電子商務的興起,使的很多中小企業都擁有了自己的服務器。對內用來建立局域網,提升辦公效率;對外建立網站,更爲廣泛地宣傳企業產品和形象,爭取更多客源。但是作爲網絡的核心產品,服務器技術相對複雜,尤其是在病毒肆虐的網絡時代,安全問題顯得更加突出。現在就提供一些實際工作中總結出的經驗,希望能和大家共享,以確保網站服務器安全。
一、增強整體網絡安全
很多網管往往在維護網絡安全方面存在這樣的誤區,認爲只要將服務器單機打好補丁,安裝好防護牆、操作系統定期升級就可以安枕無憂了。可實際上,很多***和病毒並非直接***服務器,而是通過***其他計算機作爲跳板來***整個網絡的。目前很多網絡都是通過域的方式來管理,一旦***或病毒成功***與服務器有信任關係的一臺計算機,那麼從這臺計算機***服務器將會變得非常簡單。所以要辦證整個網絡的安全要從根本來考慮。
首先是安全管理,要從管理角度出發,利用規章制度等文字性的材料規範,約束各種針對計算機網絡的行爲,例如禁止員工隨便下載非法程序,禁止網絡管理員以外的人員進入中心機房,完善網絡管理員的值班制度等等。可以參考服務器物理安全這篇文章。
其次是安全技術,要從技術角度出發,利用各種軟件和硬件,各種技巧和方法來管理整個計算機網絡,殺毒軟件與防火牆雙管齊下力保網絡的安全。
這兩方面缺一不可,試想如果只有安全技術的支持而在規章制度上沒有進行任何約束,即使剛開始安全做的很到位,但員工隨意下載非法軟件,隨便關閉殺毒軟件的保護的話,整個網絡安全形同虛設。而只有嚴格的規章沒有技術作爲支持的話病毒和***也會通過網絡漏洞輕鬆***。因此安全管理與安全技術兩方面相輔相成,網絡管理員對於這兩方面都要抓,力度都要硬。
二、加強服務器本地文件格式安全級別
目前服務器都採用的是windows2000以上版本,所以在加強安全級別上需要利用windows2000 server提供的用戶權限功能,根據每個用戶的特點單獨地爲其制定訪問服務器的特殊使用權限,從而避免因使用統一的訪問服務器權限而帶來的安全隱患。
爲了確保服務器的安全首先要在本地文件格式上做文章,即將FAT格式轉換爲安全係數更高的NTFS文件格式。畢竟對於***來說存儲在FAT格式的磁盤分區裏的數據要比存儲在NTFS格式的磁盤分區的數據更容易訪問,也更容易破壞,另外目前所有安全軟件及加密軟件也都是針對NTFS格式來說的,對FAT格式的保護非常薄弱。
另外最好使用專門的網絡檢測軟件對整個網絡的運行情況進行7×24小時的不間斷監視,尤其要關注“非法***”和“對服務器的操作”兩方面的報告。
三、定期備份數據
數據的保護是一個非常重要的問題,也許服務器的系統沒有崩潰但裏面存儲的數據發生了丟失,這種情況所造成的損失會更大,特別對於數據庫服務器來說也許存儲的是幾年的珍貴數據。怎麼纔能有效的保護數據?備份是唯一的選擇。
以往對於數據的備份都是採取在服務器上另外一個區建立備份文件夾甚至是建立一個備份區。不過這樣備份方法有一個非常大的弊端,那就是一旦服務器的硬盤出現問題所有分區的數據都將丟失,從而備份沒有了保證。按照“不要把所有雞蛋放到同一個籃子”的理論我們應該使用單獨的專門設備保存這些珍貴數據。
使用B服務器保存A服務器的數據,同時用A服務器保存B服務器的文件,這種交叉備份的方法在一段時間非常流行。另外還有一個有效的方法就是使用磁帶來保存珍貴數據,不過這樣的投資會比較大。
但是數據備份也存在巨大的安全漏洞,因爲備份好的數據也有可能被盜竊,所以在備份時應該對備份介質進行有效的密碼保護,必要時還需要使用加密軟件對這些數據進行加密,這樣即使數據被盜也不會出現數據泄露的問題。
網站安全上在技術層面,管理員可以注意以下幾方面:
定期升級程序。這只是管理員基本的職責,作爲一個網站的管理員,應該經常關注自身網站所用系統的安全性,如果發現有新的程序版本,或者有新的漏洞公佈,要及時更新程序或修補漏洞。
加固網站代碼。沒有任何程序是牢不可破的,所以,管理員要經常關注網站代碼的安全性,避免因網站程序存在的安全隱患造成不可恢復的損失。
禁用或刪除多餘的內容。網站不需要的代碼部分管理員要及時處理,如網站不需要用戶留言,那就要禁用留言本版塊或者刪除留言本程序代碼或者使用其它方式禁止外部用戶訪問,這樣就可以在最大程度上避免安全隱患。
從管理層面上,管理員可以注意以下幾方面:
經常查看訪問日誌。網站的訪問日誌記錄着所有與網站有過通信的記錄,通過查找可疑日誌,就可以及時掌握網站的安全狀況,可以在網站遭受***前及時進行預防,管理員可以使用專門的日誌分析工具,快速、方便地分析網站日誌。
其實SQL注入漏洞並不可怕,懂原理+耐心仔細,就可以徹底防範,關鍵是提高網站程序員的安全意識,充分認識SQL注入漏洞的的危害,可以考慮從下面幾方面防範SQL注入漏洞。
網站程序員在構造動態SQL語句時,一定要使用類安全(type-safe)的參數加碼機制。大多數的數據API,包括ADO和ADO.NET,有這樣的支持,允許你指定所提供的參數的確切類型(譬如,字符串,整數,日期等)。
做好安全審計工作,在每次更新程序時,對所有的編碼做審評,嚴格檢查用戶輸入的數據,儘可能多地過濾掉用戶輸入的非法字符。
不要把敏感性數據在數據庫裏以明文存放,一定要將敏感數據加密後放到數據庫中,這樣即便***者得到了數據,也需要用一段時間來破解。
經常做網站SQL注入漏洞檢測以檢測網站的安全性。
鎖定你的數據庫的安全,只給訪問數據庫的web應用功能所需的最低的權限。如果web應用不需要訪問某些表,那麼確認它沒有訪問這些表的權限。如果web應用只需要只讀的權限從你的account payables表來生成報表,那麼確認你禁止它對此表的 insert/update/delete 的權限。
網站程序員和管理員都應該明確這一點:用戶輸入的數據永遠是不可靠的。