亚运期间如何确保Web系统的安全

发布时间:2010-11-08 13:04 作者:Yesky新闻频道　来源:Yesky新闻频道　点击:加载中...次

摘要：信息的安全关乎全局，只要有一点缺陷都可能导致整个系统面临威胁!除了上面所说到的内容之外，还有第三方软件的安全配置和操作系统的权限配置也是很重要的。希望这篇文章能带给大家一些帮助，更多的资料请关注蓝盾信息安全技术股份有限公司的技术新闻http://www.bluedon.com ，可以通过Email和我直接交流akast@ngsst.com ，也

摘要：信息的安全关乎全局，只要有一点缺陷都可能导致整个系统面临威胁!除了上面所说到的内容之外，还有第三方软件的安全配置和操作系统的权限配置也是很重要的。希望这篇文章能带给大家一些帮助，更多的资料请关注蓝盾信息安全技术股份有限公司的技术新闻http://www.bluedon.com ，可以通过Email和我直接交流akast@ngsst.com ，也欢迎大家加入我们的技术交流QQ群：1717442。信息安全不容忽略任何一点!

　　关键词：广州亚运;信息安全;WEB安全

　　1、引言

　　第16届亚运会将于2010年11月12日至27日在中国广州进行，广州是中国第二个取得亚运会主办权的城市。北京曾于1990年举办第11届亚运会。广州亚运会将设42项比赛项目，是亚运会历史上比赛项目最多的一届。如此重大的世界体育盛会必将举世瞩目，而在社会高度信息化的今天，要搞好这场世界盛会信息系统的安全可是不容或缺的一块，我们公司企业或政府单位该如何来确保自己的WEB系统安全呢？本文分为安全检查、安全加固、安全应急等3个方面来给大家介绍。

　　2、WEB系统的安全检查

　　要确保WEB系统的安全，必然先要进行全面的安全检查。可以使用AppScan、WVS、JSKY等WEB漏洞扫描工具来对自己的web系统进行扫描，当然这些工具的价格都比较昂贵。所以也推荐聘请向蓝盾这样专业的安全公司来进行渗透测试，详细了解请看http://www.bluedon.com。

　　图1

　　2.1、Windows系统的安全检查

　　如果服务器是微软的系统推荐使用MBSA。Microsoft Baseline Security Analyzer (MBSA) 是微软专为 IT 专业人员设计的一个简单易用的免费工具(图1)，可帮助中小型企业根据 Microsoft安全建议确定其安全状态，并根据结果提供具体的修正指南。使用 MBSA 检测常见的安全性错误配置和计算机系统遗漏的安全性更新，改善您的安全性管理流程。MBSA最新版本的官方下载地址：http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

　　2.2、其他操作系统的安全检查

　　如果服务器是其他类型的操作系统，推荐使用Nessus 4.2.2，Nessus可以安装在Windows、Mac OS X、Linux、FreeBSD、Solaris等等类型的操作系统上面，而且它的扫描功能非常强大，包括路由器、交换机、打印机、WEB系统、各类操作系统等等都可以扫描。官方下载地址：http://www.nessus.org/download/

　　3 WEB系统的安全加固

　　3.1 IIS的安全加固

　　使用Internet Information Services (IIS)来架设网站的公司可以使用微软推出的免费工具URLScan来加强IIS的安全性(图2)。URLScan 是一个可供网站管理员使用的加载项工具。管理员可以控制 URLScan 的操作并限制服务器处理的 HTTP 请求的类型，进行了合适的配置就可以防御大部分常见的WEB攻击了。URLScan最新版本的官方下载地址：http://www.iis.net/download/UrlScan。

　　图2

　　3.2、apache的安全加固

　　使用apache来架设网站的公司可以使用Modsecurity来加强apache的安全性，它是一个开放原代码的入侵检测和防护引擎,用来保护Web应用程序.他同样和可以当作一个Web应用程序防火墙.它嵌入到Web服务器中,担当一个强大的保护伞-保护来自应用程序的攻击. ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web 应用程序，所以也被称为Web应用程序防火墙。它可以作为Apache Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web application的安全性和保护Web application以避免遭受来自已知与未知的攻击。官网：http://www.modsecurity.org/ 。

　　4、应急处理

　　对网站的应急处理工作中必不可少的就是检测webshell了，顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

　　4.1、Windows上检查webshell

　　在Windows平台的服务器上检查webshell可以使用南京铱迅的网站恶意木马扫描器(Webshell Scanner) (图2)，官方下载地址：http://www.yxlink.com/products-tools-webshellscanner.html ，或保护伞网络的Safe3 WebShell Scanner，官方下载地址：http://www.safe3.com.cn/works/884981847/view.aspx，这两款小工具都是免费的。都支持asp、aspx、php、jsp、asa、cer等常见格式的文件扫描，也可以自定义文件的后缀名，他们可以自动地搜索网站里面的网页木马然后生成统计报表。