如何保障Web服务器安全


Posted in 面试题 onMay 05, 2014
维护Web服务器安全是信息安全中最不讨好的差事之一。你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。

你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。

对内部和外部应用分别使用单独的服务器

假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。

使用单独的开发服务器测试和调试应用软件

在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。

审查网站活动,安全存储日志

每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障。在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。

培训开发者进行可靠的安全编码

软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。

给操作系统和Web服务器打补丁

这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。

使用应用软件扫描

如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。

Tags in this post...

面试题 相关文章推荐
如何写出高性能的JSP和Servlet
Jan 22 面试题
C和C++经典笔试题附答案解析
Aug 18 面试题
编写类String 的构造函数、析构函数和赋值函数
Sep 09 面试题
某公司.Net方向面试题
Apr 24 面试题
.net软件工程师应聘上机试题
Mar 10 面试题
上海雨人软件技术开发有限公司测试题
Jul 14 面试题
介绍一下linux的文件系统
Mar 20 面试题
一套软件开发工程师笔试题
May 18 面试题
解决方案设计综合面试题
Aug 31 面试题
用Python匹配HTML tag的时候,<.*>和<.*?>有什么区别
Nov 04 面试题
举例说明类变量和实例变量的区别
Jun 30 面试题
为什么说Ruby是一种真正的面向对象程序设计语言
Oct 30 面试题
介绍一下如何利用路径遍历进行攻击及如何防范
Jan 19 #面试题
SQL注入攻击的种类有哪些
Dec 30 #面试题
渗透攻击的测试步骤
Jun 07 #面试题
介绍一下木马病毒的种类
Jul 26 #面试题
什么叫做SQL注入,如何防止
Oct 04 #面试题
如何查找网页漏洞
Jun 22 #面试题
动态密码技术
Oct 18 #面试题
You might like
php正则过滤html标签、空格、换行符的代码(附说明)
2010/10/25 PHP
php通过asort()给关联数组按照值排序的方法
2015/03/18 PHP
帝国cms常用标签汇总
2015/07/06 PHP
linux下php上传文件注意事项
2016/06/11 PHP
PHP数据对象PDO操作技巧小结
2016/09/27 PHP
javascript+mapbar实现地图定位
2010/04/09 Javascript
jQuery EasyUI 中文API Button使用实例
2010/04/14 Javascript
js 获取Listbox选择的值的代码
2010/04/15 Javascript
JavaScript 原型继承之构造函数继承
2011/08/26 Javascript
用Javascript实现Windows任务管理器的代码
2012/03/27 Javascript
js将字符串转成正则表达式的实现方法
2013/11/13 Javascript
javascript时间函数大全
2014/06/30 Javascript
jQuery常用数据处理方法小结
2015/02/20 Javascript
jQuery遍历页面所有CheckBox查看是否被选中的方法
2015/04/14 Javascript
javascript实现倒计时(精确到秒)
2015/06/26 Javascript
JavaScript实现定时隐藏与显示图片的方法
2015/08/06 Javascript
jQuery实现带有洗牌效果的动画分页实例
2015/08/31 Javascript
js判断价格,必须为数字且不能为负数的实现方法
2016/10/07 Javascript
Node.js学习之查询字符串解析querystring详解
2017/09/28 Javascript
vue前端和Django后端如何查询一定时间段内的数据
2021/02/28 Vue.js
[00:43]2016完美“圣”典风云人物:单车宣传片
2016/12/02 DOTA
python读写ini配置文件方法实例分析
2015/06/30 Python
举例讲解Django中数据模型访问外键值的方法
2015/07/21 Python
Python实现周期性抓取网页内容的方法
2015/11/04 Python
win10环境下python3.5安装步骤图文教程
2017/02/03 Python
Python Web编程之WSGI协议简介
2018/07/18 Python
WIn10+Anaconda环境下安装PyTorch(避坑指南)
2019/01/30 Python
Ubuntu20.04环境安装tensorflow2的方法步骤
2021/01/29 Python
html+css实现自定义图片上传按钮功能
2019/09/04 HTML / CSS
HTML5制作表格样式
2016/11/15 HTML / CSS
药学专业个人的自我评价
2013/12/31 职场文书
四年大学自我鉴定
2014/02/17 职场文书
工地质量标语
2014/06/12 职场文书
乡领导班子四风问题对照检查材料
2014/09/25 职场文书
大学运动会加油稿
2015/07/22 职场文书
标准版个人借条怎么写?以及什么是借条?
2019/08/28 职场文书