尹翔宇

摘 要 當(dāng)前互聯(lián)網(wǎng)已經(jīng)普及到社會的方方面面，所以如何保證WEB服務(wù)器的安全是個大問題，各種攻擊手法雖然不同，但攻擊目的都是相同的。所以針對WEB服務(wù)器的威脅也就越來越嚴(yán)重，如何對WEB服務(wù)器的安全保障就成了很重要的一個問題。

關(guān)鍵詞 網(wǎng)絡(luò) 服務(wù)器 安全 防范

中圖分類號：TP39 文獻標(biāo)識碼：A

計算機網(wǎng)絡(luò)技術(shù)不斷發(fā)展，互聯(lián)網(wǎng)規(guī)模不斷增大，計算機網(wǎng)絡(luò)已經(jīng)融入到生活的方方面面。隨著計算機網(wǎng)絡(luò)的高速發(fā)展，基于Web的應(yīng)用也越來越廣泛。這就有可能接入不安全的網(wǎng)絡(luò)， WEB服務(wù)器的安全性成為很重要的問題。

1主要威脅網(wǎng)絡(luò)安全的手段

1.1木馬控制

木馬是一種惡意代碼，主要目的是盜取用戶信息，更甚者可以遠程控制個人計算機。要是按照功能可分為七類木馬：盜號木馬、網(wǎng)銀木馬、竊密木馬、遠程控制木馬、流量劫持木馬、下載者木馬以及其它木馬。

1.2嗅探器

是一種軟件設(shè)備，用來監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運行，既可以進行合法的網(wǎng)絡(luò)管理也可以用來竊取網(wǎng)絡(luò)信息。但非法的嗅探器將會對網(wǎng)絡(luò)安全造成嚴(yán)重的威脅，這是由于它實質(zhì)上不但不能進行正常探測行為而且非常容易在隨處插入，基于此，網(wǎng)絡(luò)上的黑客通常用它來做為攻擊的武器。

1.3拒絕服務(wù)攻擊

計算機黑客經(jīng)常使用的攻擊手段，就是想辦法讓目標(biāo)主機不能提供服務(wù)，像對網(wǎng)絡(luò)進行消耗性的攻擊，暫停某些服務(wù)或者讓主機不斷死機，就是拒絕服務(wù)攻擊的一部分表現(xiàn)?，F(xiàn)在拒絕服務(wù)攻擊的問題也沒有得到合理的解決，歸根到底是由于網(wǎng)絡(luò)協(xié)議自己的安全缺陷所造成的，這樣一來，拒絕服務(wù)攻擊也就成了電腦攻擊者的終極手段。

1.4緩沖區(qū)溢出攻擊

就是一種利用緩沖區(qū)溢出的漏洞來進行的攻擊行動。這種漏洞在操作系統(tǒng)中、各種應(yīng)用軟件中廣泛的存在。利用這種漏洞進行攻擊，可以導(dǎo)致的后果是：運行程序失敗、電腦系統(tǒng)關(guān)機、電腦重新啟動等。

2目前網(wǎng)絡(luò)安全主要的技術(shù)

2.1防火墻

是一道設(shè)置在外部網(wǎng)絡(luò)與需要保護的網(wǎng)絡(luò)間的屏障，通過它來實現(xiàn)對網(wǎng)絡(luò)的保護，防止侵入的發(fā)生，以免造成一些具有破壞性并且不可預(yù)測的后果。

2.2入侵檢測

入侵檢測是指通過對闖入行為、計算機安全日志或者數(shù)據(jù)或其它通過網(wǎng)絡(luò)可以獲得的相關(guān)信息進行的操作，并且能檢測到對計算機系統(tǒng)闖入的一種企圖。

2.3數(shù)據(jù)加密

數(shù)據(jù)加密是指將數(shù)據(jù)通過加密的鑰匙和加密的函數(shù)轉(zhuǎn)換，這樣就變成了沒有意思的密文，但接收方就可以把密文經(jīng)過函數(shù)解密和鑰匙解密還原成為明文。

2.4虛擬專用網(wǎng)

通過公用網(wǎng)絡(luò)來建立臨時、安全的一個連接，虛擬專用網(wǎng)是對企業(yè)內(nèi)網(wǎng)的一定擴展，可以用來幫助企業(yè)外的用戶、公司業(yè)務(wù)伙伴以及公司供應(yīng)商和公司的內(nèi)網(wǎng)之間建立一個安全的連接，用以安全傳輸數(shù)據(jù)。

3目前服務(wù)器安全防范的手段

3.1帳戶更名

系統(tǒng)默認(rèn)的帳戶最有可能被入侵者利用，通過它入侵者可以破解密碼，從而登陸了服務(wù)器，因此，我們必須通過更改帳戶名稱來防范入侵。

3.2設(shè)置密碼

對于本地計算機用戶帳戶，密碼設(shè)置在“本地安全設(shè)置”中來設(shè)置。但要說明的是，“強制密碼歷史”和“用可還原的加密來儲存密碼”這兩項密碼策略最好保持默認(rèn)，不要去修改。

3.3帳戶鎖定

當(dāng)我們的服務(wù)器帳戶密碼不夠“堅固”，非法的用戶可以通過多次重試來“試”出用戶密碼，從而來登錄系統(tǒng)，這就存在有很大的安全風(fēng)險。這時當(dāng)一用戶嘗試登錄系統(tǒng)時，輸入錯誤密碼的次數(shù)達到一定次數(shù)即自動將這個帳戶鎖定，該用戶將無法使用，除非通過管理員來手動解除鎖定。

4 Web服務(wù)器的安全和攻擊防范

目前大多數(shù)服務(wù)器的安全問題都屬于下面幾種類型：

（1）有的服務(wù)器不應(yīng)該向公眾提供的服務(wù)它提供了。

（2）服務(wù)器中本來應(yīng)該自己擁有的數(shù)據(jù)放到了讓用戶可以公開訪問的地方。

（3）服務(wù)器中有些數(shù)據(jù)來自于不能被信賴的數(shù)據(jù)源。

與之相伴的是，為了維護服務(wù)器進行而來運行一些不是很安全或者可用于竊取信息的協(xié)議。

讓我們從外部來向訪問內(nèi)部的網(wǎng)絡(luò)，并模擬攻擊者來攻擊自己的網(wǎng)站。因為有些服務(wù)在機器安裝了之后，默認(rèn)配置就已經(jīng)啟動了，但由于安裝以及初始設(shè)置的需要而啟動了某些服務(wù)，這些服務(wù)或許還沒有正確地關(guān)閉。如有些系統(tǒng)提供的WWW服務(wù)器會在非標(biāo)準(zhǔn)的端口上提供編程示范以及系統(tǒng)手冊，它們往往包含錯誤的程序代碼并成為安全隱患所在。一個正式運行的、可從互聯(lián)網(wǎng)訪問的WWW服務(wù)器不應(yīng)該運行有這些服務(wù)，請務(wù)必把這些服務(wù)關(guān)閉，以保證服務(wù)器安全。

參考文獻

[1] 李昌.Web應(yīng)用安全防護技術(shù)研究與實現(xiàn)[D].中南大學(xué)碩士論文，2010.

[2] 肖遙.網(wǎng)絡(luò)滲透攻擊與安防修煉[M].北京：電子工業(yè)出版社，2009，4.

[3] 李必云，石俊萍.Web攻擊及安全防護技術(shù)研究[J].電腦知識與技術(shù)：學(xué)術(shù)交流，2009，5（11）：8647-8649.

[4] 徐文龍.針對WEB服務(wù)器的入侵檢測研究[J].上海交通大學(xué)碩士論文，2006.

[5] 楊林，楊鵬，李長齊. web應(yīng)用漏洞分析及防御解決方案研究[J].信息安全與保密研究，2011（2）：58-60.

[6] 王宇，陸松年.Web應(yīng)用防火墻的設(shè)計與實現(xiàn)[J].信息安全與保密研究.2011（5）：104-106.