加強Web服務器安全防護措施的策略探討

金姍

摘 要：外網Web服務器部署于互聯網對外提供服務，遭受惡意攻擊的概率較大，且往往后果嚴重。論文從殺毒軟件的選型、查殺設置、更新維護、服務器操作系統補丁更新、服務器備份以及操作系統安全加固等方面提出建議措施，對Web服務器進行綜合安全防護。

關鍵詞：Web服務器；補丁；備份；安全加固

中圖分類號： TP 文獻標識碼：B

Abstract： External network Web server deployed in the Internet to provide services to the outside world， the probability of malicious attacks is relatively large， and often has serious consequences. This paper gives the proposed measures from the selection of anti-virus software settings， update and maintenance， server operating system update server， backup， and operating system security reinforcement and so on. It will gives comprehensive security protection for Web server.

Key words： web server； patch； backup； security reinforcement

1 引言

外網Web服務器部署于互聯網對外提供服務，遭受惡意攻擊的可能性比較大，輕則導致服務中斷，或者主頁篡改，重則危及業務數據安全，其后果影響巨大，因此如何提升Web服務器的整體防護能力至關重要，本文從殺毒軟件的選型、查殺設置、更新維護、服務器操作系統補丁更新、服務器備份以及操作系統安全加固等方面提出建議措施。

2 殺毒軟件的選型、查殺設置和更新維護

2.1 殺毒軟件的選型

看性能：主要從掃描速度、反病毒功能（漏報漏殺和誤報誤殺）、自我保護強度以及資源占用等要素進行考量。

看評價：主要通過收集、整理網上點評，參考兄弟單位選用情況和使用效果，在此基礎上進行綜合分析。

看服務：主要從廠商是否能夠及時提供最新的病毒庫，是否可以進行現場技術支持，是否具備快速的服務響應時間等方面進行考慮。

結合防毒墻綜合考慮，需選購與防毒墻的病毒庫不同品牌的殺毒軟件，與現有防毒墻協同工作，形成兩道病毒防護線，提高病毒查殺率。

2.2 病毒查殺方式設置

殺毒軟件是直接安裝在Web服務器上的，如果出現誤殺情況，那么極有可能導致Web服務器無法正常對外提供服務，因此如果已經在網關處部署了硬件防毒墻，建議Web服務器上安裝的殺毒軟件，其查殺方式設置得更為“柔和”，比如采取告警提示或隔離可疑文件等措施。

2.3 殺毒軟件更新維護

殺毒軟件更新維護包括兩方面：軟件引擎更新和病毒庫升級。出于安全考慮，中心機房往往通過配置防火墻訪問控制策略，阻斷了所有服務器主動發起的外網訪問請求，但是為了保證殺毒軟件引擎和病毒庫處于最新狀態，我們需在防火墻上配置過慮策略，僅允許服務器訪問指定域名或地址，實現安全可控的在線自動實時更新。

3 服務器操作系統補丁更新機制

系統漏洞往往被惡意行為者利用，以竊取服務器中的重要數據，甚至破壞系統，為了規避系統漏洞引發的安全隱患，需及時更新補丁，但是由于服務器補丁的隨意更新可能會對服務器的正常運行產生影響，因此在更新操作系統補丁時應考慮四點。

3.1 服務器選取原則

優先選擇在正式應用環境具備公網地址的服務器。

3.2 補丁選取原則

優先選取服務器在防火墻上所開放端口對應服務的補丁。

3.3 補丁更新原則

每臺計劃安裝補丁的服務器需準備相同環境的備用服務器（備機可采用虛擬機），用作安裝最新補丁測試，為了更好地觀察補丁更新后是否對服務器產生了負面影響，建議采取每次僅更新一個補丁的辦法，將更新好補丁的備用服務器接入正式環境，暫替換正式環境服務器，并對系統運行情況進行為期兩周的觀察（觀察時間可根據官方補丁發布頻率做適當調整）。在此期間，若備用服務器無法正常運行應及時切換至正式環境服務器；若備用服務器可以正常運行則為正式環境服務器打上相同補丁，接入正式環境替換備用服務器，再運行兩周，確保運行無誤后，在備用服務器上更新第二個補丁，以此類推。

歸檔記錄：當補丁在服務器上成功安裝且系統在正式環境下穩定運行后，則將該補丁歸檔，同時更新服務器補丁安裝記錄表。

4 備份機制

服務器崩潰、黑客攻擊、人為誤操作等原因都會造成系統無法正常對外提供服務，這時以最短時間重構系統至為關鍵，而一個完善的系統備份體系是重構系統的基礎和保障，該項工作需考慮幾個方面。

為保證備份數據正確無誤，需制定完整的數據備份操作規程，在每次實施完成后如實填寫備份操作表。

服務器備份需根據實際情況進行選擇，備份的方式分為兩種，即文件備份和系統全盤Ghost備份。所有Web服務器都需要分別以這兩種形式進行備份，并分別用專用移動存儲設備進行備份；如果服務器程序需更新，先將更新的文件備份至專用移動存儲設備和光盤，再更新服務器程序，保證數據備份的準確性。

適時進行備份數據恢復測試和模擬故障恢復演練，如果出現程序文件丟失、破壞或服務器操作系統的故障，確保可以安全、快速地恢復故障。

5 操作系統安全加固

操作系統安全是計算機網絡安全的基礎，目前盡管中心機房往往配備防火墻、防毒墻、IPS等安全防護設備，但是它們基本上都工作在網絡層以上，一旦服務器遭受到網絡底層攻擊，所有的應用層防護都將形同虛設，因此操作系統安全加固顯得尤為重要，建議從系統用戶口令策略加固、日志及審核策略配置、安全選項策略配置、用戶權限策略配置及注冊表安全設置等方面對操作系統進行安全加固。

6 結束語

盡管說“信息安全，防護為主”，但是構建一個相對完善的信息安全保障體系是一項系統工程，今后還需從Web服務器的監控與告警、出現故障后的應急處置方案等方面進行綜合考慮。

參考文獻

[1] 寧蒙.網絡信息安全與防范技術[M].南京： 東南大學出版社，2005.

[2] 杜厚祥.計算機公共機房軟件系統備份與還原[J].實驗科學與技術，2007（5）：70-71.

[3] 張英鵬.如何選擇殺毒軟件[J].職大學報，2009（2）：104-105.

[4] 郭文，周路捷，張潔.物理隔離環境下操作系統補丁更新方案[J].計算機安全，2013（8）：65-70.endprint