古风小说君子以泽,完美的世界 1993 电影,《完美世界》txt全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

亞運(yùn)期間如何確保WEB系統(tǒng)的安全

1、引言

創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站與策劃設(shè)計(jì),惠農(nóng)網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:惠農(nóng)等地區(qū)?；蒉r(nóng)做網(wǎng)站價格咨詢:18980820575

第16屆亞運(yùn)會將于2010年11月12日至27日在中國廣州進(jìn)行，廣州是中國第二個取得亞運(yùn)會主辦權(quán)的城市。北京曾于1990年舉辦第11屆亞運(yùn)會。廣州亞運(yùn)會將設(shè)42項(xiàng)比賽項(xiàng)目，是亞運(yùn)會歷史上比賽項(xiàng)目最多的一屆。如此重大的世界體育盛會必將舉世矚目，而在社會高度信息化的今天，要搞好這場世界盛會信息系統(tǒng)的安全可是不容或缺的一塊，我們公司企業(yè)或政府單位該如何來確保自己的WEB系統(tǒng)安全呢？本文分為安全檢查、安全加固、安全應(yīng)急等3個方面來給大家介紹。

2、WEB系統(tǒng)的安全檢查

要確保WEB系統(tǒng)的安全，必然先要進(jìn)行全面的安全檢查。可以使用AppScan、WVS、JSKY等WEB漏洞掃描工具來對自己的web系統(tǒng)進(jìn)行掃描，當(dāng)然這些工具的價格都比較昂貴。

（圖1）

2.1、Windows系統(tǒng)的安全檢查

如果服務(wù)器是微軟的系統(tǒng)推薦使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微軟專為IT專業(yè)人員設(shè)計(jì)的一個簡單易用的免費(fèi)工具（圖1），可幫助中小型企業(yè)根據(jù)Microsoft安全建議確定其安全狀態(tài)，并根據(jù)結(jié)果提供具體的修正指南。使用MBSA檢測常見的安全性錯誤配置和計(jì)算機(jī)系統(tǒng)遺漏的安全性更新，改善您的安全性管理流程。MBSA最新版本的官方下載地址：http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

2.2、其他操作系統(tǒng)的安全檢查

如果服務(wù)器是其他類型的操作系統(tǒng)，推薦使用Nessus4.2.2，Nessus可以安裝在Windows、MacOSX、Linux、FreeBSD、Solaris等等類型的操作系統(tǒng)上面，而且它的掃描功能非常強(qiáng)大，包括路由器、交換機(jī)、打印機(jī)、WEB系統(tǒng)、各類操作系統(tǒng)等等都可以掃描。官方下載地址：http://www.nessus.org/download/

3WEB系統(tǒng)的安全加固

3.1IIS的安全加固

使用InternetInformationServices(IIS)來架設(shè)網(wǎng)站的公司可以使用微軟推出的免費(fèi)工具URLScan來加強(qiáng)IIS的安全性（圖2）。URLScan是一個可供網(wǎng)站管理員使用的加載項(xiàng)工具。管理員可以控制URLScan的操作并限制服務(wù)器處理的HTTP請求的類型，進(jìn)行了合適的配置就可以防御大部分常見的WEB攻擊了。URLScan最新版本的官方下載地址：http://www.iis.net/download/UrlScan。

（圖2）#p#

3.2、apache的安全加固

使用apache來架設(shè)網(wǎng)站的公司可以使用Modsecurity來加強(qiáng)apache的安全性，它是一個開放原代碼的入侵檢測和防護(hù)引擎,用來保護(hù)Web應(yīng)用程序.他同樣和可以當(dāng)作一個Web應(yīng)用程序防火墻.它嵌入到Web服務(wù)器中,擔(dān)當(dāng)一個強(qiáng)大的保護(hù)傘-保護(hù)來自應(yīng)用程序的攻擊.ModSecurity是一個入侵偵測與防護(hù)引擎，它主要是用于Web應(yīng)用程序，所以也被稱為Web應(yīng)用程序防火墻。它可以作為ApacheWeb服務(wù)器的模塊或是單獨(dú)的應(yīng)用程序來運(yùn)作。ModSecurity的功能是增強(qiáng)Webapplication的安全性和保護(hù)Webapplication以避免遭受來自已知與未知的攻擊。官網(wǎng)：http://www.modsecurity.org/。

4、應(yīng)急處理

對網(wǎng)站的應(yīng)急處理工作中必不可少的就是檢測webshell了，顧名思義，"web"的含義是顯然需要服務(wù)器開放web服務(wù)，"shell"的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。

4.1、Windows上檢查webshell

在Windows平臺的服務(wù)器上檢查webshell可以使用南京銥迅的網(wǎng)站惡意木馬掃描器(WebshellScanner)（圖2），官方下載地址：http://www.yxlink.com/products-tools-webshellscanner.html，或保護(hù)傘網(wǎng)絡(luò)的Safe3WebShellScanner，官方下載地址：http://www.safe3.com.cn/works/884981847/view.aspx，這兩款小工具都是免費(fèi)的。都支持asp、aspx、php、jsp、asa、cer等常見格式的文件掃描，也可以自定義文件的后綴名，他們可以自動地搜索網(wǎng)站里面的網(wǎng)頁木馬然后生成統(tǒng)計(jì)報(bào)表。

（圖3）

4.2、Linux上檢查webshell

如果是Linux系統(tǒng)的話就沒有這么直觀的工具了，下面我推薦幾條命令給大家（表1），就直接使用Linux系統(tǒng)自帶的find命令以eval、shell_exec、passthru等關(guān)鍵詞來搜索webshell，這樣的效果和使用工具的是一樣。

5、結(jié)束語

信息的安全關(guān)乎全局，只要有一點(diǎn)缺陷都可能導(dǎo)致整個系統(tǒng)面臨威脅！除了上面所說到的內(nèi)容之外，還有第三方軟件的安全配置和操作系統(tǒng)的權(quán)限配置也是很重要的。希望這篇文章能帶給大家一些幫助.

作者簡介：何伊圣，男，（1990-），藍(lán)盾信息安全技術(shù)股份有限公司攻防研究員，擅長滲透測試與WEB漏洞挖掘。

【編輯推薦】

信息安全服務(wù)——實(shí)現(xiàn)業(yè)務(wù)高效的必經(jīng)之路
如何成功地為你的信息安全事業(yè)投資？
Wedge Networks助力“游戲橘子”構(gòu)建全方位Web安全保護(hù)方案
天融信助力第三屆信息安全漏洞大會

網(wǎng)頁題目：亞運(yùn)期間如何確保WEB系統(tǒng)的安全
路徑分享：http://fisionsoft.com.cn/article/dppgcgc.html

新聞中心

其他資訊