如何保障Web服务器安全


Posted in 面试题 onMay 05, 2014
维护Web服务器安全是信息安全中最不讨好的差事之一。你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。

你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。

对内部和外部应用分别使用单独的服务器

假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。

使用单独的开发服务器测试和调试应用软件

在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。

审查网站活动,安全存储日志

每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障。在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。

培训开发者进行可靠的安全编码

软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。

给操作系统和Web服务器打补丁

这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。

使用应用软件扫描

如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。

Tags in this post...

面试题 相关文章推荐
Yahoo-PHP面试题2
Dec 06 面试题
error和exception有什么区别
Oct 02 面试题
描述Cookie和Session的作用,区别和各自的应用范围,Session工作原理
Mar 25 面试题
为什么UNION ALL比UNION快
Mar 17 面试题
DataReader和DataSet的异同
Dec 31 面试题
C#的几个面试问题
May 22 面试题
linux面试题参考答案(6)
Aug 29 面试题
客服端调用EJB对象的几个基本步骤
Jan 15 面试题
How to spawning asynchronous work in J2EE
Aug 29 面试题
Vector, ArrayList, HashTable, HashMap哪些是线程安全的,哪些不是
Oct 12 面试题
UNIX操作系统结构由哪几部分组成
Feb 17 面试题
在DELPHI中调用存储过程和使用内嵌SQL哪种方式更好
Nov 22 面试题
介绍一下如何利用路径遍历进行攻击及如何防范
Jan 19 #面试题
SQL注入攻击的种类有哪些
Dec 30 #面试题
渗透攻击的测试步骤
Jun 07 #面试题
介绍一下木马病毒的种类
Jul 26 #面试题
什么叫做SQL注入,如何防止
Oct 04 #面试题
如何查找网页漏洞
Jun 22 #面试题
动态密码技术
Oct 18 #面试题
You might like
php使用Imagick生成图片的方法
2015/07/31 PHP
js实现鼠标拖动图片并兼容IE/FF火狐/谷歌等主流浏览器
2013/06/06 Javascript
JS获取select-option-text_value的方法
2013/12/26 Javascript
javascript计算用户打开网页的停留时间
2014/01/09 Javascript
js的隐含参数(arguments,callee,caller)使用方法
2014/01/28 Javascript
浅析webapp框架AngularUI的demo
2014/12/21 Javascript
分享几种比较简单实用的JavaScript tabel切换
2015/12/31 Javascript
seajs学习之模块的依赖加载及模块API的导出
2016/10/20 Javascript
js导出excel文件的简洁方法(推荐)
2016/11/02 Javascript
bootstrap PrintThis打印插件使用详解
2017/02/20 Javascript
angular2中使用第三方js库的实例
2018/02/26 Javascript
Vue验证码60秒倒计时功能简单实例代码
2018/06/22 Javascript
JS中‘hello’与new String(‘hello’)引出的问题详解
2018/08/14 Javascript
JS实现横向轮播图(中级版)
2020/01/18 Javascript
[14:24]Optic Gaming vs PSG LGD BO3
2018/06/07 DOTA
Python中的各种装饰器详解
2015/04/11 Python
一键搞定python连接mysql驱动有关问题(windows版本)
2016/04/23 Python
一份python入门应该看的学习资料
2018/04/11 Python
python 读取摄像头数据并保存的实例
2018/08/03 Python
Python使用Shelve保存对象方法总结
2019/01/28 Python
python3使用matplotlib绘制条形图
2020/03/25 Python
java中的控制结构(if,循环)详解
2019/06/26 Python
Django使用unittest模块进行单元测试过程解析
2019/08/02 Python
在python中使用pyspark读写Hive数据操作
2020/06/06 Python
python3让print输出不换行的方法
2020/08/24 Python
基于python实现图片转字符画代码实例
2020/09/04 Python
python爬虫scrapy框架之增量式爬虫的示例代码
2021/02/26 Python
HTML5打开手机扫码功能及优缺点
2017/11/27 HTML / CSS
AmazeUI 平滑滚动效果的示例代码
2020/08/20 HTML / CSS
俄罗斯电子产品在线商店:UltraTrade
2020/01/30 全球购物
师德师风自我评价范文
2014/09/11 职场文书
单方离婚协议书范本2014
2014/10/28 职场文书
教师读书笔记
2015/06/29 职场文书
演讲稿:​快乐,从不抱怨开始!
2019/04/02 职场文书
导游词之泉州崇武古城
2019/12/20 职场文书
Win11怎么添加用户?Win11添加用户账户的方法
2022/07/15 数码科技