趙連方，韓冰

（廣州海關(guān)信息中心，廣東廣州，510623）

1 基本網(wǎng)站服務(wù)器維護(hù)

含有保密信息數(shù)據(jù)的區(qū)域全面轉(zhuǎn)成NTFS格式；同時(shí)，定期檢查更新殺毒防毒程序。在員工電腦上必須安裝防毒軟件。需要設(shè)定這類(lèi)軟件定時(shí)自動(dòng)下載最新的病毒防護(hù)文件。此外，必須安裝殺毒防毒軟件在電子郵件服務(wù)器上，用來(lái)檢查掃描接收到的電子郵件，如果發(fā)現(xiàn)攜帶病毒感染的附件，系統(tǒng)會(huì)發(fā)出提示，相應(yīng)電子郵件應(yīng)該馬上處理。這樣可以降低病毒入侵的幾率。

此外，是限制員工只能在工作時(shí)間登錄內(nèi)部網(wǎng)絡(luò)，工作時(shí)間外沒(méi)有權(quán)限。這也是防止病毒從外部入侵的根本方法。

第三，獲取內(nèi)部網(wǎng)絡(luò)信息上的各種數(shù)據(jù)需要密碼。員工設(shè)置個(gè)人密碼需要標(biāo)準(zhǔn)規(guī)則。例如，數(shù)字，特殊字符和大小寫(xiě)字母等，以及限制密碼長(zhǎng)度。同時(shí)，可以使用相關(guān)密碼測(cè)試軟件進(jìn)行抽樣測(cè)試，以監(jiān)測(cè)密碼安全。

2 換位思考，模擬可能的入侵和攻擊

我們以網(wǎng)站服務(wù)器維護(hù)員的思路想問(wèn)題，不容易找到網(wǎng)站服務(wù)器的問(wèn)題。如果我們能換個(gè)角度，從網(wǎng)站服務(wù)器入侵者的立場(chǎng)思考他們采取的方法，從哪些方面對(duì)網(wǎng)站服務(wù)器進(jìn)行入侵破壞，可能會(huì)找出網(wǎng)站服務(wù)器的安全隱患。未雨綢繆，提前制定修改方案，從而杜絕被木馬或者病毒攻擊。

此外，從外部網(wǎng)路訪問(wèn)自身的，進(jìn)行全面的檢查，進(jìn)而模擬病毒入侵攻擊自身的網(wǎng)站服務(wù)器，檢測(cè)服務(wù)器的安全性。維護(hù)人員可以模擬自己為入侵者，通過(guò)對(duì)網(wǎng)站服務(wù)器進(jìn)行掃描，及早查出服務(wù)器安全隱患或漏洞。通常在網(wǎng)站服務(wù)器安裝或配置的時(shí)候，部分不必要的操作系統(tǒng)服務(wù)器會(huì)默認(rèn)安裝并啟動(dòng)，黑客攻擊者會(huì)利用這些漏洞攻擊網(wǎng)站。例如提供服務(wù)器系統(tǒng)的詳細(xì)信息的基本網(wǎng)絡(luò)維護(hù)協(xié)議，其中包含了網(wǎng)站服務(wù)器的操作系統(tǒng)，對(duì)應(yīng)的端口等重要信息?；揪W(wǎng)絡(luò)維護(hù)協(xié)議在系統(tǒng)安裝完畢后默認(rèn)是開(kāi)啟的，入侵者獲取此類(lèi)信息就可以入侵網(wǎng)站服務(wù)器。這些問(wèn)題不易被維護(hù)人員在日常工作中發(fā)現(xiàn)。采用多種方法，檢查網(wǎng)站服務(wù)器的安全性，把隱患降低最低，是防護(hù)管理的根本。

3 日常防火墻的管理

防火墻是網(wǎng)站服務(wù)器日常防護(hù)管理中重要組成環(huán)節(jié)，必不可少。定期檢查防火墻的設(shè)置保證其版本更新，可以保護(hù)網(wǎng)站及公司電腦設(shè)備上的信息不被竊取。

第一，IP地址不能隨意泄露。設(shè)定一個(gè)對(duì)外部的的IP地址，網(wǎng)絡(luò)通訊信息等需要通過(guò)這個(gè)IP地址。電子郵件服務(wù)器和網(wǎng)站服務(wù)器必須經(jīng)過(guò)防火墻才可以對(duì)外。重要的IP地址一定要隱藏，例如，內(nèi)部平臺(tái)上的IP地址。

第二，日常要關(guān)閉非必要的端口，但是像用于HTTP流量的端口不能關(guān)閉。我們可以在網(wǎng)絡(luò)服務(wù)站是看到各個(gè)端口的詳細(xì)信息，從而做出合理操作。網(wǎng)站服務(wù)器通常除了運(yùn)行網(wǎng)站，同時(shí)提供內(nèi)部多個(gè)服務(wù)器和網(wǎng)絡(luò)服務(wù)的應(yīng)用。多種網(wǎng)絡(luò)服務(wù)出現(xiàn)在相同服務(wù)器上，會(huì)出現(xiàn)服務(wù)之間的相互感染。如果網(wǎng)絡(luò)入侵者進(jìn)入了某一種服務(wù)，其他使用會(huì)被輕易攻克。同理，內(nèi)部平臺(tái)會(huì)遭到入侵者的破壞。因此避免多種服務(wù)應(yīng)用公用一個(gè)服務(wù)器是可以避免其他服務(wù)器被病毒串聯(lián)感染的。

4 網(wǎng)站服務(wù)器的備份工作

定期對(duì)網(wǎng)站服務(wù)器的備份是預(yù)防系統(tǒng)故障和員工操作失誤，避免數(shù)據(jù)丟失的重要環(huán)節(jié)。重要信息和文檔要備份在幾個(gè)服務(wù)器上，防止網(wǎng)站服務(wù)器系統(tǒng)或者硬盤(pán)崩潰將信息丟失。這樣可以在某個(gè)服務(wù)器出現(xiàn)故障時(shí)，馬上將系統(tǒng)恢復(fù)到正常模式。定期對(duì)全系統(tǒng)進(jìn)行備份是網(wǎng)站服務(wù)器的根本工作，可以根據(jù)需要，每天，每周及每月等設(shè)定備份時(shí)間。

此外，可以利用密碼保護(hù)網(wǎng)站服務(wù)器備份工作。編輯備份程序時(shí)添加加密設(shè)置，將數(shù)據(jù)進(jìn)行加密可以有效保障其安全性。

圖1 為網(wǎng)站服務(wù)器安全防護(hù)流程

5 網(wǎng)站防護(hù)系統(tǒng)的設(shè)置

信息安全防護(hù)中的重要環(huán)節(jié)是網(wǎng)站服務(wù)器的防護(hù)系統(tǒng)部署。為了網(wǎng)站服務(wù)器免遭外部網(wǎng)絡(luò)攻擊、網(wǎng)頁(yè)被篡改，病毒蠕蟲(chóng)或黑客攻擊的破壞，可以通過(guò)接入網(wǎng)站服務(wù)器防護(hù)系統(tǒng)的硬件引擎，以串接方式，連入網(wǎng)站服務(wù)器的前端，防火墻和另一端與互聯(lián)網(wǎng)相連，通過(guò)內(nèi)部網(wǎng)絡(luò)和硬件引擎的控制端口的連接，維護(hù)員全面對(duì)引擎進(jìn)行管理和控制，記錄數(shù)據(jù)。目前大多數(shù)網(wǎng)絡(luò)入侵是通過(guò)應(yīng)用層傳播，為了進(jìn)行阻斷，防護(hù)系統(tǒng)的應(yīng)用可以對(duì)網(wǎng)絡(luò)蠕蟲(chóng)、間諜軟件、溢出攻擊、數(shù)據(jù)庫(kù)攻擊、網(wǎng)絡(luò)設(shè)備攻擊等進(jìn)行保護(hù)。

在網(wǎng)站服務(wù)器前端連接，有效的保護(hù)網(wǎng)站服務(wù)器，但此應(yīng)用防護(hù)范圍限于網(wǎng)站服務(wù)器。將硬件引擎串接到被保護(hù)范圍的網(wǎng)絡(luò)前端這種方法可以消除無(wú)關(guān)網(wǎng)絡(luò)數(shù)據(jù)的干擾，從而提高網(wǎng)站服務(wù)器的運(yùn)行效率。

設(shè)置網(wǎng)站服務(wù)器防護(hù)系統(tǒng)，可以加強(qiáng)內(nèi)部網(wǎng)絡(luò)平的保護(hù)力度，保證內(nèi)部信息的安全穩(wěn)定。

6 腳本安全防護(hù)管理

不良的腳本是網(wǎng)絡(luò)攻擊者入侵網(wǎng)站服務(wù)器的門(mén)戶，很多服務(wù)器出于這個(gè)原因被攻擊從而崩潰的。CGI程序或者PHP腳本通常受到攻擊者的青睞。

圖2 為網(wǎng)站防護(hù)系統(tǒng)

參數(shù)是訪問(wèn)網(wǎng)站服務(wù)器的基礎(chǔ)。在日常工作中，通常有兩種參數(shù)，值得信任的參數(shù)，和不值得信任的參數(shù)。通常防火墻內(nèi)部的參數(shù)是可以安全使用的且安全的，反之，不安全的參數(shù)大多數(shù)是來(lái)自外部的參數(shù)。對(duì)于網(wǎng)站服務(wù)器，不是絕對(duì)的來(lái)自防火墻外部的參數(shù)都不安全。需要維護(hù)人員在建立網(wǎng)站服務(wù)器的初始階段，檢測(cè)外部參數(shù)，看其是否可以使用，不能全部使用。不全面的檢查會(huì)造成網(wǎng)站服務(wù)器的安全隱患。比如，網(wǎng)絡(luò)入侵者采用TELNET連接到81端口，就能給CGL腳本傳輸不安全的參數(shù)。因此，我們?cè)诰庉嫵绦蚧蛘呓HP腳本的時(shí)候，設(shè)置為陌生參數(shù)不能隨意進(jìn)入。在接受參數(shù)之前，必須檢查參數(shù)的正當(dāng)性，我們可以加入某些判斷條件在程序或者腳本編寫(xiě)時(shí)。這樣網(wǎng)站服務(wù)器可以提醒維護(hù)人員如果有參數(shù)不準(zhǔn)確的情況。維護(hù)人員可以在第一時(shí)間發(fā)現(xiàn)這攻擊者，進(jìn)而采取對(duì)應(yīng)的防御措施。

7 設(shè)置日志開(kāi)啟

記錄網(wǎng)絡(luò)入侵者行蹤的一個(gè)方法時(shí)開(kāi)啟日志服務(wù)。日志服務(wù)可以記錄網(wǎng)路入侵者攻擊的時(shí)間和操作信息。網(wǎng)絡(luò)服務(wù)器的維護(hù)人員可以在日志上可以查看攻擊者在系統(tǒng)上的攻擊行為，并通過(guò)分析網(wǎng)絡(luò)服務(wù)器的安全隱患。維護(hù)人員進(jìn)而制定查漏補(bǔ)缺的方案。

8 信息保密中的MD5算法

8.1 MD5的用途

日常工作中防止信息及文件被篡改，可以使用MD5算法。

在通過(guò)網(wǎng)絡(luò)傳輸電子文件情況下，在文件發(fā)送前，需要在文檔內(nèi)容里進(jìn)行MD5運(yùn)算，從而得到這個(gè)電子文件的 “數(shù)字指紋”，然后把 “數(shù)字指紋” 和電子文件一起發(fā)送給對(duì)方。當(dāng)對(duì)方收到電子文件后,應(yīng)用MD5算法對(duì)文件的內(nèi)容進(jìn)行運(yùn)算，最后會(huì)得到對(duì)應(yīng)的“數(shù)字指紋”，這個(gè)指紋和你所發(fā)送文件的“數(shù)字指紋” 相同時(shí)，表明文件在傳輸過(guò)程中沒(méi)有篡改。

當(dāng)用戶登錄系統(tǒng)時(shí)，登錄系統(tǒng)對(duì)用戶輸入的密碼執(zhí)行MD5哈希運(yùn)算，然后再使用用戶ID和密碼對(duì)應(yīng)的MD5“數(shù)字指紋” 進(jìn)行用戶認(rèn)證。認(rèn)證通過(guò)，則當(dāng)前的用戶可以正常登錄系統(tǒng)。用戶密碼經(jīng)過(guò)MD5哈希運(yùn)算后存儲(chǔ)的方案至少有兩個(gè)好處：防內(nèi)部攻擊：因?yàn)樵跀?shù)據(jù)庫(kù)中不會(huì)以明文的方式保存密碼，因此可以避免系統(tǒng)中用戶的密碼被具有系統(tǒng)管理員權(quán)限的人員知道。防外部攻擊：網(wǎng)站數(shù)據(jù)庫(kù)被黑客入侵，黑客只能獲取經(jīng)過(guò) MD5 運(yùn)算后的密碼，而不是用戶的明文密碼。

8.2 MD5應(yīng)用

第一，驗(yàn)證密碼。如果想密碼不被破譯，最好的方法是加鹽和亂序，也可以只取一半md5的長(zhǎng)度。md5是不可逆算法，只要保證算法不變，就能和數(shù)據(jù)庫(kù)中的md5相匹配。第二，文件完整性的檢測(cè)。當(dāng)下載一個(gè)文件時(shí)，服務(wù)器返回的信息中包括這個(gè)文件的md5，在本地下載完畢時(shí)進(jìn)行md5，將兩個(gè)md5值進(jìn)行比較，相同就表示文件沒(méi)有被改動(dòng)。第三，文件上傳。文件上傳時(shí)會(huì)上傳文件的信息此時(shí)將文件的md5上傳，服務(wù)器中存儲(chǔ)這個(gè)md5值，并存儲(chǔ)這個(gè)md5值所對(duì)應(yīng)的已上傳字節(jié)長(zhǎng)度，比如未上傳對(duì)應(yīng)為0，已上傳對(duì)應(yīng)為-1，已上傳200字節(jié)就對(duì)應(yīng)200，這個(gè)上傳的時(shí)候可以匹配到這個(gè)文件在服務(wù)器中的狀態(tài)，方便做斷點(diǎn)續(xù)傳，保證源文件沒(méi)有更改,即便更改名字，更改賬戶都能在服務(wù)器找到對(duì)應(yīng)的文件，所以這個(gè)文件已經(jīng)在服務(wù)器中上傳完成時(shí),其他人再上傳這個(gè)文件就可以達(dá)到秒傳。

9 結(jié)論

在網(wǎng)站服務(wù)器的安全防護(hù)管理中，我們要不斷完善方法措施。當(dāng)前網(wǎng)絡(luò)發(fā)展迅猛，前方的挑戰(zhàn)和威脅無(wú)時(shí)無(wú)刻不在提醒我們，只有不斷提高自身的防護(hù)能力才能有效遏制攻擊。越來(lái)越多的黑客攻擊給網(wǎng)絡(luò)服務(wù)器帶來(lái)了嚴(yán)重的毀壞。網(wǎng)站服務(wù)器的維護(hù)人員，需要未雨綢繆，制定有效的防護(hù)管理措施。我們要充分利用防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等，把問(wèn)題消除在萌芽階段，確保網(wǎng)站安全運(yùn)營(yíng)。