WWW服务器的安全.ppt

WWW服务器安全 目录 引言 网站安全概述 操作系统的选择 防火墙与杀毒软件的选用 IIS的安装与设置 数据库的安全 服务器安全 引言 08年7月网络与信息安全协调小组组织某省大检查 总共检测省级网站近70家 90%网站存在严重安全隐患 部分网站已经被挂马或被黑客控制 大检查基本上使用评测工具进行远程评估工作 发现问题的网站漏洞类型分布图 2008年上半年网络安全报告 黑客产业链 - 网上木马典型传播途径 锁定网站目标如电子商务网站 利用Web应用的弱点特别是各类SQL注入等Web安全漏洞, 入侵和控制Web服务器 篡改网页植入恶意代码 网站客户在访问网站时候被自动植入木马； 在控制个人用户计算机(肉鸡)后，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、密码或针对性的窃取商业信息等。 黑客产业链 网站安全概述 操作系统的选择 建议操作系统选用 windows server 2000 Windows server 2003 安装操作系统后，先打补丁。 系统文件格式，windows选择NTFS格式 帐号的权限，密码的使用周期。 删除不用的协议和禁用不用的服务，提供的服务越少,被利用的漏洞和攻击的机会就越少。 组策略的设置，包括升级服务器的设置、密码的有效期、日志审核机制等等 卸载不安全的组件 防火墙与杀毒软件的选用 防火墙可以用自带的。 杀毒软件一定要用服务器专用版 阻止一些非法操作，系统文件被篡改 IIS的安装与设置 不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。 删除IIS默认创建的Inetpub目录（在安装系统的盘上）。 删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 IIS的安装与设置 下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 \IISSamples c :\inetpub\iissamplesIIS 文档 \IISHelp c:\winnt\help\iishelp数据访问 \MSADC c:\program files\common files\system\msadc IIS的安装与设置 删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。 更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性 IIS的安装与设置 禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“..”。禁用该选项的步骤如下： 右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。 单击“配置”。 单击“应用程序选项”选项卡。 取消选择“启用父路径”复选框。 IIS的安装与设置 设置适当的 虚拟目录的权限 确保 IIS 虚拟目录如scripts等权限设置是否最小化，删除不需要目录。 将IIS目录重新定向 更改系统默认路径，自定义WEB主目录路径并作相应的权限设置。 IIS的安装与设置 2.2SqlServer数据服务器防范 只开放1433端口或更改默认端口 Sa用强口令（若sa密码泄露，后果很严重） 防火墙配置—只对需要的服务器开放端口 2.3 IIS里除特别需要外，不能开放目录浏览权限，不要用容易被猜测的名称做为路径 IIS的安装与设置 数据库的安全 数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。 数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一 数据库的安全 数据库的附加 数据库的备份 数据库的恢复 数据库的安全 1、使用安全的密码策略 我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步！ 　　SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。　　同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句： 　　Use master　　Select name,Password from syslogi