“Windows”環境中企業網站運行維護的 探討與研究
摘要: 因WINDOWS系統的應用普及性而容易遭受黑客與病毒的攻擊,致使沈陽供電公司網站系統曾一度癱瘓。本文給出在重新搭建公司WEB服務器時所發生的案例和解決途徑,為維護網站的工作人員提供借鑒。同時本文對建
4基于“WINDOWS體系”網站的安全措施
(一)從技術上,為基于“WINDOWS體系”網站構建“堡壘主機”。也就是加強主機的安全,加大防御的縱深,對系統中重要的服務器進行加固,使之成為不易攻破的主機。
具體方案是:
1.物理隔離。對于核心內容采用“半導體”單工通道,只允許讀取而不允許寫入。身份認證有“物理結構式”。即分清層次:高層計算機距離核心“近”,權限大。如此,責權分明,容易分析問題。服務器也應采用“物理結構式”,有交互信息的,如“聊天室”、短信服務、e-mail和商務等,與其他服務器間也要采用單工通道。
2.防火墻,屬邏輯隔離。針對“利用TCP/IP缺陷”的病毒特點,如消耗帶寬、消耗CPU與內存等,進行防御。
3.邏輯身份認證,主要防止來自網絡內部的攻擊。主要手段有:網絡鑒別、授權和管理(Appraise Authorize Administrate)。
4.安裝WIN 2000時,要安裝成獨立的域控制器(Stand Alone),選擇工作組成員,不選擇域。因為主域控制器(PDC)是局域網中多臺聯網機器管理的一種方式,用于網站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。
5.安裝WIN 2000時,將操作系統文件所在分區與WEB數據以及其他應用程序所在的分區分開,并在安裝時最好不要使用系統默認的目錄(如將\WINNT改為其他目錄) 。防止黑客通過WEB站點的漏洞得到操作系統對某些程序的執行權限,從而造成更大的破壞。
6.設置賬號時,將Guest帳號禁用,同時重命名為一個復雜的名字,增加口令,并將它從 Guest組中刪掉。防止黑客利用guest 的弱點,將帳號從一般用戶提升到管理員組。
7.安裝WIN 2000后,所有端口默認狀態是對外開放的。黑客會利用掃描工具掃描哪些端口可以利用,這對安全是一個嚴重威脅。 因此只開放必要的端口,關閉其余端口。
下表中列出是常用端口和相關信息,可以根據WWW服務器應用程序使用情況,關閉不必要的端口。
8.其它建議
1)Win 2000安裝好以后,應刪除所有的網絡共享資源;
2)建立安全的WIN 2000內核-即IIS;
3)分析web日志;
4)ASP編程的安全性的考慮。
(二)在加固主機的同時,加大防御系統外延。具體方案是:
1.漏洞檢測。通過漏洞檢測可以對網絡設備進行自動的安全漏
洞檢測和分析。同時能進行系統掃描,通過比較規定的安全策略和實際的主機配置,發現企業內部操作系統潛在的安全弱點,如: 缺少安全補丁、不適當的用戶權限、不正確的系統登錄權限、不安全的服務配置和代表功擊的可疑行為。
2.基于主機的入侵檢測。用于保護關鍵應用的服務器,實時監視可疑的網絡連接、系統日志檢查。
3.基本網絡的入侵檢測。用于實時監控網絡關鍵路徑的信息。通常將入侵檢測系統安裝在一臺機器上,監聽本網段內的所有數據包并進行分析。
(三)管理上應建立健全規章制度,為網站的安全運行提供必要的管理手段。具體內容是:
1. Win 2000安裝好以后,必須安裝最新的補丁程序。在安裝Service Pack前應先在測試機器上安裝一次,以防因為例外原因導致機器死機,同時做好數據備份。
2. 盡量不安裝與WEB站點服務無關的軟件,防止其他應用軟件有可能存在安全漏洞。
3.設置賬號
1)除Administrator外,有必要再增加一個屬于管理員組的賬號。 防止管理員一旦忘記一個賬號的口令還有一個備用賬號;另外,一旦黑客攻破一個賬號并更改口令,我們還有機會重新在短期內取得控制權。
2)賬號口令必須定期更改(建議至少兩周該一次)。如果在日志審核中發現某個賬號被連續嘗試,則必須立刻更改此賬號(包括用戶名和口令)。
3)在帳號屬性中設立鎖定次數,比如改帳號失敗登錄次數超過5次即鎖定該帳號。這樣可以防止某些大規模的登錄嘗試,同時也使管理員對該帳號提高警惕。
4.數據保護。
對存儲在服務器上,暴露于Internet的數據進行保護也很重要。除了設置相應權限外,建立一個正式的備份策略,定期進行光盤備份是非常必要的。備份策略應該確定以下內容:
1) 誰負責進行數據和服務器配置的備份?
2) 多長時間進行一次備份?
3)備份存儲介質的默認放置位置是哪里?
4)誰有權恢復系統數據?
5)是否在站點外有備份數據的副本?
6)誰負責維護站點外的備份數據副本?
明確了這些,進一步需要確定備份位置及備份方法:
7)大多數情況下,本地備份比網絡備份要好,因為執行備份時不需要建立網絡連接。
8)完成系統安裝后,第一件事就是對服務器進行完整備份。
9)確定備份的頻率和類型。是每天都做備份嗎?每天的備份是完整備份、增量備份還是差異備份?
(一)從技術上,為基于“WINDOWS體系”網站構建“堡壘主機”。也就是加強主機的安全,加大防御的縱深,對系統中重要的服務器進行加固,使之成為不易攻破的主機。
具體方案是:
1.物理隔離。對于核心內容采用“半導體”單工通道,只允許讀取而不允許寫入。身份認證有“物理結構式”。即分清層次:高層計算機距離核心“近”,權限大。如此,責權分明,容易分析問題。服務器也應采用“物理結構式”,有交互信息的,如“聊天室”、短信服務、e-mail和商務等,與其他服務器間也要采用單工通道。
2.防火墻,屬邏輯隔離。針對“利用TCP/IP缺陷”的病毒特點,如消耗帶寬、消耗CPU與內存等,進行防御。
3.邏輯身份認證,主要防止來自網絡內部的攻擊。主要手段有:網絡鑒別、授權和管理(Appraise Authorize Administrate)。
4.安裝WIN 2000時,要安裝成獨立的域控制器(Stand Alone),選擇工作組成員,不選擇域。因為主域控制器(PDC)是局域網中多臺聯網機器管理的一種方式,用于網站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。
5.安裝WIN 2000時,將操作系統文件所在分區與WEB數據以及其他應用程序所在的分區分開,并在安裝時最好不要使用系統默認的目錄(如將\WINNT改為其他目錄) 。防止黑客通過WEB站點的漏洞得到操作系統對某些程序的執行權限,從而造成更大的破壞。
6.設置賬號時,將Guest帳號禁用,同時重命名為一個復雜的名字,增加口令,并將它從 Guest組中刪掉。防止黑客利用guest 的弱點,將帳號從一般用戶提升到管理員組。
7.安裝WIN 2000后,所有端口默認狀態是對外開放的。黑客會利用掃描工具掃描哪些端口可以利用,這對安全是一個嚴重威脅。 因此只開放必要的端口,關閉其余端口。
下表中列出是常用端口和相關信息,可以根據WWW服務器應用程序使用情況,關閉不必要的端口。
| 端口 | 協議 | 應用程序 |
| 21 | TCP | FTP |
| 25 | TCP | SMTP |
| 53 | TCP | DNS |
| 80 | TCP |
HTTP SERVER |
| 1433 | TCP |
SQL SERVER |
| 5631 | TCP |
PCANYWHERE |
| 5632 | UDP |
PCANYWHERE |
1)Win 2000安裝好以后,應刪除所有的網絡共享資源;
2)建立安全的WIN 2000內核-即IIS;
3)分析web日志;
4)ASP編程的安全性的考慮。
(二)在加固主機的同時,加大防御系統外延。具體方案是:
1.漏洞檢測。通過漏洞檢測可以對網絡設備進行自動的安全漏
洞檢測和分析。同時能進行系統掃描,通過比較規定的安全策略和實際的主機配置,發現企業內部操作系統潛在的安全弱點,如: 缺少安全補丁、不適當的用戶權限、不正確的系統登錄權限、不安全的服務配置和代表功擊的可疑行為。
2.基于主機的入侵檢測。用于保護關鍵應用的服務器,實時監視可疑的網絡連接、系統日志檢查。
3.基本網絡的入侵檢測。用于實時監控網絡關鍵路徑的信息。通常將入侵檢測系統安裝在一臺機器上,監聽本網段內的所有數據包并進行分析。
(三)管理上應建立健全規章制度,為網站的安全運行提供必要的管理手段。具體內容是:
1. Win 2000安裝好以后,必須安裝最新的補丁程序。在安裝Service Pack前應先在測試機器上安裝一次,以防因為例外原因導致機器死機,同時做好數據備份。
2. 盡量不安裝與WEB站點服務無關的軟件,防止其他應用軟件有可能存在安全漏洞。
3.設置賬號
1)除Administrator外,有必要再增加一個屬于管理員組的賬號。 防止管理員一旦忘記一個賬號的口令還有一個備用賬號;另外,一旦黑客攻破一個賬號并更改口令,我們還有機會重新在短期內取得控制權。
2)賬號口令必須定期更改(建議至少兩周該一次)。如果在日志審核中發現某個賬號被連續嘗試,則必須立刻更改此賬號(包括用戶名和口令)。
3)在帳號屬性中設立鎖定次數,比如改帳號失敗登錄次數超過5次即鎖定該帳號。這樣可以防止某些大規模的登錄嘗試,同時也使管理員對該帳號提高警惕。
4.數據保護。
對存儲在服務器上,暴露于Internet的數據進行保護也很重要。除了設置相應權限外,建立一個正式的備份策略,定期進行光盤備份是非常必要的。備份策略應該確定以下內容:
1) 誰負責進行數據和服務器配置的備份?
2) 多長時間進行一次備份?
3)備份存儲介質的默認放置位置是哪里?
4)誰有權恢復系統數據?
5)是否在站點外有備份數據的副本?
6)誰負責維護站點外的備份數據副本?
明確了這些,進一步需要確定備份位置及備份方法:
7)大多數情況下,本地備份比網絡備份要好,因為執行備份時不需要建立網絡連接。
8)完成系統安裝后,第一件事就是對服務器進行完整備份。
9)確定備份的頻率和類型。是每天都做備份嗎?每天的備份是完整備份、增量備份還是差異備份?
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
現貨模式下谷電用戶價值再評估
2020-10-10電力現貨市場,電力交易,電力用戶 -
PPT | 高校綜合能源服務有哪些解決方案?
2020-10-09綜合能源服務,清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量
-
PPT | 高校綜合能源服務有哪些解決方案?
2020-10-09綜合能源服務,清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量 -
我國電力改革涉及的電價問題
-
貴州職稱論文發表選擇泛亞,論文發表有保障
2019-02-20貴州職稱論文發表 -
《電力設備管理》雜志首屆全國電力工業 特約專家征文
2019-01-05電力設備管理雜志 -
國內首座蜂窩型集束煤倉管理創新與實踐
-
人力資源和社會保障部:電線電纜制造工國家職業技能標準
-
人力資源和社會保障部:變壓器互感器制造工國家職業技能標準
-
《低壓微電網并網一體化裝置技術規范》T/CEC 150
2019-01-02低壓微電網技術規范
-
現貨模式下谷電用戶價值再評估
2020-10-10電力現貨市場,電力交易,電力用戶 -
建議收藏 | 中國電價全景圖
2020-09-16電價,全景圖,電力 -
一張圖讀懂我國銷售電價附加
2020-03-05銷售電價附加
-
電氣工程學科排行榜發布!華北電力大學排名第二
-
國家電網61家單位招聘畢業生
2019-03-12國家電網招聘畢業生 -
《電力設備管理》雜志讀者俱樂部會員招募
2018-10-16電力設備管理雜志
