“Windows”環(huán)境中企業(yè)網(wǎng)站運(yùn)行維護(hù)的探討與研究

2013-12-12 10:44:12 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘要：因WINDOWS系統(tǒng)的應(yīng)用普及性而容易遭受黑客與病毒的攻擊，致使沈陽供電公司網(wǎng)站系統(tǒng)曾一度癱瘓。本文給出在重新搭建公司W(wǎng)EB服務(wù)器時(shí)所發(fā)生的案例和解決途徑，為維護(hù)網(wǎng)站的工作人員提供借鑒。同時(shí)本文對(duì)建

4基于“WINDOWS體系”網(wǎng)站的安全措施
（一）從技術(shù)上，為基于“WINDOWS體系”網(wǎng)站構(gòu)建“堡壘主機(jī)”。也就是加強(qiáng)主機(jī)的安全，加大防御的縱深，對(duì)系統(tǒng)中重要的服務(wù)器進(jìn)行加固，使之成為不易攻破的主機(jī)。
具體方案是：
1．物理隔離。對(duì)于核心內(nèi)容采用“半導(dǎo)體”單工通道，只允許讀取而不允許寫入。身份認(rèn)證有“物理結(jié)構(gòu)式”。即分清層次：高層計(jì)算機(jī)距離核心“近”，權(quán)限大。如此，責(zé)權(quán)分明，容易分析問題。服務(wù)器也應(yīng)采用“物理結(jié)構(gòu)式”，有交互信息的，如“聊天室”、短信服務(wù)、e-mail和商務(wù)等，與其他服務(wù)器間也要采用單工通道。
2．防火墻，屬邏輯隔離。針對(duì)“利用TCP/IP缺陷”的病毒特點(diǎn)，如消耗帶寬、消耗CPU與內(nèi)存等，進(jìn)行防御。
3．邏輯身份認(rèn)證，主要防止來自網(wǎng)絡(luò)內(nèi)部的攻擊。主要手段有：網(wǎng)絡(luò)鑒別、授權(quán)和管理（Appraise Authorize Administrate）。
4．安裝WIN 2000時(shí)，要安裝成獨(dú)立的域控制器（Stand Alone），選擇工作組成員，不選擇域。因?yàn)橹饔蚩刂破鳎≒DC）是局域網(wǎng)中多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式，用于網(wǎng)站服務(wù)器包含著安全隱患，使黑客有可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。
5．安裝WIN 2000時(shí)，將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)以及其他應(yīng)用程序所在的分區(qū)分開，并在安裝時(shí)最好不要使用系統(tǒng)默認(rèn)的目錄（如將\WINNT改為其他目錄）。防止黑客通過WEB站點(diǎn)的漏洞得到操作系統(tǒng)對(duì)某些程序的執(zhí)行權(quán)限，從而造成更大的破壞。
6．設(shè)置賬號(hào)時(shí)，將Guest帳號(hào)禁用，同時(shí)重命名為一個(gè)復(fù)雜的名字，增加口令，并將它從 Guest組中刪掉。防止黑客利用guest 的弱點(diǎn)，將帳號(hào)從一般用戶提升到管理員組。
7．安裝WIN 2000后，所有端口默認(rèn)狀態(tài)是對(duì)外開放的。黑客會(huì)利用掃描工具掃描哪些端口可以利用，這對(duì)安全是一個(gè)嚴(yán)重威脅。因此只開放必要的端口，關(guān)閉其余端口。
下表中列出是常用端口和相關(guān)信息，可以根據(jù)WWW服務(wù)器應(yīng)用程序使用情況，關(guān)閉不必要的端口。

端口	協(xié)議	應(yīng)用程序
21	TCP	FTP
25	TCP	SMTP
53	TCP	DNS
80	TCP	HTTP SERVER
1433	TCP	SQL SERVER
5631	TCP	PCANYWHERE
5632	UDP	PCANYWHERE

8．其它建議
1）Win 2000安裝好以后，應(yīng)刪除所有的網(wǎng)絡(luò)共享資源；
2）建立安全的WIN 2000內(nèi)核－即IIS；
3）分析web日志；
4）ASP編程的安全性的考慮。
（二）在加固主機(jī)的同時(shí)，加大防御系統(tǒng)外延。具體方案是：
1.漏洞檢測(cè)。通過漏洞檢測(cè)可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏
洞檢測(cè)和分析。同時(shí)能進(jìn)行系統(tǒng)掃描，通過比較規(guī)定的安全策略和實(shí)際的主機(jī)配置，發(fā)現(xiàn)企業(yè)內(nèi)部操作系統(tǒng)潛在的安全弱點(diǎn)，如：缺少安全補(bǔ)丁、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表功擊的可疑行為。
2.基于主機(jī)的入侵檢測(cè)。用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的網(wǎng)絡(luò)連接、系統(tǒng)日志檢查。
3.基本網(wǎng)絡(luò)的入侵檢測(cè)。用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。通常將入侵檢測(cè)系統(tǒng)安裝在一臺(tái)機(jī)器上，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行分析。
（三）管理上應(yīng)建立健全規(guī)章制度，為網(wǎng)站的安全運(yùn)行提供必要的管理手段。具體內(nèi)容是：
1. Win 2000安裝好以后，必須安裝最新的補(bǔ)丁程序。在安裝Service Pack前應(yīng)先在測(cè)試機(jī)器上安裝一次，以防因?yàn)槔庠驅(qū)е聶C(jī)器死機(jī)，同時(shí)做好數(shù)據(jù)備份。
2. 盡量不安裝與WEB站點(diǎn)服務(wù)無關(guān)的軟件，防止其他應(yīng)用軟件有可能存在安全漏洞。
3．設(shè)置賬號(hào)
1）除Administrator外，有必要再增加一個(gè)屬于管理員組的賬號(hào)。防止管理員一旦忘記一個(gè)賬號(hào)的口令還有一個(gè)備用賬號(hào)；另外，一旦黑客攻破一個(gè)賬號(hào)并更改口令，我們還有機(jī)會(huì)重新在短期內(nèi)取得控制權(quán)。
2）賬號(hào)口令必須定期更改（建議至少兩周該一次）。如果在日志審核中發(fā)現(xiàn)某個(gè)賬號(hào)被連續(xù)嘗試，則必須立刻更改此賬號(hào)（包括用戶名和口令）。
3）在帳號(hào)屬性中設(shè)立鎖定次數(shù)，比如改帳號(hào)失敗登錄次數(shù)超過5次即鎖定該帳號(hào)。這樣可以防止某些大規(guī)模的登錄嘗試，同時(shí)也使管理員對(duì)該帳號(hào)提高警惕。
4．?dāng)?shù)據(jù)保護(hù)。
對(duì)存儲(chǔ)在服務(wù)器上，暴露于Internet的數(shù)據(jù)進(jìn)行保護(hù)也很重要。除了設(shè)置相應(yīng)權(quán)限外，建立一個(gè)正式的備份策略，定期進(jìn)行光盤備份是非常必要的。備份策略應(yīng)該確定以下內(nèi)容：
1) 誰負(fù)責(zé)進(jìn)行數(shù)據(jù)和服務(wù)器配置的備份？
2) 多長(zhǎng)時(shí)間進(jìn)行一次備份？
3)備份存儲(chǔ)介質(zhì)的默認(rèn)放置位置是哪里？
4)誰有權(quán)恢復(fù)系統(tǒng)數(shù)據(jù)？
5)是否在站點(diǎn)外有備份數(shù)據(jù)的副本？
6)誰負(fù)責(zé)維護(hù)站點(diǎn)外的備份數(shù)據(jù)副本？
明確了這些，進(jìn)一步需要確定備份位置及備份方法：
7)大多數(shù)情況下，本地備份比網(wǎng)絡(luò)備份要好，因?yàn)閳?zhí)行備份時(shí)不需要建立網(wǎng)絡(luò)連接。
8)完成系統(tǒng)安裝后，第一件事就是對(duì)服務(wù)器進(jìn)行完整備份。
9)確定備份的頻率和類型。是每天都做備份嗎？每天的備份是完整備份、增量備份還是差異備份？

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊