保障Web服務器安全的六個步驟(zhòu)
維護Web服務器安全是信息安全(quán)中最不討好(hǎo)的(de)差事(shì)之一。你需要在相(xiàng)衝突的(de)角色中找到平(píng)衡,允許對網絡(luò)資源的合法訪問,同時(shí)阻止惡意破(pò)壞。
你甚(shèn)至會考慮雙(shuāng)重認(rèn)證,例如RSA SecurID,來確保認證係統的(de)高信任度,但是這對所(suǒ)有網站用戶來說也許不實(shí)用,或者不劃算。盡管存在這樣相衝突(tū)的目標,仍有(yǒu)六個(gè)有助Web服務器安全的(de)步驟。
對內部和外部應用分別使用單獨的服務器
假設組織(zhī)有兩類獨(dú)立(lì)的網絡應用,麵向外部用戶的服務和麵向內部用戶的服(fú)務,要(yào)謹慎地將這(zhè)些應(yīng)用(yòng)部署在不同(tóng)的服(fú)務(wù)器上(shàng)。這樣做可以減少惡意用戶突破(pò)外部(bù)服務(wù)器(qì)來獲得對敏感的(de)內部信息(xī)地訪問。如果你沒有可用(yòng)的部署(shǔ)工具,你(nǐ)至少(shǎo)應該(gāi)考慮使用技術控製(例如處(chù)理隔離),使內部和(hé)外部應用不會互相牽涉。
使用單獨的(de)開發服務器測試和調試應用軟件(jiàn)
在單獨的Web服務(wù)器上測試應用軟件聽起來像是常識(shí)——的確是。不幸的是(shì),許多組(zǔ)織沒(méi)有遵循這個(gè)基本規則,相反允許開發者在生產服(fú)務器上調試代碼甚至開發新(xīn)軟件。這(zhè)對安全和可靠性來說都很可怕。在(zài)生(shēng)產服務器上測試代碼會使用戶遇到故障(zhàng),當開發者提交未經(jīng)測試(shì)易(yì)受攻擊(jī)的代碼時,引入(rù)安全(quán)漏(lòu)洞。大多數現代版(bǎn)本控製係統(例如微軟(ruǎn)的Visual SourceSafe)有助於編碼/測試/調(diào)試過程自動化。
審查網站活動(dòng),安全存儲日誌
每一個安全專業人員都知道維護服務器活動日誌(zhì)的重要性。由於大多數(shù)Web服務器是公開(kāi)的(de),對所有互(hù)聯網服務進行(háng)審核是很重要的。審(shěn)核(hé)有助你檢(jiǎn)測和打擊攻擊,並且(qiě)使你可以檢修服務(wù)器性(xìng)能故障。在高級安全環境中,確保你的日誌存儲在物理(lǐ)安全的地點——最安全的(但是(shì)最不方便的)技巧是日誌一(yī)產(chǎn)生就打印出來,建立不能被入侵者修改的紙記錄,前(qián)提是入侵者沒有物理訪問權限。你也許想(xiǎng)要使用電子備份,例如登錄進安全主機(jī),用數字簽名進行加密,來阻止日誌被竊取和修改。
培訓開發者進行可(kě)靠的安全編碼
軟件開發者致力於創建滿足(zú)商業需求的應用軟件,卻常常忽略了信息安全也(yě)是(shì)重要的商業需求。作為安全專(zhuān)業人員,你有責任對開發者進行影響到Web服務器的安(ān)全問題的培訓。你應該讓開發者了解網絡中的安全(quán)機製(zhì),確保他們(men)開發(fā)的軟件不會違背這些(xiē)機製(zhì);還要進行概念的培訓,例如內存泄漏攻(gōng)擊和處理隔離——這些(xiē)對編碼和(hé)生成安全(quán)的應用(yòng)軟件大有幫助(zhù)。
給操作係統和Web服務器打補丁
這是另一個常識,但是當管理員因為其他(tā)任務(wù)而不堪重荷時(shí)常常忽略這一點。安全(quán)公(gōng)告,像(xiàng)是CERT或者微軟(ruǎn)發布的公告,提(tí)醒(xǐng)人們軟件廠商多頻繁(fán)地發布某些安全漏(lòu)洞(dòng)的修補程序。一些工具像是微軟(ruǎn)的軟件升(shēng)級服務(SUS)和(hé)RedHat的(de)升級服務(wù)有助(zhù)於使這項(xiàng)任務自動化(huà)。總之,一旦(dàn)漏洞公布,如(rú)果你不修補它,遲(chí)早(zǎo)會被人發現並利用。
使用應(yīng)用軟件掃描
如果(guǒ)負擔地起,你也許(xǔ)會考慮使用應用軟件掃(sǎo)描器來驗證內部編碼。像是Watchfire公(gōng)司(sī)的AppScan這樣的工具有助於確保編碼在生(shēng)產環境裏不會存在漏(lòu)洞。記住,要(yào)有安(ān)全意識。設(shè)計良好的Web服(fú)務器結構(gòu)應該基於健全的安全政策。貫徹執行這六個方法會幫(bāng)助你建立堅固的基礎。
關鍵詞:Web服務器
閱讀本文後您有(yǒu)什麽(me)感(gǎn)想? 已有(yǒu) 人給出評價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0