体防御体系。 |
