浅谈网站服务器安全防护管理

赵连方，韩冰

（广州海关信息中心，广东广州，510623）

1 基本网站服务器维护

含有保密信息数据的区域全面转成NTFS格式；同时，定期检查更新杀毒防毒程序。在员工电脑上必须安装防毒软件。需要设定这类软件定时自动下载最新的病毒防护文件。此外，必须安装杀毒防毒软件在电子邮件服务器上，用来检查扫描接收到的电子邮件，如果发现携带病毒感染的附件，系统会发出提示，相应电子邮件应该马上处理。这样可以降低病毒入侵的几率。

此外，是限制员工只能在工作时间登录内部网络，工作时间外没有权限。这也是防止病毒从外部入侵的根本方法。

第三，获取内部网络信息上的各种数据需要密码。员工设置个人密码需要标准规则。例如，数字，特殊字符和大小写字母等，以及限制密码长度。同时，可以使用相关密码测试软件进行抽样测试，以监测密码安全。

2 换位思考，模拟可能的入侵和攻击

我们以网站服务器维护员的思路想问题，不容易找到网站服务器的问题。如果我们能换个角度，从网站服务器入侵者的立场思考他们采取的方法，从哪些方面对网站服务器进行入侵破坏，可能会找出网站服务器的安全隐患。未雨绸缪，提前制定修改方案，从而杜绝被木马或者病毒攻击。

此外，从外部网路访问自身的，进行全面的检查，进而模拟病毒入侵攻击自身的网站服务器，检测服务器的安全性。维护人员可以模拟自己为入侵者，通过对网站服务器进行扫描，及早查出服务器安全隐患或漏洞。通常在网站服务器安装或配置的时候，部分不必要的操作系统服务器会默认安装并启动，黑客攻击者会利用这些漏洞攻击网站。例如提供服务器系统的详细信息的基本网络维护协议，其中包含了网站服务器的操作系统，对应的端口等重要信息。基本网络维护协议在系统安装完毕后默认是开启的，入侵者获取此类信息就可以入侵网站服务器。这些问题不易被维护人员在日常工作中发现。采用多种方法，检查网站服务器的安全性，把隐患降低最低，是防护管理的根本。

3 日常防火墙的管理

防火墙是网站服务器日常防护管理中重要组成环节，必不可少。定期检查防火墙的设置保证其版本更新，可以保护网站及公司电脑设备上的信息不被窃取。

第一，IP地址不能随意泄露。设定一个对外部的的IP地址，网络通讯信息等需要通过这个IP地址。电子邮件服务器和网站服务器必须经过防火墙才可以对外。重要的IP地址一定要隐藏，例如，内部平台上的IP地址。

第二，日常要关闭非必要的端口，但是像用于HTTP流量的端口不能关闭。我们可以在网络服务站是看到各个端口的详细信息，从而做出合理操作。网站服务器通常除了运行网站，同时提供内部多个服务器和网络服务的应用。多种网络服务出现在相同服务器上，会出现服务之间的相互感染。如果网络入侵者进入了某一种服务，其他使用会被轻易攻克。同理，内部平台会遭到入侵者的破坏。因此避免多种服务应用公用一个服务器是可以避免其他服务器被病毒串联感染的。

4 网站服务器的备份工作

定期对网站服务器的备份是预防系统故障和员工操作失误，避免数据丢失的重要环节。重要信息和文档要备份在几个服务器上，防止网站服务器系统或者硬盘崩溃将信息丢失。这样可以在某个服务器出现故障时，马上将系统恢复到正常模式。定期对全系统进行备份是网站服务器的根本工作，可以根据需要，每天，每周及每月等设定备份时间。

此外，可以利用密码保护网站服务器备份工作。编辑备份程序时添加加密设置，将数据进行加密可以有效保障其安全性。

图1 为网站服务器安全防护流程

5 网站防护系统的设置

信息安全防护中的重要环节是网站服务器的防护系统部署。为了网站服务器免遭外部网络攻击、网页被篡改，病毒蠕虫或黑客攻击的破坏，可以通过接入网站服务器防护系统的硬件引擎，以串接方式，连入网站服务器的前端，防火墙和另一端与互联网相连，通过内部网络和硬件引擎的控制端口的连接，维护员全面对引擎进行管理和控制，记录数据。目前大多数网络入侵是通过应用层传播，为了进行阻断，防护系统的应用可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击、网络设备攻击等进行保护。

在网站服务器前端连接，有效的保护网站服务器，但此应用防护范围限于网站服务器。将硬件引擎串接到被保护范围的网络前端这种方法可以消除无关网络数据的干扰，从而提高网站服务器的运行效率。

设置网站服务器防护系统，可以加强内部网络平的保护力度，保证内部信息的安全稳定。

6 脚本安全防护管理

不良的脚本是网络攻击者入侵网站服务器的门户，很多服务器出于这个原因被攻击从而崩溃的。CGI程序或者PHP脚本通常受到攻击者的青睐。

图2 为网站防护系统

参数是访问网站服务器的基础。在日常工作中，通常有两种参数，值得信任的参数，和不值得信任的参数。通常防火墙内部的参数是可以安全使用的且安全的，反之，不安全的参数大多数是来自外部的参数。对于网站服务器，不是绝对的来自防火墙外部的参数都不安全。需要维护人员在建立网站服务器的初始阶段，检测外部参数，看其是否可以使用，不能全部使用。不全面的检查会造成网站服务器的安全隐患。比如，网络入侵者采用TELNET连接到81端口，就能给CGL脚本传输不安全的参数。因此，我们在编辑程序或者建立PHP脚本的时候，设置为陌生参数不能随意进入。在接受参数之前，必须检查参数的正当性，我们可以加入某些判断条件在程序或者脚本编写时。这样网站服务器可以提醒维护人员如果有参数不准确的情况。维护人员可以在第一时间发现这攻击者，进而采取对应的防御措施。

7 设置日志开启

记录网络入侵者行踪的一个方法时开启日志服务。日志服务可以记录网路入侵者攻击的时间和操作信息。网络服务器的维护人员可以在日志上可以查看攻击者在系统上的攻击行为，并通过分析网络服务器的安全隐患。维护人员进而制定查漏补缺的方案。

8 信息保密中的MD5算法

8.1 MD5的用途

日常工作中防止信息及文件被篡改，可以使用MD5算法。

在通过网络传输电子文件情况下，在文件发送前，需要在文档内容里进行MD5运算，从而得到这个电子文件的 “数字指纹”，然后把 “数字指纹” 和电子文件一起发送给对方。当对方收到电子文件后,应用MD5算法对文件的内容进行运算，最后会得到对应的“数字指纹”，这个指纹和你所发送文件的“数字指纹” 相同时，表明文件在传输过程中没有篡改。

当用户登录系统时，登录系统对用户输入的密码执行MD5哈希运算，然后再使用用户ID和密码对应的MD5“数字指纹” 进行用户认证。认证通过，则当前的用户可以正常登录系统。用户密码经过MD5哈希运算后存储的方案至少有两个好处：防内部攻击：因为在数据库中不会以明文的方式保存密码，因此可以避免系统中用户的密码被具有系统管理员权限的人员知道。防外部攻击：网站数据库被黑客入侵，黑客只能获取经过 MD5 运算后的密码，而不是用户的明文密码。

8.2 MD5应用

第一，验证密码。如果想密码不被破译，最好的方法是加盐和乱序，也可以只取一半md5的长度。md5是不可逆算法，只要保证算法不变，就能和数据库中的md5相匹配。第二，文件完整性的检测。当下载一个文件时，服务器返回的信息中包括这个文件的md5，在本地下载完毕时进行md5，将两个md5值进行比较，相同就表示文件没有被改动。第三，文件上传。文件上传时会上传文件的信息此时将文件的md5上传，服务器中存储这个md5值，并存储这个md5值所对应的已上传字节长度，比如未上传对应为0，已上传对应为-1，已上传200字节就对应200，这个上传的时候可以匹配到这个文件在服务器中的状态，方便做断点续传，保证源文件没有更改,即便更改名字，更改账户都能在服务器找到对应的文件，所以这个文件已经在服务器中上传完成时,其他人再上传这个文件就可以达到秒传。

9 结论

在网站服务器的安全防护管理中，我们要不断完善方法措施。当前网络发展迅猛，前方的挑战和威胁无时无刻不在提醒我们，只有不断提高自身的防护能力才能有效遏制攻击。越来越多的黑客攻击给网络服务器带来了严重的毁坏。网站服务器的维护人员，需要未雨绸缪，制定有效的防护管理措施。我们要充分利用防火墙、安全路由器、安全网关、黑客人侵检测、系统脆弱性扫描软件等，把问题消除在萌芽阶段，确保网站安全运营。