一 web服務器主要存在安全問題分析

　　WEB應用服務器的安全從來都不是一個獨立存在的問題，大概而言主要包括以下四點：服務器自身和網絡環境的安全。主要有服務器系統漏洞，系統權限，網絡環境(如ARP等)、網絡端口管理等，這是站點安全的基礎；WEB服務器應用的安全(IIS、Apache等)。主要有應用的配置、權限等，這直接影響訪問網站的效率和結果；網站程序的安全。主要有程序漏洞，程序的權限審核。以及執行的效率。這個是WEB安全中占比例非常高的一部分；WEB服務器周邊應用的安全。一臺WEB服務器通常不是獨立存在的。可能其它的應用服務器會影響到WEB服務器的安全，如數據庫服務、FTP服務等。

二 web服務器安全解決方案

　　1 系統權限：即NTFS權限

　　設置原則如下：向管理員和系統授予所有權和權限；在系統目錄中禁用繼承；在“本地安全策略”中授予權限。

　　2 網絡環境安全：七大措施

　　第一，首先是要有全面而系統的補丁管理。

　　第二，要對企業的雇員進行綜合而深入的安全意識教育和培訓。內部人員他們擁有最大的訪問權。以下三點是公司最應當關注的。教育雇員如何管理私有數據；要求用戶創建真正安全的口令：要教育用戶辨別各種欺詐手段。

　　第三，建立基于主機的入侵防御系統。將基于網絡的入侵檢測系統與基于主機的入侵防護結合起來。才能真正保護保存機密信息的系統。基于主機的入侵防御可以監視特定系統進入和發出的數據通信。查找異常的行為。

　　第四，內部漏洞評估。漏洞評估就是要掃描操作系統、網絡服務器、工作站、打印機等組件，目的是揭示有哪些地方缺少恰當的保護或存在漏洞。筆者建議企業應當將操作系統的評估與應用程序的測試結合起來。例如。在掃描Vista操作系統時。也應當注意Office是否受到了損害。第五，集中化的桌面保護。目前，多數桌面計算機都安裝了某種反病毒保護方案。但企業應當對桌面保護采取集中化的方法，這可使得安裝、管理、維護一致性的病毒保護系統更加便捷。在將的暴露程度最少化的前提下，還能建立快速的響應機制。

　　第六，用數據轉出管理方案。大多數公司都有一些需要保持私密性的敏感信息。數據管理方案可以防止數據通過電子郵件等方式離開企業網絡。這種方案應當能夠防止雇員將一個客戶的財務數據發送到企業網絡外部。它可以控制敏感信息在人員之間的流動。

　　第七，建立蜜罐。蜜罐的作用是研究、監視攻擊者，它可以模擬一個攻擊者試圖突破的系統，但又要限制入侵者訪問整個網絡。多數成功的蜜罐應當安裝在防火墻之后，但也有例外。通過吸引黑客進入系統。蜜罐可以實現三個目的，一是管理員可以監視黑客如何利用系統漏洞。因此可以知道系統什么地方有缺陷，二是在黑客試圖獲取系統的管理員賬戶時就可以阻止之。三是設計人員能夠構建更加安全的系統，從容面對未來的黑客攻擊。

三 SSL安全協議在WEB服務器中的應用

　　SSL安全協議廣泛地用在Internet和Intranet的服務器產品和客戶端產品中，用于安全地傳送數據，集中到每個WEB服務器和瀏覽器中。從而來保證用戶都可以與Web站點安全交流。

　　一是具有真正安全連接的高速安全套接層SSL交易，可以將PCI卡形式的SSL卸載(offlOAding)設備直接安裝到Web服務器上，這種做法的好處是：從客戶機到安全Web服務器的數據安全性；由于卸載工具執行所有SSL處理過程并完成TCP/IP協商，因此大大提高了吞吐量：簡化了密鑰的管理和維護。二是新型專用網絡設備SSL加速器可以使Web站點通過在優化的硬件和軟件中進行所有的SSL處理來滿足性能和安全性的需要。

四 WINDOWS網絡編程安全

　　編寫安全的程序代碼是預防黑客入侵很重要的一步，要做到安全編碼，首先需了解windows內部機制、找到提高編程能力的途徑之后，在這里筆者介紹以下幾個編程技巧：

　　第一，學會修改注冊表。大家都知道當瀏覽了一些網頁惡意代碼。IE標題、默認主頁等被改得面目全非。這就是通過改動注冊表來更改系統設置的例子。windows通過它記錄大量的數據。然后在下一次啟動時再讀取相應的數據來設置系統。通過控制注冊表就可以控制整個系統，所以很多的黑客程序都在注冊表上動手腳，我們完全可以通過編程來操作注冊表。達到與手動更改注冊表編輯器產生一樣的效果。

　　第二，多線程編程技術。使用多線程技術編程有如下優點：一是提高CPU的利用率。由于多線程并發運行。可以使用戶在做一件事情的時候還可以做另外一件事；二是采用多線程技術，可以設置每個線程的優先級。調整工作的進度。在C++Builder環境下開發多線程的應用程序，通過TThread類就可以很方便地編寫多線程應用程序，具體流程如下：從TThread類派生出一個新的線程類 -> 創建線程對象 -> 設置線程對象的屬性項 -> 掛起或喚醒線程(根據具體情況操作) -> 結束線程。

　　第三，讓程序實現后臺監控。100%的木馬程序都很注意自身的后臺監控本領。也就是隱身技術。面對不同的系統要施展不同的對策才能實現。很多殺毒程序就采用了這種后臺監控技術。使程序隨著系統的啟動而運行，然后在后臺悄悄地監視系統的一舉一動。一發現有不對路的程序就把它“揪”出來示眾。實現程序的后臺監控技術有如下幾個關鍵：正常運行時，不顯示程序的窗體；系統每次啟動都自動運行程序一次：程序圖標不顯示在任務欄上；不顯示在按Ctrl+AIt+Del調出的任務列表中；通過熱鍵可以調出隱藏的窗體。

　　第四，使用定時觸發器。在C++Builder環境下。定時觸發器Timer控件，有時候我們希望程序隔一段時間重復執行相同的動作，比如對QQ密碼截獲的時候，就要隔一段間隔尋找一次QQ登錄窗口。在C++Builder中，只要將執行這些動作的代碼放到一個Timer中去就OK了。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：WEB服務器安全防范

本文網址：http://www.guhuozai8.cn/html/consultation/1083953971.html