建立安全的Web站点(4)_Windows教程

2、合理配置Web服务器

　　(1)在Unix OS中，以非特权用户而不是Root身份运行Web服务器。(如Nobody、www、Daemon)
　　(2)设置Web服务器访问控制。通过IP地址控制、子网域名来控制，未被允许的IP地址、IP子网域发来的请求将被拒绝；
　　(3)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候，访问才能被正确响应。
　　(4)用公用密钥加密方法。对文件的访问请求和文件本身都将加密，以便只有预计的用户才能读取文件内容。

　　3、设置Web服务器有关目录的权限

　　为了安全起见，管理员应对“文档根目录”(HTML文件存放的位置)和“服务器根目录”(日志文件和配置文件存放的位置)做严格的访问权限控制；

　　(1)服务器根目录下存放日志文件、配置文件等敏感信息，它们对系统的安全至关重要，不能让用户随意读取或删改；
　　(2)服务器根目录下存放CGI脚本程序，用户对这些程序有执行权限，恶意用户有可能利用其中的漏洞进行越权操作，比如，增、删、改；
　　(3)服务器根目录下的某些文件需要由Root来写或者执行，如Web服务器需要Root来启动，如果其他用户对Web服务器的执行程序有写权限，则该用户可以用其他代码替换掉Web服务器的执行程序，当Root 再次执行这个程序时，用户设定的代码将以Root身份运行。

　　4、谨慎组织Web服务器的内容

　　5、安全管理Web服务器

　　Web服务器的日常管理、维护工作包括Web服务器的内容更新，日志文件的审计，安装一些新的工具、软件，更改服务器配置，对Web进行安全检查等。主要注意以下几点：

　　(1)以安全的方式更新Web服务器(尽量在服务器本地操作)；
　　(2)经常审查有关日志记录；
　　(3)进行必要的数据备份；
　　(4)定期对Web服务器进行安全检查；
　　(5)冷静处理意外事件。

　　五、Web网站的安全管理

　　1、建立安全的Web网站，首先要全盘考虑Web服务器的安全设计和实施。无论是政府网站，还是企业、商业机构或是社会团体，各自都有其特殊的安全要求，所以，根据本单位的实际情况出发，周密制定安全政策是实现系统安全的前提。

　　2、对Web系统进行安全评估，也就是说，权衡考虑各类安全资源的价值和对它们实施保护所需要的费用。这个当中不能只考虑看得见的资源实体，应该综合考虑资源带来的效益，资源发生不安全情况的几率，资源的安全保护被突然破坏时将可能带来的损失。

　　3、制定安全策略的基本原则和管理规定，即指明各类资源的基本安全要求以及为了达到这种安全要求应该实施的事项。安全管理是由个人或组织针对为了达到特定的安全水平而制定的一整套要求有关部门人员必须遵守的规则和违规罚则。对于Web服务提供者来说，安全管理的一个重要的组成是哪个人可以访问哪些Web文挡，获权访问Web文档和使用这些访问的人的有关部门权利和责任，有关人员对设备、系统的管理权限和维护守则，失职处罚等。

　　4、对员工的安全培训，培养员工主动学习安全知识的意识和能力。一个网站的安全政策必须被每一个工作人员所理解，这样才可能让每一个员工自觉遵守、维护它。

　　尽管如此，Web网站的安全是相对的，没有绝对的安全，我们只能把遭受攻击的可能性降到最低。更重要的是，必须做到“有法必依”，把安全政策体现到设备的选购、网络结构的设计、人员的配置、管理及每一个人的日常的工作中。

　　本文所用到的英汉缩略说明：

　　Web 是 World Wide Web 的简称
　　HTTP(Hyper Text Transfer Protocol) 超文本传输协议
　　IIS (Internet Information Server) Internet 信息服务器
　　CGI(Common Gateway Interface) 公共网关接口
　　LAN(Local Area Network) 局域网
　　RPC(Remote Procedure Call) 远程过程调用
　　TCP(Transmission Control Protocol) 传输控制协议
　　IP(Internet Protocol) 网际协议
　　FTP(File Transfer Protocol) 文件传输协议
　　SMTP(Simple Mail Transfer Protocol) 简单邮件传送协议
　　PC(Personal Computer) 个人计算机
　　OS(Operating System) 操作系统