本文針對(duì)當(dāng)今網(wǎng)站被黑事件頻繁發(fā)生的狀況，服務(wù)器遭受的風(fēng)險(xiǎn)也比以前更大了。越來(lái)越多的病毒，心懷不軌的黑客都將網(wǎng)站服務(wù)器作為了自己的目標(biāo)。很明顯，網(wǎng)站服務(wù)器的安全問(wèn)題是不容忽視的。在這里我談?wù)劸S護(hù)服務(wù)器安全的方法，并作了一些比較分析。

　　1990年12月，WWW由英國(guó)計(jì)算機(jī)學(xué)家伯納斯李發(fā)明以來(lái)，迅猛發(fā)展，現(xiàn)在全球有700萬(wàn)以上的網(wǎng)站，共有4億以上的網(wǎng)絡(luò)用戶。截止2000年6月底，中國(guó)網(wǎng)民達(dá)1690萬(wàn)，網(wǎng)站3萬(wàn)個(gè)。中國(guó)每天訪問(wèn)新浪的就有300-400萬(wàn)，而今年初，短短一個(gè)月注冊(cè)了4.5萬(wàn)中文域名。WWW除是一種重要的發(fā)布信息、展示形象的媒體外，還走向了各種各樣的應(yīng)用，從專題論壇到在線游戲，從辦公自動(dòng)化到電子商務(wù)， B/S結(jié)構(gòu)也成為發(fā)展的趨勢(shì)。

　　就在WWW迅猛發(fā)展的同時(shí)，黑客也將目光瞄向了網(wǎng)站。由于一些重要的、大型網(wǎng)站往往對(duì)安全比較重視，黑客將其做為一種挑戰(zhàn)，總是試圖攻破，而且一旦修改了頁(yè)面，將極大提高黑客的影響力，因此這些網(wǎng)站極易成為攻擊目標(biāo)。不時(shí)有消息報(bào)道一些重要網(wǎng)站被黑，1999年白宮的網(wǎng)站被香港一個(gè)黑客組織攻破，在其主頁(yè)上留了"stop all wars"等字樣。象Apache.org和Microsoft的一些網(wǎng)站也讓黑客得手。在今年的五一"中美黑客大站"中，中美各有上千的網(wǎng)站被涂改。www.attrition.org曾專門(mén)跟蹤網(wǎng)站的攻破后的頁(yè)面，最后由于這種事件太多，有時(shí)一天會(huì)接到上百個(gè)網(wǎng)站被涂改的報(bào)告，沒(méi)有足夠的人力資源來(lái)維護(hù)而停止了對(duì)黑客攻擊事件報(bào)導(dǎo)的更新。

　　一：網(wǎng)站的通用保護(hù)方法

　　針對(duì)黑客威脅，網(wǎng)絡(luò)安全管理員采取各種手段增強(qiáng)服務(wù)器的安全，確保WWW服務(wù)的正常運(yùn)行。象在Internet上的Email、ftp等服務(wù)器一樣，可以用如下的方法來(lái)對(duì)WWW服務(wù)器進(jìn)行保護(hù)：

　　·安全配置

　　關(guān)閉不必要的服務(wù)，最好是只提供WWW服務(wù)

　　安裝操作系統(tǒng)的最新補(bǔ)丁，將WWW服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁，對(duì)根據(jù)WWW服務(wù)提供者的安全建議進(jìn)行配置等，這些措施將極大提供WWW服務(wù)器本身的安全。

　　·防火墻

　　安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據(jù)一些安全報(bào)告來(lái)阻止來(lái)自某些特定IP地址范圍的機(jī)器連接，給WWW服務(wù)器增加一個(gè)防護(hù)層，同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。

　　·漏洞掃描

　　使用商用或免費(fèi)的漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描，來(lái)發(fā)現(xiàn)潛在的安全問(wèn)題，并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來(lái)安全問(wèn)題。

　　·入侵檢測(cè)系統(tǒng)

　　利用入侵檢測(cè)系統(tǒng)（IDS）的實(shí)時(shí)監(jiān)控能力，發(fā)現(xiàn)正在進(jìn)行的攻擊行為及攻擊前的試探行為，記錄黑客的來(lái)源及攻擊步驟和方法。

　　這些安全措施都將極大提供WWW服務(wù)器的安全，減少被攻擊的可能性。

　　二：網(wǎng)站的專用保護(hù)方法

　　盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統(tǒng)和服務(wù)器軟件漏洞的不斷發(fā)現(xiàn)，攻擊方法層出不窮，技術(shù)高明的黑客還是能突破層層保護(hù)，獲得系統(tǒng)的控制權(quán)限，從而達(dá)到破壞主頁(yè)的目的。這種情況下，一些網(wǎng)絡(luò)安全公司推出了專門(mén)針對(duì)網(wǎng)站的保護(hù)軟件，只保護(hù)網(wǎng)站最重要的內(nèi)容--網(wǎng)頁(yè)。一旦檢測(cè)到被保護(hù)的文件發(fā)生了{(lán)非正常的}改變，就進(jìn)行恢復(fù)。一般情況下，系統(tǒng)首先需要對(duì)正常的頁(yè)面文件進(jìn)行備份，然后啟動(dòng)檢測(cè)機(jī)制，檢查文件是否被修改，如果被修改就需要進(jìn)行恢復(fù)。我們對(duì)以下幾個(gè)方面的技術(shù)進(jìn)行分析比較：

　　·監(jiān)測(cè)方式

　　本地和遠(yuǎn)程：檢測(cè)可以是在本地運(yùn)行一個(gè)監(jiān)測(cè)端，也可以在網(wǎng)絡(luò)上的另一臺(tái)主機(jī)。如果是本地的話，監(jiān)測(cè)端進(jìn)程需要足夠的權(quán)限讀取被保護(hù)目錄或文件。監(jiān)測(cè)端如果在遠(yuǎn)端的話，WWW服務(wù)器需要開(kāi)放一些服務(wù)并給監(jiān)測(cè)端相應(yīng)的權(quán)限，較常見(jiàn)的方式是直接利用服務(wù)器的開(kāi)放的WWW服務(wù)，使用HTTP協(xié)議來(lái)監(jiān)測(cè)被保護(hù)的文件和目錄。也可利用其它常用協(xié)議來(lái)檢測(cè)保護(hù)文件和目錄，如FTP等。采用本地方式檢測(cè)的優(yōu)點(diǎn)是效率高，而遠(yuǎn)程方式則具有平臺(tái)無(wú)關(guān)性，但會(huì)增加網(wǎng)絡(luò)流量等負(fù)擔(dān)。

　　定時(shí)和觸發(fā)：絕大部分保護(hù)軟件是使用的定時(shí)檢測(cè)的方式，不論在本地還是遠(yuǎn)程檢測(cè)都是根據(jù)系統(tǒng)設(shè)定的時(shí)間定時(shí)檢測(cè)，還可將被保護(hù)的網(wǎng)頁(yè)分為不同等級(jí)，等級(jí)高的檢測(cè)時(shí)間間隔可以設(shè)得較短，以獲得較好的實(shí)時(shí)性，而將保護(hù)等級(jí)較低的網(wǎng)頁(yè)文件檢測(cè)時(shí)間間隔設(shè)得較長(zhǎng)，以減輕系統(tǒng)的負(fù)擔(dān)。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能，在文件被創(chuàng)建、修改或刪除時(shí)得到通知，這種方法的優(yōu)點(diǎn)是效率高，但無(wú)法實(shí)現(xiàn)遠(yuǎn)程檢測(cè)。

　　·比較方法

　　在判斷文件是否被修改時(shí)，往往采用被保護(hù)目錄和備份庫(kù)中的文件進(jìn)行比較，比較最常見(jiàn)的方式全文比較。使用全文比較能直接、準(zhǔn)確地判斷出該文件是否被修改。然而全文比較在文件較大較多時(shí)效率十分低下，一些保護(hù)軟件就采用文件的屬性如文件大小、創(chuàng)建修改時(shí)間等進(jìn)行比較，這種方法雖然簡(jiǎn)單高效，但也有嚴(yán)重的缺陷：{惡意入侵者}可以通過(guò)精心構(gòu)造，把替換文件的屬性設(shè)置得和原文件完全相同，{從而使被惡意更改的文件無(wú)法被檢測(cè)出來(lái)}。另一種方案就是比較文件的數(shù)字簽名，最常見(jiàn)的是MD5簽名算法，由于數(shù)字簽名的不可偽造性，數(shù)字簽名能確保文件的相同。

　　·恢復(fù)方式

　　恢復(fù)方式與備份庫(kù)存放的位置直接相關(guān)。如果備份庫(kù)存放在本地的話，恢復(fù)進(jìn)程必須有寫(xiě)被保護(hù)目錄或文件的權(quán)限。如果在遠(yuǎn)程則需要通過(guò)文件共享或FTP的方式來(lái)進(jìn)行，那么需要文件共享或FTP的帳號(hào)，并且該帳號(hào)擁有對(duì)被保護(hù)目錄或文件的寫(xiě)權(quán)限。

　　·備份庫(kù)的安全

　　當(dāng)黑客發(fā)現(xiàn)其更換的主頁(yè)很快被恢復(fù)時(shí)，往往會(huì)激發(fā)起進(jìn)一步破壞的欲望，此時(shí)備份庫(kù)的安全尤為重要。網(wǎng)頁(yè)文件的安全就轉(zhuǎn)變?yōu)閭浞輲?kù)的安全。對(duì)備份庫(kù)的保護(hù)一種是通過(guò)文件隱藏來(lái)實(shí)現(xiàn)，讓黑客無(wú)法找到備份目錄。另一種方法是對(duì)備份庫(kù)進(jìn)行數(shù)字簽名，如果黑客修改了備份庫(kù)的內(nèi)容，保護(hù)軟件可以通過(guò)簽名發(fā)現(xiàn)，就可停止WWW服務(wù)或使用一個(gè)默認(rèn)的頁(yè)面。