孫愷

【摘 要】隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與全面覆蓋，網(wǎng)站安全問(wèn)題已經(jīng)成為各大校園信息中心負(fù)責(zé)人需要解決的重中之重。校園網(wǎng)站已經(jīng)從一個(gè)簡(jiǎn)單地發(fā)布信息、展示校園內(nèi)容的平臺(tái)，逐步轉(zhuǎn)變成為了匯集學(xué)院教學(xué)管理、招生就業(yè)、培訓(xùn)鑒定、信息發(fā)布的多功能的綜合載體。如何解決校園網(wǎng)站的安全隱患，保證網(wǎng)站正常運(yùn)行，是仁者見(jiàn)仁智者見(jiàn)智的問(wèn)題。文章主要針對(duì)當(dāng)前網(wǎng)站的特點(diǎn)以及目前出現(xiàn)的一些問(wèn)題，進(jìn)行相關(guān)分析，引出更加高效的適合于校園網(wǎng)站的安全策略。

【關(guān)鍵詞】網(wǎng)站安全；維護(hù)；校園網(wǎng)站

中圖分類(lèi)號(hào)： TP393.092 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）12-0141-002

DOI：10.19694/j.cnki.issn2095-2457.2018.12.062

0 引言

近幾年來(lái)，中職學(xué)院網(wǎng)站建設(shè)從以前簡(jiǎn)單的發(fā)布信息逐步變成了學(xué)院理念宣傳的重要平臺(tái)，網(wǎng)站能夠提升學(xué)院的知名度，并取得了較好的社會(huì)效益。在互聯(lián)網(wǎng)時(shí)代，一個(gè)學(xué)生如果想要了解一個(gè)學(xué)院的基本情況，基本上都是通過(guò)該學(xué)院的網(wǎng)站來(lái)作為第一選擇的，那么，學(xué)院網(wǎng)站的建設(shè)和管理就顯得額外的重要，可以說(shuō)網(wǎng)站關(guān)系著中職學(xué)院的名譽(yù)和顏面。就目前來(lái)看，中職院校的網(wǎng)站管理還存在著許多情況，特別是管理上的漏洞。許多黑客通過(guò)病毒入侵對(duì)學(xué)院網(wǎng)站進(jìn)行攻擊，將學(xué)院網(wǎng)站進(jìn)行黑鏈鏈接至非法網(wǎng)頁(yè)或者國(guó)外服務(wù)器，對(duì)學(xué)院造成非常大的不好影響，在當(dāng)今時(shí)代，對(duì)網(wǎng)站的安全進(jìn)行嚴(yán)密安全的維護(hù)和管理是勢(shì)在必行的，也可以說(shuō)是非常重要的。

1 網(wǎng)站存在的漏洞以及安全維護(hù)措施

從上述可以看到，做好網(wǎng)站安全的必要性，但是想要將網(wǎng)站的安全系數(shù)提升，網(wǎng)站管理員將自身工作做好，就需要具備很強(qiáng)的業(yè)務(wù)理論和實(shí)際操作能力，有目的性的去實(shí)施一系列的安全措施，具體來(lái)說(shuō)將校園網(wǎng)站管理好和提升安全性需要做好以下幾個(gè)方面：

1.1 網(wǎng)站沒(méi)有WEB防火墻防護(hù)，經(jīng)常被非法攻擊，篡改網(wǎng)頁(yè)，存在嚴(yán)重的網(wǎng)絡(luò)安全漏洞

一般情況下，學(xué)院的Web服務(wù)器一般都是存放在本學(xué)院的中心機(jī)房網(wǎng)站服務(wù)器上，極個(gè)別學(xué)院會(huì)放在相關(guān)網(wǎng)絡(luò)安全服務(wù)器上進(jìn)行運(yùn)行，這樣會(huì)給一些黑客可乘之機(jī)，會(huì)將學(xué)院網(wǎng)站變成肉雞，進(jìn)行黑鏈，連接到一些不法網(wǎng)站上面去。所以通常情況下，我們都會(huì)安裝Web應(yīng)用防火墻。Web應(yīng)用防火墻能提前發(fā)現(xiàn)預(yù)警、實(shí)時(shí)防護(hù)及事后追溯分析，完成了從事前Web掃描、事中Web防護(hù)、事后Web防篡改“三位一體”的防護(hù)體系。從網(wǎng)絡(luò)層、應(yīng)用層4層Web 安全掃描與檢查，網(wǎng)頁(yè)防篡改、Web安全掃描互動(dòng)，網(wǎng)絡(luò)層、應(yīng)用層D.DoS，構(gòu)建立體式防護(hù)網(wǎng)絡(luò)。從而真正對(duì)web 防護(hù)提供一套全方面安全體系。網(wǎng)頁(yè)防篡改軟件，是安全在服務(wù)器上一套安全的防篡改插件。基于文件夾驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，事件觸發(fā)機(jī)制，確保系統(tǒng)資源不被浪費(fèi)。與WAF 聯(lián)動(dòng)：網(wǎng)頁(yè)防篡改（端點(diǎn)技術(shù)）與WAF 聯(lián)動(dòng)，阻斷Web 威脅。采用文件級(jí)驅(qū)動(dòng)保護(hù)技術(shù)后，用戶每次訪問(wèn)每個(gè)受保護(hù)網(wǎng)頁(yè)時(shí)，Web 服務(wù)器在發(fā)送之前都進(jìn)行完整性檢查，保證網(wǎng)頁(yè)的真實(shí)性，可以徹底杜絕篡改后的網(wǎng)頁(yè)被訪問(wèn)的可能性，要支持Windows Server 2008/Win7/Win 8/ Win10， Linux/BSD系統(tǒng)的網(wǎng)頁(yè)防篡改。

1.2 經(jīng)常性的與制作網(wǎng)站的技術(shù)人員進(jìn)行溝通

關(guān)于校園網(wǎng)絡(luò)的建設(shè)，有的是掏錢(qián)請(qǐng)外面公司制作的；有的是自己學(xué)校的相關(guān)計(jì)算機(jī)專(zhuān)業(yè)的老師團(tuán)隊(duì)制作的。網(wǎng)站管理維護(hù)人員最好參與校園網(wǎng)站的建設(shè)，這樣才能在根本上明白網(wǎng)站的設(shè)計(jì)，方便進(jìn)行網(wǎng)站維護(hù)與管理。如果只是在網(wǎng)站上線后接手，對(duì)網(wǎng)站中的情況一無(wú)所知，這樣根本無(wú)從進(jìn)行管理。由于制作網(wǎng)站的設(shè)計(jì)者在根本上都會(huì)將主要精力放在如何滿足學(xué)院的網(wǎng)站界面的色彩搭配、美觀程度以及對(duì)于基本業(yè)務(wù)基本功能的實(shí)現(xiàn)和需求，從根本上忽略了網(wǎng)站開(kāi)發(fā)過(guò)程中所存在的安全隱患和完全漏洞。所以作為網(wǎng)站管理人員要經(jīng)常性的與制作網(wǎng)站的技術(shù)人員進(jìn)行溝通是很有必要的。

1.3 網(wǎng)站數(shù)據(jù)庫(kù)SA賬戶盡量不用，數(shù)據(jù)庫(kù)的權(quán)限

一般情況下，學(xué)院服務(wù)器會(huì)有很多個(gè)，許多數(shù)據(jù)庫(kù)的用戶名默認(rèn)都是SA，比如圖書(shū)管理系統(tǒng)、評(píng)教系統(tǒng)、教務(wù)管理系統(tǒng)等等，如果用戶名都為SA的話，對(duì)于數(shù)據(jù)庫(kù)來(lái)說(shuō)會(huì)出現(xiàn)密碼錯(cuò)誤問(wèn)題，經(jīng)常性的出現(xiàn)問(wèn)題。所以為了避免出現(xiàn)這樣的問(wèn)題，我們應(yīng)該將網(wǎng)站數(shù)據(jù)庫(kù)的SA賬戶盡可能不使用，防止出現(xiàn)漏洞被黑客進(jìn)行攻擊。

1.4 網(wǎng)站改編，安全性要求要高

網(wǎng)站安全的第一步其實(shí)在編寫(xiě)該網(wǎng)站代碼的時(shí)候就應(yīng)該加載進(jìn)去，網(wǎng)站最終實(shí)現(xiàn)的是一個(gè)平臺(tái)的展示，而不單純是一個(gè)網(wǎng)頁(yè)效果的展現(xiàn)，網(wǎng)站編寫(xiě)時(shí)最重要的把網(wǎng)絡(luò)安全加載進(jìn)自己的網(wǎng)站里面，使自己的網(wǎng)站不光要外表美觀，最重要的是安全防護(hù)能力，如果網(wǎng)站做得十分精美，但是卻天天遭受攻擊，使得網(wǎng)站不能正常使用，又有何用？

1.5 服務(wù)器使用安全策略，對(duì)于部分端口進(jìn)行控制或者卸載

網(wǎng)絡(luò)用戶的主觀行為是網(wǎng)站安全的最大“敵人”，所以需要從職業(yè)道德和安全技術(shù)兩方面來(lái)保證網(wǎng)絡(luò)的安全性。從技術(shù)角度上來(lái)看，控制網(wǎng)絡(luò)用戶的主觀行為主要是要根據(jù)網(wǎng)絡(luò)用戶的合法性來(lái)控制物理通信端口的狀態(tài)（開(kāi)放或者關(guān)閉），從而達(dá)到限制或者阻止網(wǎng)絡(luò)用戶的惡意主觀行為的效果。具體步驟可以在交換機(jī)上點(diǎn)擊“高級(jí)規(guī)則”“添加規(guī)則名”選中“設(shè)置端口規(guī)則”在TCP端口控制里選中“只允許通過(guò)”點(diǎn)擊“添加”添加相應(yīng)的端口，點(diǎn)“確定”即可。

1.6 服務(wù)器遠(yuǎn)程控制最好局限于本地，不要開(kāi)放給外部

如果有服務(wù)器上操作系統(tǒng)的賬號(hào)、密碼以及該服務(wù)器的ip地址，而且是管理員組的賬號(hào)，可以考慮用telnet登陸該服務(wù)器；如果只是進(jìn)行普通的文件操作。上傳、下載之類(lèi)等，那么還可以用tcp命名管道的方式與對(duì)方連接，一般通過(guò)映射網(wǎng)絡(luò)驅(qū)動(dòng)器的方式來(lái)解決，如果需要?jiǎng)e人遠(yuǎn)程操作，可以使用qq里的遠(yuǎn)程協(xié)助，在登錄服務(wù)器里打開(kāi)QQ軟件，接受QQ遠(yuǎn)程協(xié)助，但是需要對(duì)遠(yuǎn)程協(xié)助的技術(shù)人員要確定。

1.7 文件夾讀寫(xiě)權(quán)限要設(shè)置好

加強(qiáng)權(quán)限設(shè)置也是我們保證網(wǎng)站安全的一個(gè)很重要的因素。在通常情況下網(wǎng)站管理人員需要對(duì)網(wǎng)站服務(wù)器以及其他的服務(wù)器的使用權(quán)限進(jìn)行嚴(yán)格的設(shè)置，尤其是文件夾的讀取和寫(xiě)入權(quán)限特別的重要，只有這樣才能夠保證在一臺(tái)服務(wù)器受到攻擊或者出現(xiàn)問(wèn)題的時(shí)候，網(wǎng)站服務(wù)器和其他服務(wù)器不受到牽連和波及，可以盡可能的避免這類(lèi)問(wèn)題的發(fā)生。在安裝PHP在用IIS搭建網(wǎng)站時(shí)，某些文件和目錄的訪問(wèn)權(quán)限是受限的，但是取消文件或目錄屬性中的“只讀”勾選后，仍舊不能解決網(wǎng)站訪問(wèn)權(quán)限的問(wèn)題。這是由于網(wǎng)站目錄訪問(wèn)權(quán)限和本地目錄訪問(wèn)權(quán)限是不一樣的。那網(wǎng)站下的目錄設(shè)置權(quán)限需要打開(kāi)網(wǎng)站根目錄的“屬性”窗體，切換到“安全”選項(xiàng)框，在“安全”選項(xiàng)框中，有該目錄權(quán)限的組或用戶，以及對(duì)應(yīng)的權(quán)限。點(diǎn)擊“編輯”按鈕，在打開(kāi)的“權(quán)限”對(duì)話框中，再點(diǎn)擊“添加”按鈕，依次添加匿名用戶IUSR和和用戶組IIS_IUSRS，對(duì)于網(wǎng)站的根目錄，通常只需要賦予“讀取”，“列出文件夾內(nèi)容”和“讀取和執(zhí)行”的權(quán)限。如果在網(wǎng)站下某些文件或目錄需要寫(xiě)入權(quán)限，則單獨(dú)在這些文件或目錄的IUSR和IIS_USRS權(quán)限上添加“寫(xiě)入”權(quán)限，通過(guò)這種方式完成網(wǎng)站的訪問(wèn)權(quán)限設(shè)置。

1.8 網(wǎng)站程序有上傳功能的地方要有所限制，注意上傳漏洞

“上傳漏洞”入侵是目前對(duì)網(wǎng)站最廣泛的入侵方法。90%的具有上傳頁(yè)面的網(wǎng)站，都存在上傳漏洞。一、能直接上傳asp文件的漏洞如果網(wǎng)站有上傳頁(yè)面，就要警惕直接上傳asp文件漏洞。如果校園論壇頁(yè)面對(duì)上傳文件擴(kuò)展名過(guò)濾不嚴(yán)，導(dǎo)致黑客能直接上傳asp文件，因此黑客只要打開(kāi)upfile.asp頁(yè)直接上傳，asp木馬即可拿到webshell、擁有網(wǎng)站的管理員控制權(quán)。為了防范此類(lèi)漏洞，建議網(wǎng)站采用最新版程序建站，因?yàn)樽钚掳娉绦蛞话愣紱](méi)有直接上傳漏洞，當(dāng)然刪除有漏洞的上傳頁(yè)面，將會(huì)最安全，這樣黑客再也不可能利用上傳漏洞入侵了！如果不能刪除上傳頁(yè)面，為了防范入侵，建議在上傳程序中添加安全代碼，禁止上傳asp/asa/js/exe/com等類(lèi)文件，這需要管理者能看懂a(chǎn)sp程序。

1.9 備份任務(wù)，網(wǎng)站代碼要經(jīng)常備份

對(duì)網(wǎng)站全部數(shù)據(jù)的備份包括下面兩種情況：一是對(duì)網(wǎng)站數(shù)據(jù)備份，比如網(wǎng)站文章和圖片以及其他信息；二是對(duì)網(wǎng)站源碼備份，比如網(wǎng)站管理后臺(tái)程序源碼，比如后臺(tái)文件有多種自己開(kāi)發(fā)的插件功能時(shí)候，或者當(dāng)網(wǎng)站代碼被惡意入侵修改時(shí)候，備份的代碼就可以發(fā)揮用處。要完整的備份網(wǎng)站，以上兩種情況都要做到，才算完成數(shù)據(jù)的備份，默認(rèn)數(shù)據(jù)會(huì)存放在data/backupdata文件里面，也可以單獨(dú)拷貝到本地，以備后需，每次備份都會(huì)自動(dòng)覆蓋舊信息。數(shù)據(jù)備份好后還要對(duì)源碼進(jìn)行備份，首先要登錄網(wǎng)站空間后臺(tái)，找到網(wǎng)站安裝目錄，點(diǎn)擊【全選】，選擇全部的后臺(tái)源碼文件，在點(diǎn)擊【壓縮】生成的格式，一般apache服務(wù)器生成.zip后綴的格式，其他服務(wù)器類(lèi)型選擇.rar格式就好。待壓縮完成后，在使用FTP工具下載我們已經(jīng)打包的文件到本地，此時(shí)文件已經(jīng)包含了網(wǎng)站數(shù)據(jù)文件和網(wǎng)站源碼，下次使用時(shí)候直接安裝此源碼就好。

1.10 網(wǎng)站各大板塊負(fù)責(zé)人的使用權(quán)限

對(duì)于校園網(wǎng)絡(luò)來(lái)說(shuō)，基本上都是各個(gè)部門(mén)分別有一個(gè)板塊負(fù)責(zé)人，他們各司其職，各管各自的版塊，很容易出現(xiàn)問(wèn)題，被黑客進(jìn)行攻擊。對(duì)于網(wǎng)站各個(gè)版塊負(fù)責(zé)人要盡可能保證不要經(jīng)常進(jìn)行更換，對(duì)于各個(gè)部門(mén)的個(gè)人權(quán)限一定要設(shè)置清楚，如果有可能的話最好對(duì)版塊負(fù)責(zé)人的網(wǎng)站信息更新行為進(jìn)行遠(yuǎn)程監(jiān)控以及行為管理，這樣可以盡可能有效的防止黑客利用網(wǎng)站版塊負(fù)責(zé)人的用戶使用權(quán)限來(lái)進(jìn)行對(duì)于校園網(wǎng)站的攻擊。

2 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)的普及和發(fā)展，做好網(wǎng)站安全工作已經(jīng)成為了目前各大院校網(wǎng)絡(luò)安全的重中之重。網(wǎng)站維護(hù)管理人員必須要加強(qiáng)自身的網(wǎng)絡(luò)安全意識(shí)，不斷地學(xué)習(xí)先進(jìn)的網(wǎng)站與網(wǎng)絡(luò)知識(shí)，從而保證網(wǎng)站的安全、高效、穩(wěn)定運(yùn)行。

【參考文獻(xiàn)】

[1]張強(qiáng).淺談高校網(wǎng)絡(luò)安全解決方案.實(shí)驗(yàn)室科學(xué)，2013（8）.

[2]史京.網(wǎng)站安全維護(hù)的問(wèn)題與建議綜述.電子技術(shù)與軟件工程.2016（4）.

[3]龔建明.淺談網(wǎng)站的日常維護(hù)與安全管理.計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2011（22）.