建立安全的Web站点(3)

　　(3)服务器根目录下的某些文件需要由Root来写或者执行，如Web服务器需要Root来启动，如果其他用户对Web服务器的执行程序有写权限，则该用户可以用其他代码替换掉Web服务器的执行程序，当Root 再次执行这个程序时，用户设定的代码将以Root身份运行。

　　4、谨慎组织Web服务器的内容

　　5、安全管理Web服务器

　　Web服务器的日常管理、维护工作包括Web服务器的内容更新，日志文件的审计，安装一些新的工具、软件，更改服务器配置，对Web进行安全检查等。主要注意以下几点：

　　(1)以安全的方式更新Web服务器(尽量在服务器本地操作)；
　　(2)经常审查有关日志记录；
　　(3)进行必要的数据备份；
　　(4)定期对Web服务器进行安全检查；
　　(5)冷静处理意外事件。

　　五、Web网站的安全管理

　　1、建立安全的Web网站，首先要全盘考虑Web服务器的安全设计和实施。无论是政府网站，还是企业、商业机构或是社会团体，各自都有其特殊的安全要求，所以，根据本单位的实际情况出发，周密制定安全政策是实现系统安全的前提。

　　2、对Web系统进行安全评估，也就是说，权衡考虑各类安全资源的价值和对它们实施保护所需要的费用。这个当中不能只考虑看得见的资源实体，应该综合考虑资源带来的效益，资源发生不安全情况的几率，资源的安全保护被突然破坏时将可能带来的损失。

　　3、制定安全策略的基本原则和管理规定，即指明各类资源的基本安全要求以及为了达到这种安全要求应该实施的事项。安全管理是由个人或组织针对为了达到特定的安全水平而制定的一整套要求有关部门人员必须遵守的规则和违规罚则。对于Web服务提供者来说，安全管理的一个重要的组成是哪个人可以访问哪些Web文挡，获权访问Web文档和使用这些访问的人的有关部门权利和责任，有关人员对设备、系统的管理权限和维护守则，失职处罚等。

　　4、对员工的安全培训，培养员工主动学习安全知识的意识和能力。一个网站的安全政策必须被每一个工作人员所理解，这样才可能让每一个员工自觉遵守、维护它。

　　尽管如此，Web网站的安全是相对的，没有绝对的安全，我们只能把遭受攻击的可能性降到最低。更重要的是，必须做到“有法必依”，把安全政策体现到设备的选购、网络结构的设计、人员的配置、管理及每一个人的日常的工作中。

　　本文所用到的英汉缩略说明：

　　Web 是 World Wide Web 的简称
　　HTTP(Hyper Text Transfer Protocol) 超文本传输协议
　　IIS (Internet Information Server) Internet 信息服务器
　　CGI(Common Gateway Interface) 公共网关接口
　　LAN(Local Area Network) 局域网
　　RPC(Remote Procedure Call) 远程过程调用
　　TCP(Transmission Control Protocol) 传输控制协议
　　IP(Internet Protocol) 网际协议
　　FTP(File Transfer Protocol) 文件传输协议
　　SMTP(Simple Mail Transfer Protocol) 简单邮件传送协议
　　PC(Personal Computer) 个人计算机
　　OS(Operating System) 操作系统

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有