摘 要:对目前日益严峻的网站安全问题进行分析,提出了网站安全防护措施,通过基于unix和windows等常用平台,介绍web网站的防护经验。
关键词:网站;安全;防护
1 网站技术简介安全威胁的来源
1.1 /network/">网络的速度便缓慢。
2 web安全保护的原则
2.1 实用的原则
针对网站架构,网站安全问题主要分为以下四个方面:服务器安全、边界安全、internet和extranet上的安全,在攻击行为发生前,做到防患于未然是预防措施的关键。
2.2 积极预防的原则
对web系统进行安全评估,权衡考虑各类安全资源的价值和对它们实施保护所需要的费用,通过评估,确定不安全情况发生的几率,采用必要的软硬件产品,加强网站日常安全监控。
2.3 及时补救的原则
在攻击事件发生后尽快恢复系统的正常运行,并找出发生攻击事件问题的原因,将损失降至最低,并研究攻击发生后应对措施。
3 建立安全的web网站
3.1 合理配置主机系统
3.1.1 仅提供必要的服务
默认安装的操作系统都有一系列常用的服务。例如unix系统将提供finger、sendmail、ftp、nfs、ip转发等,windows nt系统将提供rpc、ip)转发、ftp、smtp等。Www.133229.cOm而且,系统在缺省的情况下自动启用这些服务,或提供简单易用的配置向导。为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于unix系统,应检查/etc/rc.d/目录下的各个目录中的文件,删除不必要的文件;对于windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件。一般情况下,应关闭web服务器的ip转发功能。
对于专门提供web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作web服务器系统,对外只提供web服务,没有其他任务。这样,可以保证(1)使系统最好地为web服务提供支持;(2)管理人员单一,避免发生管理员之间的合作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。
对于必须提供其他服务,则必须仔细设置目录、文件的访问权限,确保远程用户无法通过web服务获得操作权限。
3.1.2 使用必要的辅助工具,简化安全管理
启用系统的日志(系统帐户日志和web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。
3.2 合理配置web服务器
在unix os中,以非特权用户而不是root身份运行web服务器。
(1)设置web服务器访问控制。通过ip地址控制、子网域名来控制,未被允许的ip地址、ip子网域发来的请求将被拒绝;
(2)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应。
(3)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。
3.3 设置web服务器有关目录的权限
为了安全起见,管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。
服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改。
服务器根目录下存放cgi脚本程序,用户对这些程序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作。
服务器根目录下的某些文件需要由root来写或者执行,如web服务器需要root来启动,如果其他用户对web服务器的执行程序有写权限,则该用户可以用其他代码替换掉web服务器的执行程序,当root 再次执行这个程序时,用户设定的代码将以root身份运行。
3.4 安全管理web服务器
web服务器的日常管理、维护工作包括web服务器的内容更新,日志文件的审计,安装一些新的工具、软件,更改服务器配置,对web进行安全检查等。
参考文献
[1]单欧.ssl在web安全中的应用[j].信息网络安全,2004,(6).
