WEB服務(wù)器主要是面向互聯(lián)網(wǎng)的。所以，其是企業(yè)眾多信息化應(yīng)用中最容易受到攻擊的。現(xiàn)在企業(yè)的WEB應(yīng)用越來(lái)越多，特別是其也逐漸在成為其他信息化應(yīng)用的進(jìn)口。如筆者企業(yè)，把OA系統(tǒng)、郵箱系統(tǒng)的入口都捆綁在WEB服務(wù)器上。故WEB服務(wù)器安全是筆者眾多工作中的重中之重。

為了提高WEB服務(wù)器的安全性，有眾多的方法。在這里，筆者要向大家推薦的主要是三種方法。如果只想通過(guò)這三種方法來(lái)保障WEB服務(wù)器的安全當(dāng)然是遠(yuǎn)遠(yuǎn)不夠的。但是，若企業(yè)信息化管理人員若疏忽了這三個(gè)方面的內(nèi)容，則WEB服務(wù)器的安全性是很難保障的。

利器一：為WEB應(yīng)用建立獨(dú)立的服務(wù)器。

由于WEB服務(wù)器可能遭受到的攻擊，比ERP系統(tǒng)、辦公自動(dòng)化系統(tǒng)等應(yīng)用服務(wù)器的幾率高的多。所以，若把這些應(yīng)用放在WEB應(yīng)用同一個(gè)服務(wù)器中，則弱WEB服務(wù)器遭受到攻擊，則很有可能殃及到ERP等關(guān)鍵應(yīng)用。

筆者企業(yè)中雖然把OA系統(tǒng)的接口綁定在WEB服務(wù)器上，但是，OA系統(tǒng)與WEB應(yīng)用仍然在不同的應(yīng)用服務(wù)器上。這主要是為了方便員工從企業(yè)外部訪問(wèn)OA系統(tǒng)。如此的好處，就是當(dāng)WEB服務(wù)遭受到攻擊不能使用時(shí)，最多員工無(wú)法從企業(yè)外部訪問(wèn)OA系統(tǒng)；而不影響企業(yè)內(nèi)部員工的正常訪問(wèn)。

不過(guò)，筆者以前就犯過(guò)類(lèi)似的錯(cuò)誤。那時(shí)，企業(yè)由于資金緊張，就把WEB服務(wù)器與ERP系統(tǒng)服務(wù)器部署在同一個(gè)服務(wù)器上。突然有一天企業(yè)的WEB服務(wù)器遭受到了不明身份的人的攻擊。他們可能只是出于好玩吧，沒(méi)有對(duì)WEB服務(wù)器產(chǎn)生多大的危害。只是CPU與內(nèi)存的使用率居高不下。當(dāng)把WEB服務(wù)器跟外網(wǎng)斷開(kāi)好，就恢復(fù)正常了。但是，這就使得同一個(gè)服務(wù)器上的ERP應(yīng)用無(wú)法運(yùn)作。企業(yè)員工每次輸入一張銷(xiāo)售訂單，從原來(lái)的3分鐘變?yōu)楝F(xiàn)在的30分鐘。這么慢的速度顯然很難讓人接受。從這個(gè)事件中，讓筆者懂得了一個(gè)真理，把企業(yè)內(nèi)部應(yīng)用放在WEB服務(wù)器上是一個(gè)非常不明智的做法。由于WEB服務(wù)器其面向的是互聯(lián)網(wǎng)，所以，其很容易遭受到別人的惡意攻擊。殃及池魚(yú)，受到攻擊后，連企業(yè)內(nèi)部的應(yīng)用服務(wù)都會(huì)受到牽連。

所以，筆者第一個(gè)要提醒大家的就是，在部署服務(wù)器的時(shí)候，做好讓W(xué)EB等面向互聯(lián)網(wǎng)的應(yīng)用服務(wù)跟其他面向內(nèi)部的應(yīng)用服務(wù)在不同的服務(wù)器上部署。這在保障WEB服務(wù)器安全的同時(shí)，也提高了企業(yè)其他應(yīng)用服務(wù)的安全性。

利器二：事務(wù)日志，讓你對(duì)WEB運(yùn)行狀況了如指掌。

其實(shí)，WEB服務(wù)器只要采取一定的保護(hù)措施，則攻擊就需要一個(gè)過(guò)程，不是說(shuō)在一個(gè)短時(shí)間內(nèi)就可以完成的。通常情況下，這個(gè)攻擊的過(guò)程往往會(huì)在WEB服務(wù)器的事務(wù)日志中留下蛛絲馬跡。如非法攻擊者視圖通過(guò)密碼字典破解工具，嘗試網(wǎng)站管理員的口令與密碼的時(shí)候，就會(huì)在WEB服務(wù)器的日志中留下紀(jì)錄。如果我們?cè)谑聞?wù)審核中，設(shè)置當(dāng)用戶(hù)密碼最多輸入錯(cuò)誤次數(shù)的話，則當(dāng)超過(guò)這個(gè)最大次數(shù)的時(shí)候，服務(wù)器就會(huì)在自己的日志中紀(jì)錄這條信息。此時(shí)，若網(wǎng)站管理人員可以看到這條信息，則他們就可以及時(shí)的采取措施，如更改復(fù)雜密碼等手段，來(lái)提高服務(wù)器的安全性。

所以，每一個(gè)WEB服務(wù)器的管理人員都必須要重視事務(wù)日志的重要性。同時(shí)，為了讓事務(wù)日志發(fā)揮更大的作用，往往需要啟用審核功能。通過(guò)審核事件跟系統(tǒng)日志結(jié)合起來(lái)，可以讓日志服務(wù)器紀(jì)錄一些常見(jiàn)的攻擊行為。從而給企業(yè)安全人員提供參考。否則的話，企業(yè)安全人員都不知道那里受到攻擊了，那么他們也就根本無(wú)法進(jìn)行及時(shí)的應(yīng)對(duì)。

不過(guò)話說(shuō)話來(lái)，有些高手攻擊企業(yè)WEB服務(wù)后，不會(huì)再事務(wù)日志上留下任何痕跡。這并不是說(shuō)事務(wù)日志不管用了。而是因?yàn)樗麄冊(cè)诮Y(jié)合攻擊后，會(huì)修改事務(wù)日志的信息。如某個(gè)攻擊者竊取了管理員用戶(hù)與密碼后訪問(wèn)企業(yè)網(wǎng)站中的機(jī)密信息。一般情況下，這個(gè)訪問(wèn)紀(jì)錄會(huì)在事務(wù)日志中有所顯示。但是，一些高手會(huì)在推出之前修改事務(wù)日志。刪除這些訪問(wèn)信息，或者更改訪問(wèn)者。讓企業(yè)安全管理人員無(wú)從查起。為了讓他們無(wú)法更改事務(wù)日志文件，則最好的方法就是更改事務(wù)日志文件的路徑，并對(duì)其進(jìn)行及時(shí)的備份。由于不知道路徑的真確位置，所以，及時(shí)不法攻擊者想攻擊想修改日志隱藏自己的蹤跡，都不可能。

筆者現(xiàn)在的做法是，更改WEB服務(wù)器的日志的默認(rèn)路徑。并且每隔三個(gè)小時(shí)對(duì)事務(wù)日志進(jìn)行異地備份。同時(shí)，結(jié)合事件審核功能，當(dāng)日志服務(wù)器捕捉到一些異常信息時(shí)，如某個(gè)用戶(hù)一直在試圖登陸WEB服務(wù)器的管理站時(shí)，就會(huì)像企業(yè)管理人員遞交這個(gè)異常信息。通過(guò)日志的管理，可以把WEB服務(wù)器的一些安全隱患及時(shí)的告知給管理人員。

所以筆者這里要向大家推薦的第二把利器就是WEB服務(wù)器的日志管理 。管理員為了提高日志的安全性，要修改服務(wù)器日志的默認(rèn)路徑，并且定時(shí)對(duì)其進(jìn)行異地備份。同時(shí)，要跟其他的功能，如安全審核、賬戶(hù)安全策略等工具，結(jié)合使用，可以起到事半功倍的作用。

利器三：代碼，影響WEB服務(wù)器安全的最大殺手。

對(duì)于WEB服務(wù)器來(lái)說(shuō)，代碼是其安全的最大殺手之一。很多WEB服務(wù)器被攻破，大部分是由于代碼設(shè)計(jì)不當(dāng)所引起的。故管理好WEB服務(wù)器的代碼，是保障WEB服務(wù)器安全的首要任務(wù)。

為了提高代碼的安全性，網(wǎng)站開(kāi)發(fā)者要養(yǎng)成一些好的代碼編寫(xiě)習(xí)慣。

一是不要直接采用網(wǎng)絡(luò)上的代碼。

有些開(kāi)發(fā)者為了工作上的便利，會(huì)直接拷貝其他網(wǎng)友提供的代碼。但是，不幸的是，天下沒(méi)有白吃的午餐。有些人免費(fèi)提供這些代碼往往帶有不可告人的秘密。如現(xiàn)在網(wǎng)絡(luò)上提供的一些電子商務(wù)平臺(tái)與網(wǎng)站論壇代碼，代碼提供者很有可能會(huì)在代碼中預(yù)留一個(gè)后門(mén)。當(dāng)他覺(jué)得有必要的話，則就可以很輕易的采用這個(gè)后門(mén)對(duì)其進(jìn)行攻擊。所以，若企業(yè)要在WEB服務(wù)器上實(shí)現(xiàn)一些關(guān)鍵應(yīng)用，如客戶(hù)在線下單等等，則最好不要采用網(wǎng)絡(luò)上現(xiàn)成的編碼。只可以借鑒，不可以抄襲。最好的話，自己開(kāi)發(fā)。

二是增加的新功能不要在WEB服。

企業(yè)在發(fā)展，WEB應(yīng)用也逐漸在完善。企業(yè)市場(chǎng)會(huì)提出一些新的需求。當(dāng)開(kāi)發(fā)者在開(kāi)發(fā)某個(gè)功能的時(shí)候，最好不要直接在WEB服務(wù)器上直接進(jìn)行測(cè)試。有條件的企業(yè)，最好專(zhuān)門(mén)配置一個(gè)測(cè)試服務(wù)器，以方便程序開(kāi)發(fā)人員測(cè)試新功能。特別是若把這個(gè)程序開(kāi)發(fā)外包給外面的企業(yè)的話，不能夠?yàn)榱素潏D方便，直接讓對(duì)方在現(xiàn)用的WEB服務(wù)器上進(jìn)行測(cè)試。俗話說(shuō)，知人知面不知心。對(duì)方很可能在你不知情的情況下，植入一個(gè)木馬都說(shuō)不定。所以，防人之心不可無(wú)。企業(yè)在新功能的開(kāi)發(fā)測(cè)試上還是要小心為妙。

三是盡量不要采用不安全的控件。

企業(yè)WEB應(yīng)用跟娛樂(lè)網(wǎng)站不同。企業(yè)門(mén)戶(hù)網(wǎng)站強(qiáng)調(diào)的是快速、穩(wěn)定、安全；而娛樂(lè)網(wǎng)站則強(qiáng)調(diào)的是美觀、靚麗、特效。為了吸引眼球，提高點(diǎn)擊率，娛樂(lè)網(wǎng)站往往會(huì)采用比較多的特效。為此，他們會(huì)在WEB服務(wù)上采用比較多的控件來(lái)達(dá)到這個(gè)效果。但是，這些控件往往都有安全漏洞，跟WEB服務(wù)器的安全背道而馳。如FLASH控件等等。針對(duì)這種控件的攻擊，互聯(lián)網(wǎng)上可能每天都在發(fā)生。還說(shuō)不定哪一天就落到企業(yè)的頭上了。所以，企業(yè)網(wǎng)站只追求穩(wěn)定、安全，沒(méi)有必要過(guò)多的采用控件來(lái)實(shí)現(xiàn)特技效果。

筆者向大家推薦的第三把利器就是要做好代碼的安全設(shè)計(jì)，盡量減少采用不安全的控件。企業(yè)網(wǎng)站應(yīng)該追求穩(wěn)定、反映速度等等。而過(guò)多的采用控件，跟這兩個(gè)目標(biāo)都是背道而馳的。