一 web服務(wù)器主要存在安全問題分析
WEB應(yīng)用服務(wù)器的安全從來都不是一個獨立存在的問題,大概而言主要包括以下四點:服務(wù)器自身和網(wǎng)絡(luò)環(huán)境的安全。主要有服務(wù)器系統(tǒng)漏洞,系統(tǒng)權(quán)限,網(wǎng)絡(luò)環(huán)境(如ARP等)、網(wǎng)絡(luò)端口管理等,這是站點安全的基礎(chǔ);WEB服務(wù)器應(yīng)用的安全(IIS、Apache等)。主要有應(yīng)用的配置、權(quán)限等,這直接影響訪問網(wǎng)站的效率和結(jié)果;網(wǎng)站程序的安全。主要有程序漏洞,程序的權(quán)限審核。以及執(zhí)行的效率。這個是WEB安全中占比例非常高的一部分;WEB服務(wù)器周邊應(yīng)用的安全。一臺WEB服務(wù)器通常不是獨立存在的。可能其它的應(yīng)用服務(wù)器會影響到WEB服務(wù)器的安全,如數(shù)據(jù)庫服務(wù)、FTP服務(wù)等。
二 web服務(wù)器安全解決方案
1 系統(tǒng)權(quán)限:即NTFS權(quán)限
設(shè)置原則如下:向管理員和系統(tǒng)授予所有權(quán)和權(quán)限;在系統(tǒng)目錄中禁用繼承;在“本地安全策略”中授予權(quán)限。
2 網(wǎng)絡(luò)環(huán)境安全:七大措施
第一,首先是要有全面而系統(tǒng)的補丁管理。
第二,要對企業(yè)的雇員進行綜合而深入的安全意識教育和培訓。內(nèi)部人員他們擁有最大的訪問權(quán)。以下三點是公司最應(yīng)當關(guān)注的。教育雇員如何管理私有數(shù)據(jù);要求用戶創(chuàng)建真正安全的口令:要教育用戶辨別各種欺詐手段。
第三,建立基于主機的入侵防御系統(tǒng)。將基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)與基于主機的入侵防護結(jié)合起來。才能真正保護保存機密信息的系統(tǒng);谥鳈C的入侵防御可以監(jiān)視特定系統(tǒng)進入和發(fā)出的數(shù)據(jù)通信。查找異常的行為。
第四,內(nèi)部漏洞評估。漏洞評估就是要掃描操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、工作站、打印機等組件,目的是揭示有哪些地方缺少恰當?shù)谋Wo或存在漏洞。筆者建議企業(yè)應(yīng)當將操作系統(tǒng)的評估與應(yīng)用程序的測試結(jié)合起來。例如。在掃描Vista操作系統(tǒng)時。也應(yīng)當注意Office是否受到了損害。第五,集中化的桌面保護。目前,多數(shù)桌面計算機都安裝了某種反病毒保護方案。但企業(yè)應(yīng)當對桌面保護采取集中化的方法,這可使得安裝、管理、維護一致性的病毒保護系統(tǒng)更加便捷。在將的暴露程度最少化的前提下,還能建立快速的響應(yīng)機制。
第六,用數(shù)據(jù)轉(zhuǎn)出管理方案。大多數(shù)公司都有一些需要保持私密性的敏感信息。數(shù)據(jù)管理方案可以防止數(shù)據(jù)通過電子郵件等方式離開企業(yè)網(wǎng)絡(luò)。這種方案應(yīng)當能夠防止雇員將一個客戶的財務(wù)數(shù)據(jù)發(fā)送到企業(yè)網(wǎng)絡(luò)外部。它可以控制敏感信息在人員之間的流動。
第七,建立蜜罐。蜜罐的作用是研究、監(jiān)視攻擊者,它可以模擬一個攻擊者試圖突破的系統(tǒng),但又要限制入侵者訪問整個網(wǎng)絡(luò)。多數(shù)成功的蜜罐應(yīng)當安裝在防火墻之后,但也有例外。通過吸引黑客進入系統(tǒng)。蜜罐可以實現(xiàn)三個目的,一是管理員可以監(jiān)視黑客如何利用系統(tǒng)漏洞。因此可以知道系統(tǒng)什么地方有缺陷,二是在黑客試圖獲取系統(tǒng)的管理員賬戶時就可以阻止之。三是設(shè)計人員能夠構(gòu)建更加安全的系統(tǒng),從容面對未來的黑客攻擊。
三 SSL安全協(xié)議在WEB服務(wù)器中的應(yīng)用
SSL安全協(xié)議廣泛地用在Internet和Intranet的服務(wù)器產(chǎn)品和客戶端產(chǎn)品中,用于安全地傳送數(shù)據(jù),集中到每個WEB服務(wù)器和瀏覽器中。從而來保證用戶都可以與Web站點安全交流。
一是具有真正安全連接的高速安全套接層SSL交易,可以將PCI卡形式的SSL卸載(offlOAding)設(shè)備直接安裝到Web服務(wù)器上,這種做法的好處是:從客戶機到安全Web服務(wù)器的數(shù)據(jù)安全性;由于卸載工具執(zhí)行所有SSL處理過程并完成TCP/IP協(xié)商,因此大大提高了吞吐量:簡化了密鑰的管理和維護。二是新型專用網(wǎng)絡(luò)設(shè)備SSL加速器可以使Web站點通過在優(yōu)化的硬件和軟件中進行所有的SSL處理來滿足性能和安全性的需要。
四 WINDOWS網(wǎng)絡(luò)編程安全
編寫安全的程序代碼是預(yù)防黑客入侵很重要的一步,要做到安全編碼,首先需了解windows內(nèi)部機制、找到提高編程能力的途徑之后,在這里筆者介紹以下幾個編程技巧:
第一,學會修改注冊表。大家都知道當瀏覽了一些網(wǎng)頁惡意代碼。IE標題、默認主頁等被改得面目全非。這就是通過改動注冊表來更改系統(tǒng)設(shè)置的例子。windows通過它記錄大量的數(shù)據(jù)。然后在下一次啟動時再讀取相應(yīng)的數(shù)據(jù)來設(shè)置系統(tǒng)。通過控制注冊表就可以控制整個系統(tǒng),所以很多的黑客程序都在注冊表上動手腳,我們完全可以通過編程來操作注冊表。達到與手動更改注冊表編輯器產(chǎn)生一樣的效果。
第二,多線程編程技術(shù)。使用多線程技術(shù)編程有如下優(yōu)點:一是提高CPU的利用率。由于多線程并發(fā)運行?梢允褂脩粼谧鲆患虑榈臅r候還可以做另外一件事;二是采用多線程技術(shù),可以設(shè)置每個線程的優(yōu)先級。調(diào)整工作的進度。在C++Builder環(huán)境下開發(fā)多線程的應(yīng)用程序,通過TThread類就可以很方便地編寫多線程應(yīng)用程序,具體流程如下:從TThread類派生出一個新的線程類 -> 創(chuàng)建線程對象 -> 設(shè)置線程對象的屬性項 -> 掛起或喚醒線程(根據(jù)具體情況操作) -> 結(jié)束線程。
第三,讓程序?qū)崿F(xiàn)后臺監(jiān)控。100%的木馬程序都很注意自身的后臺監(jiān)控本領(lǐng)。也就是隱身技術(shù)。面對不同的系統(tǒng)要施展不同的對策才能實現(xiàn)。很多殺毒程序就采用了這種后臺監(jiān)控技術(shù)。使程序隨著系統(tǒng)的啟動而運行,然后在后臺悄悄地監(jiān)視系統(tǒng)的一舉一動。一發(fā)現(xiàn)有不對路的程序就把它“揪”出來示眾。實現(xiàn)程序的后臺監(jiān)控技術(shù)有如下幾個關(guān)鍵:正常運行時,不顯示程序的窗體;系統(tǒng)每次啟動都自動運行程序一次:程序圖標不顯示在任務(wù)欄上;不顯示在按Ctrl+AIt+Del調(diào)出的任務(wù)列表中;通過熱鍵可以調(diào)出隱藏的窗體。
第四,使用定時觸發(fā)器。在C++Builder環(huán)境下。定時觸發(fā)器Timer控件,有時候我們希望程序隔一段時間重復執(zhí)行相同的動作,比如對QQ密碼截獲的時候,就要隔一段間隔尋找一次QQ登錄窗口。在C++Builder中,只要將執(zhí)行這些動作的代碼放到一個Timer中去就OK了。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:WEB服務(wù)器安全防范
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953971.html