高校Web服务器安全体系浅谈

钟志丹

摘 要 随着信息化发展，高校越来越重视学校网站建设，同时高校Web服务器承受越来越多的安全问题，所以要从整个服务器安全体系去综合考虑，确保服务器的安全。

关键词 高校 Web服务器 安全体系

中图分类号：TP393 文献标识码：A

一、引言

近年来，随着信息化的高速发展，高校越来越重视学校网站的作用。高校Web服务器中除了学校的主网站外还有几十个系部和教辅单位的网站，这些网站质量良莠不齐，漏洞百出，甚至还有病毒和木马，给学校Web服务器带来了严重的安全隐患。

二、高校Web服务器特点

由于高校Web服务器上有几十个网站，每个网站的质量和网站管理员的水平参差不齐，网站的访问量也不大，所以最好采用一些主流的、相对容易的建站策略。高校Web服务器和一般的应用服务器相比有着以下明显的特点：

1、操作系统主要采用微软公司的Windows Server系列。

2、应用服务器主要采用微软公司的Internet信息服务器（IIS）。

3、数据库一般使用微软公司的Access和SQL SERVER。

4、网页语言主要采用asp和.net。

三、高校Web服务器安全体系

高校Web服务器安全是个系统工程，要从服务器硬件、操作系统、安全软件、Internet信息服务器（IIS）、数据库、网页代码、管理员这七个方面去综合考虑。

（一）服务器硬件。

服务器硬盘采用RAID1磁盘阵列，不采用大型商业服务器通常采用的RAID5磁盘阵列。RAID1是1:1的復制，具有较高的安全性和较低的维护成本；RAID5虽然也具有很高的安全性，但它的目的更多地是为了扩大硬盘阵列的容量和数据读的速度，并且具有较高的采购成本和维护成本。根据高校Web服务器的数据容量、访问量和性价比，优先考虑RAID1磁盘阵列。

（二）操作系统。

删除默认的管理员用户Administrator，生成新的管理员用户，使用复杂用户名和密码。也可以设置一个名字为Administrator的Guest用户，并使用复杂的密码，来欺骗攻击者 。

根据最小化系统原则，只安装必要的软件和启用必要的服务，关闭系统所有端口，只保留80端口。开启服务器日志，并改变存放日志的位置，防止被篡改或删除。

网页源代码放在非系统盘，文件夹的安全设置默认情况下Internet来宾账号只有读取和运行、列出文件夹目录、读取权限，Internet来宾账号只对数据库文件夹和上传文件夹开放修改和可写权限。

（三）安全软件。

安装杀毒软件等安全软件，并及时对杀毒软件升级。使用文件防篡改软件来防止网页被篡改和服务器被上传网页木马。可以使用McAfee软件中的自定义规则，禁止网页进程创建、修改和删除asp，aspx，gif等文件，禁止网页进程创建、修改、删除和执行exe，cmd，bat等文件。开启McAfee日志，同时对McAfee软件要进行锁定，防止被修改配置。

（四）Internet信息服务器（IIS）。

防止因为个别网站的问题而导致Web服务器上的所有网站都受到影响，有必要在IIS中设置应用池，当一个应用池中的网站出问题，其他应用池中的网站不受影响。一般情况下把首字母相同的网站放到同一个应用池，并用首字母命名该应用池。当一个应用池里网站个数过多时，可以分放在若干个应用池中；当某个网站非常重要的时候也可以给一个网站单独创建一个应用池。同时应用池太多也影响系统性能，最好不要超过20个 。

在IIS中对任何Internet来宾账号具有修改和可写权限的文件夹的执行权限设置为“无”，即使这些文件夹被上传了网页木马也无法运行，同时开启IIS日志 。

（五）数据库。

很多人为了防止Access数据库被下载，会把.mdb数据库文件改为.asp文件。但是这样做有两个主要的缺点：一个是.asp文件是脚本文件，木马病毒可以在中间加些恶意代码，这就把这个数据库文件完全破坏了，基本上无法恢复；二是.asp文件已经被McAfee设置为不可修改，数据库文件却需要可写权限。所以不要修改.mdb数据库文件的后缀名，但是要在数据库文件命名中加入“#”号，防止被恶意下载。

SQL Server数据库要删除sa超级用户，新建其他管理用户，设置复杂用户名和复杂的密码。

（六）网页代码。

网页代码对于服务器管理员来说是最大的挑战，因为几十个网站，由不同的人建设，不可避免存在许多的漏洞和错误，甚至本身就是含有网页木马和病毒。所以在把网页代码放到服务器前，要仔细检查。首先用杀毒软件扫描，然后利用文本查询软件对木马所具有的关键词进行搜索，清楚可疑网页。

对每个网页的输入字符串都要进行过滤，防止SQL注入。

对网页上传模块进行修改，删除不必要的模块网页，并限制网页只能在校内等有限IP范围内才能上传文件，杜绝校外上传木马攻击。

（七）管理员。

管理员是Web服务器安全体系中最重要的因素，而管理员主要分为服务器管理员和网站管理员。

服务器管理员定期查看服务器、IIS、McAfee日志，看是否有可疑攻击行为。并定期对网页所在逻辑盘进行搜索，按照时间顺序排序，根据时间、名称、大小、属性来判断是否有可疑文件。定期备份Web服务器，数据库1个月备份一次，网页源代码一个学期备份一次。

网站管理员必须由学校专职教师承担，不得让其他人参与网站管理，密码要设置复杂密码，并根据工作来分配相应权限。

四、结论

维护高校Web服务器的安全运行是一个巨大的挑战，同时也是一个系统工程，它不同于一般的应用服务器，有着自身的特点，并根据这些特点要从服务器硬件、操作系统、安全软件、IIS、数据库、网页代码、管理员等七个方面去整体布置，确保服务器安全。□

（作者单位： 湖南人文科技学院）

注释：

鲁絮飞.web服务器安全防卫系统构建, 现代商贸工业,2011,(23):311

段卫平.浅谈Web高校服务器的安全设置,科技资讯，2007,（38）:114-116

佘静涛.林雅宏.浅谈高校图书馆Web服务器的安全配置, 浙江高校图书情报工作，2011,105（1）:6-11