WEB服务器主要面向互联网。所以在企业的众多信息化应用中,它是最容易受到攻击的。如今,企业中的WEB应用越来越多,尤其是它正逐渐成为其他信息应用的入口。如作者的企业,
将OA系统和email系统的入口绑定到WEB服务器。因此,WEB服务器的安全是作者最重要的工作。
为了提高WEB服务器的安全性,有很多方法。在这里,我想给大家推荐三种方法。如果只是想通过这三种方法来保证WEB服务器的安全性,那肯定是不够的。但是,
如果企业信息管理人员忽视了这三个方面,就很难保证WEB服务器的安全。
利器一:建立独立的WEB应用服务器。
因为WEB服务器可能被攻击,概率远高于ERP系统、办公自动化系统等应用服务器。因此,如果将这些应用程序与WEB应用程序放在同一个服务器中,脆弱的WEB服务器将会受到攻击,这很可能会影响ERP等关键应用程序。
虽然在我的企业中OA系统的接口是绑定到WEB服务器上的,但是OA系统和WEB应用还是在不同的应用服务器上。这主要是为了方便员工从企业外部访问OA系统。这样做的好处是当WEB服务受到攻击而无法使用时,
大部分员工无法从企业外部访问OA系统;而不影响企业内部员工的正常出入。
但是,作者以前也犯过类似的错误。当时由于资金短缺,企业将WEB服务器和ERP系统服务器部署在同一个服务器上。突然有一天,企业的WEB服务器遭到了不明人士的攻击。他们可能只是玩玩,
对WEB服务器没有太大的伤害。只是CPU和内存的利用率居高不下。当WEB服务器从外部网络断开时,它将恢复正常。但是,这使得同一服务器上的ERP应用程序无法工作。企业员工一次输入一个销售订单,
从3分钟到现在的30分钟。这么慢的速度显然很难接受。从这件事里,我明白了一个道理,把企业内部应用放在WEB服务器上是非常不明智的。因为WEB服务器面向互联网,
它容易受到他人的恶意攻击。受到攻击后,即使是企业内部的应用服务也会受到牵连。
所以我首先要提醒大家的是,在部署服务器的时候,要让WEB等面向互联网的应用服务和其他面向内部的应用服务部署在不同的服务器上。这不仅保证了WEB服务器的安全性,也提高了其他企业应用服务的安全性。
武器二:事务日志,让你对WEB的运行状态了如指掌。
其实只要WEB服务器采取一定的防护措施,攻击是需要一个过程的,不是说短时间就能完成的。通常这种攻击的过程往往会在WEB服务器的事务日志中留下蛛丝马迹。
比如非法攻击者通过密码字典破解工具尝试站长的密码和口令时,会在WEB服务器的日志中留下记录。如果我们在事务审计中设置不正确用户密码条目的最大数量,当超过此最大数量时,
服务器将在自己的日志中记录这些信息。这时,如果网站管理员能够看到这些信息,就可以及时采取措施,比如修改复杂的密码,提高服务器的安全性。
因此,每个WEB服务器的管理员都必须重视事务日志的重要性。同时,为了让事务日志发挥更大的作用,往往需要启用审计功能。通过将审计事件与系统日志相结合,日志服务器可以记录一些常见的攻击。
从而为企业安全人员提供参考。否则企业安全人员不知道攻击在哪里,根本无法及时反应。
但是,一些专家攻击企业WEB服务后,不会在事务日志上留下任何痕迹。这并不是说事务日志没有用。而是因为他们结合攻击后会修改交易日志中的信息。
例如,攻击者窃取管理员用户和密码,然后访问企业网站中的机密信息。一般情况下,该访问记录会显示在事务日志中。但是,有些专家会在启动前修改交易日志。删除这些访问信息,或者更改访问者。
这样企业安全管理人员就找不到了。为了防止他们更改事务日志文件,最好的方法是更改事务日志文件的路径并及时备份。因为我们不知道路径的确切位置,所以非法攻击者想要攻击并修改日志来隐藏他的踪迹。
不可能的。
我现在做的是改变WEB服务器日志的默认路径。并且每三个小时在不同的地方备份事务日志。同时,结合事件审计功能,当日志服务器捕捉到一些异常信息时,比如有用户一直试图登录WEB服务器的管理站时,
你将把这个异常信息提交给企业经理。通过对日志的管理,可以将WEB服务器的一些安全风险及时告知管理者。
所以,在这里我要给大家推荐的第二个武器就是WEB服务器的日志管理。为了提高日志的安全性,管理员应该修改服务器日志的默认路径,并定期异地备份。同时,通过其他功能,
如安全审计、账户安全策略等工具,结合使用,可以起到事半功倍的作用。
利器三:代码,影响WEB服务器安全的最大杀手。
对于WEB服务器来说,代码是其安全性的最大杀手之一。许多WEB服务器已经被攻破,主要是由于不正确的代码设计。因此,管理WEB服务器的代码是确保WEB服务器安全的首要任务。
为了提高代码的安全性,网站开发者应该养成一些良好的代码编写习惯。
第一,不要直接使用网络上的代码。
有些开发者为了工作方便,会直接复制其他网友提供的代码。不幸的是,天下没有免费的午餐。有些人免费提供这些代码,他们的衣柜里经常藏着骷髅。比如互联网上提供的一些电子商务平台和网站论坛代码,
代码提供者很可能会在他们的代码中保留一个后门。当他觉得有必要的时候,他很容易利用这个后门攻击他。因此,如果企业想在WEB服务器上实现一些关键应用,比如客户在线下订单等。
最好不要使用网络上现有的编码。只能借鉴,不能照搬。顶多自己开发。
第二,不要在WEB服务中添加新的功能。
企业在发展,WEB应用也在逐步完善。企业市场会提出一些新的需求。当开发人员开发一个功能时,最好不要直接在WEB服务器上测试它。有条件的企业,最好专门配置一台测试服务器。
以便于程序开发者测试新功能。特别是,如果这种程序开发外包给外部企业,为了方便起见,不能在现有的WEB服务器上直接测试。俗话说,人知面不知心。对方很可能并不知情。
植入木马都不可能。所以防人不可少。企业在开发和测试新功能时应该小心谨慎。
第三,尽量不要使用不安全的控件。
企业WEB应用不同于娱乐网站。企业门户网站强调快速、稳定、安全;娱乐网站强调美、美、特效。娱乐网站为了吸引人们的眼球,提高点击率,往往会使用更多的特效。为此目的,
他们将在WEB服务上使用更多的控件来达到这种效果。然而,这些控件通常存在安全漏洞,这与WEB服务器的安全性背道而驰。比如FLASH控件等等。针对这种控制的攻击每天都可能在互联网上发生。
也许有一天会落到企业头上。所以企业网站只追求稳定和安全,没必要用太多控件来达到特殊效果。
我推荐给你的第三个武器是做好代码的安全设计,尽量减少不安全控件的使用。企业网站要追求稳定,体现速度等等。控件的过度使用与这两个目标背道而驰。
