关于网站服务器通用和专用保护分析

　本文针对当今网站被黑事件频繁发生的状况，服务器遭受的风险也比以前更大了。越来越多的病毒，心怀不轨的黑客都将网站服务器作为了自己的目标。很明显，网站服务器的安全问题是不容忽视的。在这里我谈谈维护服务器安全的方法，并作了一些比较分析。

　　1990年12月，WWW由英国计算机学家伯纳斯李发明以来，迅猛发展，现在全球有700万以上的网站，共有4亿以上的网络用户。截止2000年6月底，中国网民达1690万，网站3万个。中国每天访问新浪的就有300-400万，而今年初，短短一个月注册了4.5万中文域名。WWW除是一种重要的发布信息、展示形象的媒体外，还走向了各种各样的应用，从专题论坛到在线游戏，从办公自动化到电子商务， B/S结构也成为发展的趋势。

　　就在WWW迅猛发展的同时，黑客也将目光瞄向了网站。由于一些重要的、大型网站往往对安全比较重视，黑客将其做为一种挑战，总是试图攻破，而且一旦修改了页面，将极大提高黑客的影响力，因此这些网站极易成为攻击目标。不时有消息报道一些重要网站被黑，1999年白宫的网站被香港一个黑客组织攻破，在其主页上留了"stop all wars"等字样。象Apache.org和Microsoft的一些网站也让黑客得手。在今年的五一"中美黑客大站"中，中美各有上千的网站被涂改。 www.attrition.org曾专门跟踪网站的攻破后的页面， 后由于这种事件太多，有时一天会接到上百个网站被涂改的报告，没有足够的人力资源来维护而停止了对黑客攻击事件报导的更新。

　　一：网站的通用保护方法

　　针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对WWW服务器进行保护：

　　·安全配置

　　关闭不必要的服务， 好是只提供WWW服务

　　安装操作系统的 新补丁，将WWW服务升级到 新版本并安装所有补丁，对根据WWW服务提供者的安全建议进行配置等，这些措施将极大提供WWW服务器本身的安全。

　　·防火墙

　　安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给WWW服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。

　　·漏洞扫描

　　使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。

　　·入侵检测系统

　　利用入侵检测系统（IDS）的实时监控能力，发现正在进行的攻击行为及攻击前的试探行为，记录黑客的来源及攻击步骤和方法。

　　这些安全措施都将极大提供WWW服务器的安全，减少被攻击的可能性。

　　二：网站的专用保护方法

　　尽管采用的各种安全措施能防止很多黑客的攻击，然而由于各种操作系统和服务器软件漏洞的不断发现，攻击方法层出不穷，技术高明的黑客还是能突破层层保护，获得系统的控制权限，从而达到破坏主页的目的。这种情况下，一些网络安全公司推出了专门针对网站的保护软件，只保护网站 重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变，就进行恢复。一般情况下，系统首先需要对正常的页面文件进行备份，然后启动检测机制，检查文件是否被修改，如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较：

　　·监测方式

　　本地和远程：检测可以是在本地运行一个监测端，也可以在网络上的另一台主机。如果是本地的话，监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话，WWW服务器需要开放一些服务并给监测端相应的权限，较常见的方式是直接利用服务器的开放的WWW服务，使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录，如FTP等。采用本地方式检测的优点是效率高，而远程方式则具有平台无关性，但会增加网络流量等负担。

　　定时和触发：绝大部分保护软件是使用的定时检测的方式，不论在本地还是远程检测都是根据系统设定的时间定时检测，还可将被保护的网页分为不同等级，等级高的检测时间间隔可以设得较短，以获得较好的实时性，而将保护等级较低的网页文件检测时间间隔设得较长，以减轻系统的负担。触发方式则是利用操作系统提供的一些功能，在文件被创建、修改或删除时得到通知，这种方法的优点是效率高，但无法实现远程检测。

　　·比较方法

　　在判断文件是否被修改时，往往采用被保护目录和备份库中的文件进行比较，比较 常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下，一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较，这种方法虽然简单高效，但也有严重的缺陷：{恶意入侵者}可以通过精心构造，把替换文件的属性设置得和原文件完全相同，{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名， 常见的是MD5签名算法，由于数字签名的不可伪造性，数字签名能确保文件的相同。

　　·恢复方式

　　恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话，恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行，那么需要文件共享或FTP的帐号，并且该帐号拥有对被保护目录或文件的写权限。

　　·备份库的安全

　　当黑客发现其更换的主页很快被恢复时，往往会激发起进一步破坏的欲望，此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现，让黑客无法找到备份目录。另一种方法是对备份库进行数字签名，如果黑客修改了备份库的内容，保护软件可以通过签名发现，就可停止WWW服务或使用一个默认的页面。

　　通过以上分析比较我们发现各种技术都有其优缺点，需要结合实际的网络环境来选择 适合的技术方案。
鼎誉网络科技有限公司|服务器管理|服务器防黑|长沙网站制作|湖南网站制作|小陈做网站|网站制作

|湘诚凯威|服务器管理|服务器防黑|长沙网站制作|湖南网站制作|小陈做网站|网站制作|