如何保障Web服务器安全


Posted in 面试题 onMay 05, 2014
维护Web服务器安全是信息安全中最不讨好的差事之一。你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。

你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。

对内部和外部应用分别使用单独的服务器

假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。

使用单独的开发服务器测试和调试应用软件

在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。

审查网站活动,安全存储日志

每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障。在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。

培训开发者进行可靠的安全编码

软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。

给操作系统和Web服务器打补丁

这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。

使用应用软件扫描

如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。

Tags in this post...

面试题 相关文章推荐
不开辟用于交换数据的临时空间,如何完成字符串的逆序
Dec 02 面试题
Android面试题及答案
Sep 04 面试题
北京SQL新华信咨询
Sep 30 面试题
如何在Oracle中查看各个表、表空间占用空间的大小
Oct 31 面试题
面向对象概念面试题(.NET)
Nov 04 面试题
上海雨人软件技术开发有限公司测试题
Jul 14 面试题
进程的查看和调度分别使用什么命令
Dec 14 面试题
Linux开机引导的步骤是什么
Oct 19 面试题
如何利用find命令查找文件
Nov 18 面试题
What is EJB
Jul 22 面试题
DOM和JQuery对象有什么区别
Nov 11 面试题
servlet面试题
Aug 20 面试题
介绍一下如何利用路径遍历进行攻击及如何防范
Jan 19 #面试题
SQL注入攻击的种类有哪些
Dec 30 #面试题
渗透攻击的测试步骤
Jun 07 #面试题
介绍一下木马病毒的种类
Jul 26 #面试题
什么叫做SQL注入,如何防止
Oct 04 #面试题
如何查找网页漏洞
Jun 22 #面试题
动态密码技术
Oct 18 #面试题
You might like
ThinkPHP的常用配置选项汇总
2016/03/24 PHP
Windows Server 2008 R2和2012中PHP连接MySQL过慢的解决方法
2016/07/02 PHP
PHP学习笔记之session
2018/05/06 PHP
Ajax+PHP实现的删除数据功能示例
2019/02/12 PHP
在js(jquery)中获得文本框焦点和失去焦点的方法
2012/12/04 Javascript
jQuery实现类似滑动门切换效果的层切换
2013/09/23 Javascript
如何创建一个JavaScript弹出DIV窗口层的效果
2013/09/25 Javascript
JAVA四种基本排序方法实例总结
2015/07/24 Javascript
给easyui的datebox控件添加清空按钮的实现方法
2016/11/09 Javascript
jQuery动态产生select option下拉列表
2017/03/15 Javascript
浅谈js的解析顺序 作用域 严格模式
2017/10/23 Javascript
Vue中render方法的使用详解
2018/01/26 Javascript
Vue中this.$router.push参数获取方法
2018/02/27 Javascript
详解Angular5路由传值方式及其相关问题
2018/04/28 Javascript
vue component 中引入less文件报错 Module build failed
2019/04/17 Javascript
微信小程序 textarea 层级过高问题简单解决方案
2019/10/14 Javascript
JS如何在数组指定位置插入元素
2020/03/10 Javascript
JS实现炫酷雪花飘落效果
2020/08/19 Javascript
详解javascript脚本何时会被执行
2021/02/05 Javascript
python传递参数方式小结
2015/04/17 Python
python实现报表自动化详解
2017/11/16 Python
如何优雅地改进Django中的模板碎片缓存详解
2018/07/04 Python
python字符串替换re.sub()方法解析
2019/09/18 Python
Python定时从Mysql提取数据存入Redis的实现
2020/05/03 Python
Softmax函数原理及Python实现过程解析
2020/05/22 Python
基于python实现MQTT发布订阅过程原理解析
2020/07/27 Python
CSS3 新增选择器的实例
2019/11/13 HTML / CSS
阿根廷旅游网站:almundo阿根廷
2018/02/12 全球购物
DOUGLAS波兰:在线销售香水和化妆品
2020/07/05 全球购物
新学期班主任寄语
2014/01/18 职场文书
七年级地理教学反思
2014/01/26 职场文书
老公爱的承诺书
2014/03/31 职场文书
常务副县长“三严三实”对照检查材料思想汇报
2014/10/05 职场文书
家长评语怎么写
2014/12/30 职场文书
2015-2016年小学教导工作总结
2015/07/21 职场文书
Qt数据库应用之实现图片转pdf
2022/06/01 Java/Android