安全治理 论坛

【TechTarget中国原创】保证Web服务器的安全是信息安全专家面对的最不讨好的事情。你需要平衡允许对Web资源的公共合法访问和阻止恶意认识之间的冲突。你甚至需要考虑采用双因素认证，例如RSA SecurID，以取得认证系统的高度机密性，但是它可能不太实际，向你所有的Web网站用户分配令牌业不划算。尽管存在这些相互冲突的木的，以下的六个策略还是可以帮助你加固Web服务器。

在内部和外部应用上分别使用不同的服务器。假设公司里有两台服务器，分开不同类型的Web应用，就是服务内部用户和服务外部用户的，把这些应用放置在不同的服务器上是很明智的做法。这样做可以减少恶意用户渗透到外部服务器访问敏感数据的风险。如果你没有可以支配的资源来采用这种方法，至少要考虑使用技术控制（例如过程分离），保证内部和外部的应用不会相互交叉。
测试和调试应用使用不同的配置服务器。在独立的Web服务器上测试应用好像是常识——而且确实是！不幸的是，很多企业都没有遵守这条原则，而是允许开发人员调整代码，甚至在生产服务器上配置新应用。在生产系统上测试代码可能导致用户使用到错误功能（可能是完全的储运损耗），还可能在开发人员提出未经测试的容易被攻击的代码时引入安全漏洞。现在大部分控制系统（例如，微软的Visual SourceSafe）的版本都可以实现代码/测试/调试过程的自动化。
审计Web网站活动并在安全的位置存储日志。每一位安全专家都知道维护服务器活动日志的重要性。因为大部分的Web服务器都是公开面对在所有基于互联网的服务上执行这项任务很重要。这些审计索引可以帮助检测攻击并作出反应，并且可以帮助你检修服务器性能问题。在高安全性的环境中，要确保你的日志保存在安全的物理位置——最安全（但是最不方便）的技术是使用行式打印机在登录的时候纪录，从而创建不能被没有物理访问许可的入侵者修改的纸质纪录。你可能还想考虑使用电子器件，例如登录到采用可加密和数字签名的安全主机，可以防止登录探听和篡改。
培训开发人员采用良好的安全代码实践。软件开发人员，关注的是开发服务业务需求的应用，他们通常会忽视信息安全也是关键的业务需求这一事实。作为一位安全专家，你的责任是培训开发人员关于影响Web服务器的安全问题。你应该让开发人员知道网络上合适的安全机制可以保证他们创建的软件不用回避者这些机制；你还可以提供一些概念的培训，例如缓冲器溢出攻击和处理隔离（process isolation）——所有这些在保证良好的代码实践，从而开发安全的应用上都有很大的帮助。
保证操作系统和Web服务器的补丁更新。这是另一个 “常识”，当管理员忙于其他工作时常忽略它。安全公告，例如CERT或者微软公布的公告，就是不断地踢向软件厂商发布特殊安全漏洞补丁的频率。保持Web服务器的采用了最新的安全补丁更新非常重要。微软的Software Update Service (SUS)和RedHat的 up2date服务等工具可以帮助实现自动更新。毕竟，一旦漏洞公布，而你没有修复。最后就会有人找到他并利用。
使用应用扫描器。如果可以负担，你可以考虑使用应用扫描器来在内部炎症开发的代码。
　　切记，安全是一种心态。设计良好的Web服务器架构应该是基于良好的安全原理。采用这六种措施可以帮助你建立强大的基础。

学习学习再学习~