服務(wù)器安全管理與入侵防護(hù)淺析

摘 要:校園網(wǎng)絡(luò)安全、穩(wěn)定、高效運(yùn)行是網(wǎng)絡(luò)信息管理工作的重要目標(biāo)，本文以網(wǎng)絡(luò)信息管理員的角度，簡單介紹了Web服務(wù)器穩(wěn)定運(yùn)轉(zhuǎn)的重要性，對日常管理和維護(hù)中遇到的問題進(jìn)行了總結(jié)和分析，并對經(jīng)常出現(xiàn)的網(wǎng)絡(luò)入侵防護(hù)提出了自己的解決方法和途徑。

關(guān)鍵詞:信息安全 入侵 防御 數(shù)據(jù)恢復(fù)

中圖分類號:G647文獻(xiàn)標(biāo)識碼:A文章編號:1673-9795(2012)04(a)-0222-01

近年來，計算機(jī)普及、Internet迅猛發(fā)展，信息系統(tǒng)已在各行各業(yè)普及使用，人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全尤其是web服務(wù)器的安全問題不容忽視，如何設(shè)置使得web服務(wù)器承載的網(wǎng)站在網(wǎng)絡(luò)中較為安全的運(yùn)行，需要我們不斷地深入研究。本文以Windows server 2000/2003 web服務(wù)器安全設(shè)置為例，就本人對Web服務(wù)器的應(yīng)用經(jīng)驗(yàn)，針對黑客的攻擊入口及該注意的安全設(shè)置，本著最少開啟的服務(wù)設(shè)置最小的權(quán)限盡量獲得相對安全的原則進(jìn)行探討剖析。

1 安全配置，防范于未然

目前主流服務(wù)器多采用windows 2000/2003、linux操作系統(tǒng)，其中l(wèi)inux系統(tǒng)安全穩(wěn)定，多用于核心數(shù)據(jù)管理、email、ftp等相關(guān)服務(wù)，windows具有簡潔易行等優(yōu)勢，所以仍被廣泛應(yīng)用。但系統(tǒng)往往因?yàn)榇嬖诼┒础⒍丝诘龋o入侵者提供機(jī)會，對穩(wěn)定的安全管理構(gòu)成威脅，所以首先要構(gòu)建安全的服務(wù)系統(tǒng)。

1.1 系統(tǒng)配置

做好系統(tǒng)升級、操作系統(tǒng)補(bǔ)丁更新，特別是IIS 6.0補(bǔ)丁、SQL SP3a補(bǔ)丁、IE 6.0補(bǔ)丁等。開啟系統(tǒng)自帶防火墻，停掉Guest 帳號、并給guest加一個復(fù)雜的密碼，隱藏重要文件/目錄，禁用DCOM。

1.2 端口服務(wù)設(shè)置

關(guān)閉不需要的端口。只開啟3389、21、80、1433，辦法:本地連接—屬性—Internet協(xié)議(TCP/IP)—高級—選項(xiàng)—TCP/IP篩選--屬性—勾選，然后添加需要的端口即可，設(shè)置完端口重啟系統(tǒng)。

關(guān)閉不需要的服務(wù)，打開相應(yīng)的審核策略。把不必要的服務(wù)，如Remote Registry等都禁止掉，減少隱患。

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，配置需要審核的項(xiàng)目:賬戶登錄事件、策略更改等。

1.3 磁盤權(quán)限設(shè)置

C盤只授予administrators和system權(quán)限，Windows目錄要加上users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序無法運(yùn)行。關(guān)閉默認(rèn)共享的空連接，防止SYN洪水攻擊。

1.4 安裝殺毒軟件、防火墻，做好補(bǔ)丁操作和病毒庫升級

1.5 SQL2000安全配置

System Administrators角色不超過兩個;如果本機(jī)最好將身份驗(yàn)證配置為Win登陸;不使用Sa賬戶，為其配置一個超級復(fù)雜的密碼;隱藏SQL Server、更改默認(rèn)的1433端口;為數(shù)據(jù)庫建立一個新的角色，禁止該角色對系統(tǒng)表的select等權(quán)限，防止sql注入時利用系統(tǒng)表。

1.6 IIS安全設(shè)置

不使用默認(rèn)的Web站點(diǎn)，如果使用也要將IIS目錄與系統(tǒng)磁盤分開;刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上);刪除系統(tǒng)盤下的虛擬目錄;刪除不必要的IIS擴(kuò)展名映射;更改IIS日志的路徑。

2 入侵防御，安全排查

攻擊者入侵某個系統(tǒng)，總是由某個主要目的所驅(qū)使的。例如炫耀技術(shù)，得到機(jī)密數(shù)據(jù)，破壞企業(yè)正常的業(yè)務(wù)流程等等，攻擊者入侵系統(tǒng)的目的不同，使用的攻擊方法也會不同，所造成的影響范圍和損失也就不會相同。因此，在處理不同的系統(tǒng)入侵事件時，就應(yīng)當(dāng)對癥下藥，不同的系統(tǒng)入侵類型，應(yīng)當(dāng)以不同的處理方法來解決，這樣，才有可能做到有的放矢，達(dá)到最佳的處理效果。

2.1 入侵檢測

服務(wù)器被攻擊時，一般通過幾個方面體現(xiàn):

web頁面—主頁文件丟失或被篡改，頁面上出現(xiàn)亂碼或廣告信息，主頁上關(guān)鏈接錯誤，彈出刪改信息。

流量異常—網(wǎng)絡(luò)帶寬沾滿，流量突增，不斷有發(fā)包、收包操作。

服務(wù)器端查看—會有異常訪問，增加的用戶等入侵痕跡。

根據(jù)日常管理經(jīng)驗(yàn)，入侵途徑主要集中在以下幾種:

系統(tǒng)未能及時升級，補(bǔ)丁操作。

開啟web、ftp等相關(guān)服務(wù)，用戶權(quán)限設(shè)置不明確。

頁面上有用戶登陸設(shè)置，通過數(shù)據(jù)庫接口進(jìn)入。

2.2 解決辦法

確定系統(tǒng)入侵，應(yīng)采取及時有效的措施:

首先，要通過抓圖、保存頁面、建立入侵系統(tǒng)快照等方式取證，以便事后分析和留作證據(jù)。

其次，立即通過備份恢復(fù)被修改的網(wǎng)頁。

之后，在Windows系統(tǒng)下，通過網(wǎng)絡(luò)監(jiān)控軟件或“netstat -an”命令來查看系統(tǒng)目前的網(wǎng)絡(luò)連接情況，如果發(fā)現(xiàn)異常，應(yīng)當(dāng)立即斷開連接。然后通過查看系統(tǒng)進(jìn)程、服務(wù)和分析系統(tǒng)和服務(wù)的日志文件，來檢查攻擊者做了哪些操作，相應(yīng)恢復(fù)。

通過分析系統(tǒng)日志文件，了解攻擊者入侵系統(tǒng)所利用的漏洞，尋找相應(yīng)的補(bǔ)丁修補(bǔ)，如果目前還沒有這些漏洞的相關(guān)補(bǔ)丁，應(yīng)當(dāng)使用其它的手段來暫時防范再次入侵。

最后，使用系統(tǒng)或相應(yīng)的應(yīng)用程序檢測軟件對系統(tǒng)或服務(wù)進(jìn)行一次徹底的弱點(diǎn)檢測，在檢測之前要確保其檢測特征庫是最新的。所有工作完成后，在后續(xù)的一段時間內(nèi)，應(yīng)當(dāng)安排專人對此系統(tǒng)進(jìn)行實(shí)時監(jiān)控，以確信系統(tǒng)已經(jīng)不會再次被此類入侵事件攻擊。

2.3 鞏固恢復(fù)成效

系統(tǒng)恢復(fù)后，要做一些后續(xù)工作來鞏固和保障日后的管理和使用:

修改:系統(tǒng)管理員及其它用戶名稱和登錄密碼;

修改數(shù)據(jù)庫及其它應(yīng)用程序的管理員賬戶和登錄密碼;

修改系統(tǒng)中所有與網(wǎng)絡(luò)操作相關(guān)的帳戶名稱和登錄密碼。

重設(shè):用戶權(quán)限、文件訪問控制規(guī)則、數(shù)據(jù)庫訪問控制規(guī)則。

更新:防火墻規(guī)則、殺毒軟件和IDS/IPS，分別更新病毒庫和攻擊特征庫。

完成所有系統(tǒng)恢復(fù)和修補(bǔ)任務(wù)后，進(jìn)行一次完全備份，并且將新的備份與舊的分開保存。

3 結(jié)語

隨著網(wǎng)絡(luò)飛速發(fā)展及B／S服務(wù)業(yè)務(wù)的廣泛應(yīng)用，服務(wù)器的安全問題不容忽略，本文結(jié)合工作實(shí)際，分析了Web服務(wù)器的入侵方式，給出了服務(wù)器安全防護(hù)的應(yīng)對策略，但是安全防護(hù)與入侵之間的矛盾是永遠(yuǎn)存在的，在日后的管理維護(hù)工作中仍需進(jìn)一步完善。

參考文獻(xiàn)

[1]黃景華.淺談Web服務(wù)器入侵與安全防護(hù)[J].電腦知識與技術(shù)，2011(1):29～30.

[2]林豪彪.學(xué)校Web服務(wù)器安全配置的初探[J].科技信息，2009(21):78～79.

[3]王繼龍.常見Web應(yīng)用安全漏洞及應(yīng)對策略[J].中國教育網(wǎng)絡(luò)，2007(8):75～75.