文/姚星昆

網(wǎng)站被掛馬是一種比較普遍的現(xiàn)象，追究原因，分為技術(shù)和管理兩個(gè)方面。從技術(shù)方面來(lái)說(shuō)，大多數(shù)的網(wǎng)站，尤其是學(xué)校的二級(jí)網(wǎng)站，都是一次性投入，找一個(gè)相關(guān)專業(yè)的學(xué)生，把網(wǎng)上的開源代碼稍加修改，任務(wù)就算完成了。這樣的網(wǎng)站，因?yàn)榇a本身存在漏洞，就會(huì)給黑客制造機(jī)會(huì)。同時(shí)，學(xué)生在選擇程序的時(shí)候，都會(huì)找一些安全性不夠好的ASP。

眾所周知，三分技術(shù)七分管理。管理是非常重要的。對(duì)于眾多的被掛馬的二級(jí)網(wǎng)站來(lái)說(shuō)，網(wǎng)站上線后，很少有管理員主動(dòng)地管理。從我們處理的一些網(wǎng)站來(lái)看，很多網(wǎng)站根本找不到管理員，或者是找了，管理員卻直接關(guān)閉服務(wù)器。等過(guò)一段時(shí)間后在開啟，問(wèn)題依舊存在。

因此，要有效地防止網(wǎng)站被掛馬，主要還是靠管理。當(dāng)然，管理的基礎(chǔ)是技術(shù)，沒(méi)有好的技術(shù)人員做支持，再好的管理也是空談。

在技術(shù)層面上，有兩個(gè)方面，一方面是服務(wù)器本身的安全，另外一方面是網(wǎng)站程序的安全。

對(duì)于網(wǎng)站程序本身，可以進(jìn)行代碼審計(jì)。如果沒(méi)有足夠的人力和物力，就用黑客工具進(jìn)行掃面，檢查漏洞，降低程序本身的風(fēng)險(xiǎn)。

對(duì)于服務(wù)器本身，有兩種情況，部分學(xué)校的二級(jí)網(wǎng)站是托管網(wǎng)絡(luò)中心的，就不需要擔(dān)心服務(wù)器安全的問(wèn)題，只需踏踏實(shí)實(shí)地做好網(wǎng)站自身的管理。

對(duì)于服務(wù)器的安全加固，以Windows2003為例，分為兩大個(gè)部分介紹：一是系統(tǒng)和軟件的安全加固；二是加強(qiáng)系統(tǒng)軟件日常管理。

1 系統(tǒng)安裝

1）確保安裝介質(zhì)的來(lái)源可靠；

2）安裝過(guò)程中斷開網(wǎng)絡(luò)，避免在安裝過(guò)程中遭受網(wǎng)絡(luò)攻擊；

3）磁盤分區(qū)格式使用NTFS；

4）按照默認(rèn)的選項(xiàng)安裝，不安裝無(wú)用的系統(tǒng)組件，如IIS、SMTP等；

5）安裝完成后啟用Windows防火墻；

6）安裝殺毒軟件，更新病毒庫(kù)到最新日期；

7）補(bǔ)丁更新，啟動(dòng)Windows自動(dòng)更新功能，并選擇“自動(dòng)下載更新，但是讓我選擇是否安裝更新”選項(xiàng)；

8）設(shè)置域服務(wù)器的Internet時(shí)間服務(wù)器，進(jìn)行時(shí)鐘同步。

2 加固配置

對(duì)于安全加固配置，是很重要的一個(gè)環(huán)節(jié)。

1） 數(shù)據(jù)執(zhí)行保護(hù)

“系統(tǒng)屬性”→“高級(jí)”→“性能”→“設(shè)置”→“數(shù)據(jù)執(zhí)行保護(hù)”，選擇“只為關(guān)鍵Windows程序和服務(wù)啟用數(shù)據(jù)執(zhí)行保護(hù)”；

2） 關(guān)閉自動(dòng)播放

應(yīng)用于“所有驅(qū)動(dòng)器”

a) 賬戶設(shè)置

i.重命名默認(rèn)的管理員帳號(hào)Administrator

ii.禁用guest帳號(hào)

iii.系統(tǒng)中不得存在共用帳號(hào)

iv.新建的系統(tǒng)帳號(hào)第一次交給使用者時(shí)，必須設(shè)置為“用戶下次登錄時(shí)必須修改密碼”

b) 禁用服務(wù)列表

c) 屏保設(shè)置

d) 組策略設(shè)置

i.賬戶策略包括密碼策略和賬戶鎖定策略

ii.本地策略包括審核策略和用戶權(quán)限分配

3 安全選項(xiàng)

啟用以下設(shè)置：

本系統(tǒng)僅用于授權(quán)用戶。任何未授權(quán)或者超出授權(quán)使用本系統(tǒng)的個(gè)人的活動(dòng)，將會(huì)被本系統(tǒng)監(jiān)控或者記錄。本系統(tǒng)在監(jiān)控或系統(tǒng)維護(hù)過(guò)程中，授權(quán)用戶的活動(dòng)也可能會(huì)受到監(jiān)控。任何使用本系統(tǒng)的人都須要接受監(jiān)控并被告知若監(jiān)控中發(fā)現(xiàn)有任何可能的犯罪行為，系統(tǒng)人員可能向執(zhí)法部門提供證據(jù)。

以上的安全加固操作，能大大提高系統(tǒng)的安全性。

對(duì)于網(wǎng)站的安全，還需加強(qiáng)管理，尤其是日志的查看等日常操作。只有通過(guò)不間斷的管理，才能及時(shí)的發(fā)現(xiàn)存在的問(wèn)題，才能提高服務(wù)器的安全。

安全沒(méi)有絕對(duì)的，所有管理員需要不斷地加固服務(wù)器。