龙源期刊网 http://www.qikan.com.cn
WEB服务器安全防范
作者:陈涛
来源:《现代企业文化·理论版》2011年第04期
web服务器主要存在安全问题分析
WEB应用服务器的安全从来都不是一个独立存在的问题,大概而言主要包括以下四点:服务器自身和网络环境的安全。主要有服务器系统漏洞,系统权限,网络环境(如ARP等)、网络端口管理等,这是站点安全的基础;WEB服务器应用的安全(IIS、Apache等)。主要有应用的配置、权限等,这直接影响访问网站的效率和结果;网站程序的安全。主要有程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分;WEB 服务器周边应用的安全。一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
web服务器安全解决方案
(一)系统权限—即NTFS权限,设置原则如下:向管理员和系统授予所有权和权限;在系统目录中禁用继承;在“本地安全策略”中授予权限。
(二)网络环境安全—七大措施。一、首先是要有全面而系统的补丁管理;二、要对企业的雇员进行综合而深入的安全意识教育和培训。内部人员他们拥有最大的访问权。以下三点是公司最应当关注的,教育雇员如何管理私有数据;要求用户创建真正安全的口令;要教育用户辩别各种欺诈手段。三、建立基于主机的入侵防御系统。将基于网络的入侵检测系统与基于主机的入侵防护结合起来,才能真正保护保存机密信息的系统。基于主机的入侵防御可以监视特定系统进入和发出的数据通信,查找异常的行为。四、内部漏洞评估。漏洞评估就是要扫描操作系统、网络服务器、工作站、打印机等组件,目的是揭示有哪些地方缺少恰当的保护或存在漏洞。笔者建议企业应当将操作系统的评估与应用程序的测试结合起来。例如,在扫描Vista操作系统时,也应当注意Office 是否受到了损害。五、集中化的桌面保护。目前,多数桌面计算机都安装了某种反病毒保护方案。但企业应当对桌面保护采取集中化的方法,这可使得安装、管理、维护一致性的病毒保护系统更加便捷,在将的暴露程度最少化的前提下,还能建立快速的响应机制。六、用数据转出管理方案。大多数公司都有一些需要保持私密性的敏感信息。数据管理方案可以防止数据通过电子邮件等方式离开企业网络。这种方案应当能够防止雇员将一个客户的财务数据发送到企业网络外部。它可以控制敏感信息在人员之间的流动。七、建立蜜罐。蜜罐的作用是研究、监视攻击者,它可以模拟一个攻击者试图突破的系统,但又要
龙源期刊网 http://www.qikan.com.cn
限制入侵者访问整个网络。多数成功的蜜罐应当安装在防火墙之后,但也有例外。通过吸引黑客进入系统,蜜罐可以实现三个目的,一是管理员可以监视黑客如何利用系统漏洞,因此可以知道系统什么地方有缺陷,二是在黑客试图获取系统的管理员账户时就可以阻止之,三是设计人员能够构建更加安全的系统,从容面对未来的黑客攻击。 (三)SSL安全协议在WEB服务器中的应用。
SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中,用于安全地传送数据,集中到每个WEB服务器和浏览器中,从而来保证用户都可以与Web站点安全交流。 一是具有真正安全连接的高速安全套接层SSL交易,可以将PCI卡形式的SSL卸载(offloading)设备直接安装到Web服务器上,这种做法的好处是:从客户机到安全Web服务器的数据安全性;由于卸载工具执行所有SSL处理过程并完成TCP/IP协商,因此大大提高了吞吐量;简化了密钥的管理和维护。二是新型专用网络设备SSL加速器可以使Web站点通过在优化的硬件和软件中进行所有的SSL处理来满足性能和安全性的需要。 (四)WINDOWS网络编程安全。
编写安全的程序代码是预防黑客入侵很重要的一步,要做到安全编码,首先需了解windows内部机制、找到提高编程能力的途径之后,在这里笔者介绍以下几个编程技巧: 一、学会修改注册表。大家都知道当浏览了一些网页恶意代码,IE标题、默认主页等被改得面目全非,这就是通过改动注册表来更改系统设置的例子。windows通过它记录大量的数据,然后在下一次启动时再读取相应的数据来设置系统。通过控制注册表就可以控制整个系统,所以很多的黑客程序都在注册表上动手脚,我们完全可以通过编程来操作注册表,达到与手动更改注册表编辑器产生一样的效果。
二、多线程编程技术。使用多线程技术编程有如下优点: 一是提高CPU的利用率。由于多线程并发运行,可以使用户在做一件事情的时候还可以做另外一件事;二是采用多线程技术,可以设置每个线程的优先级,调整工作的进度。在C++ Builder环境下开发多线程的应用程序,通过TThread 类就可以很方便地编写多线程应用程序,具体流程如下:从TThread 类派生出一个新的线程类-〉创建线程对象-〉设置线程对象的属性项-〉挂起或唤醒线程(根据具体情况操作)-〉结束线程。
三、让程序实现后台监控。100%的木马程序都很注意自身的后台监控本领,也就是隐身技术,面对不同的系统要施展不同的对策才能实现。很多杀毒程序就采用了这种后台监控技术,使程序随着系统的启动而运行,然后在后台悄悄地监视系统的一举一动,一发现有不对路的程序就把它“揪”出来示众。实现程序的后台监控技术有如下几个关键:正常运行时,不显示程序的窗体;系统每次启动都自动运行程序一次;程序图标不显示在任务栏上;不显示在按Ctrl+Alt+Del 调出的任务列表中;通过热键可以调出隐藏的窗体。
龙源期刊网 http://www.qikan.com.cn
四、使用定时触发器。在C++ Builder环境下,定时触发器即Timer控件,有时候我们希望程序隔一段时间重复执行相同的动作,比如对QQ密码截获的时候,就要隔一段间隔寻找一次QQ登录窗口。在C++ Builder 中,只要将执行这些动作的代码放到一个Timer中去就OK了。
(作者单位:重庆城市职业学院信息工程系)
WEB服务器安全防范
