如何保障Web服务器安全


Posted in 面试题 onMay 05, 2014
维护Web服务器安全是信息安全中最不讨好的差事之一。你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。

你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。

对内部和外部应用分别使用单独的服务器

假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。

使用单独的开发服务器测试和调试应用软件

在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。

审查网站活动,安全存储日志

每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障。在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。

培训开发者进行可靠的安全编码

软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。

给操作系统和Web服务器打补丁

这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。

使用应用软件扫描

如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。

Tags in this post...

面试题 相关文章推荐
mysql的最长数据库名,表名,字段名可以是多长
Apr 21 面试题
怎样让char类型的东西转换成int类型
Dec 09 面试题
运行时异常与一般异常有何异同?
Jan 05 面试题
几个人围成一圈的问题
Sep 26 面试题
C++面试题:关于链表和指针
Jun 05 面试题
如何在存储过程中使用Loop
Jan 05 面试题
傲盾软件面试题
Aug 17 面试题
Can a struct inherit from another class? (结构体能继承类吗)
Jul 22 面试题
Can a struct inherit from another struct? (结构体能继承结构体吗)
Sep 25 面试题
描述JSP和Servlet的区别、共同点、各自应用的范围
Oct 02 面试题
德尔福集团DELPHI的笔试题
Feb 22 面试题
介绍一下如何利用路径遍历进行攻击及如何防范
Jan 19 #面试题
SQL注入攻击的种类有哪些
Dec 30 #面试题
渗透攻击的测试步骤
Jun 07 #面试题
介绍一下木马病毒的种类
Jul 26 #面试题
什么叫做SQL注入,如何防止
Oct 04 #面试题
如何查找网页漏洞
Jun 22 #面试题
动态密码技术
Oct 18 #面试题
You might like
生成随机字符串和验证码的类的PHP实例
2013/12/24 PHP
jquery+php+ajax显示上传进度的多图片上传并生成缩略图代码
2014/10/15 PHP
php进行支付宝开发中return_url和notify_url的区别分析
2014/12/22 PHP
PHP二维数组去重算法
2016/12/17 PHP
php模仿qq空间或朋友圈发布动态、评论动态、回复评论、删除动态或评论的功能(中)
2017/06/11 PHP
PHP流Streams、包装器wrapper概念与用法实例详解
2017/11/17 PHP
tp5框架无刷新分页实现方法分析
2019/09/26 PHP
jquery validate添加自定义验证规则(验证邮箱 邮政编码)
2013/12/04 Javascript
浅谈Javascript 执行顺序
2013/12/18 Javascript
JavaScript怎么判断图片是否加载完成以便获取其尺寸
2014/05/08 Javascript
javascript感应鼠标图片透明度显示的方法
2015/02/24 Javascript
javascript跨域原因以及解决方案分享
2015/04/08 Javascript
PHP+jQuery实现随意拖动层并即时保存拖动位置
2015/04/30 Javascript
12种JavaScript常用的MVC框架比较分析
2015/11/16 Javascript
js实现的页面矩阵图形变换特效
2016/01/26 Javascript
jQuery自定义组件(导入组件)
2016/11/08 Javascript
JS 验证密码 不能为空,必须含有数字、字母、特殊字符,长度在8-12位
2017/06/21 Javascript
Async Validator 异步验证使用说明
2017/07/03 Javascript
React路由管理之React Router总结
2018/05/10 Javascript
vue 循环加载数据并获取第一条记录的方法
2018/09/26 Javascript
微信小程序scroll-view锚点链接滚动跳转功能
2019/12/12 Javascript
Python的Flask框架中实现简单的登录功能的教程
2015/04/20 Python
Python图算法实例分析
2016/08/13 Python
python实现kNN算法
2017/12/20 Python
Python爬虫图片懒加载技术 selenium和PhantomJS解析
2019/09/18 Python
Python模块汇总(常用第三方库)
2019/10/07 Python
数控专业毕业生求职信范文
2013/09/21 职场文书
关于爱国的标语
2014/06/24 职场文书
2014公安机关纪律作风整顿思想汇报
2014/09/13 职场文书
2015安全保卫工作总结
2015/04/25 职场文书
中学推普周活动总结
2015/05/07 职场文书
红色影片观后感
2015/06/18 职场文书
新学期小学班主任工作计划
2019/06/21 职场文书
2019最新企业员工考勤管理制度(通用版)!
2019/07/02 职场文书
Python机器学习之PCA降维算法详解
2021/05/19 Python
vue-cli3.0修改打包后的文件名和文件地址,打包后本地运行报错解决
2022/04/06 Vue.js