網站伺服器通用和專用保護方法比較分析

　　本文針對當今網站被黑事件頻繁發生的狀況，伺服器遭受的風險也比以前更大了。越來越多的病毒，心懷不軌的黑客都將網站伺服器作為了自己的目標。很明顯，網站伺服器的安全問題是不容忽視的。在這裡我談談維護伺服器安全的方法，並作了一些比較分析。

　　1990年12月，WWW由英國計算機學家伯納斯李發明以來，迅猛發展，現在全球有700萬以上的網站，共有4億以上的網路用戶。截止2000年6月底，中國網民達1690萬，網站3萬個。中國每天訪問新浪的就有300-400萬，而今年初，短短一個月註冊了4.5萬中文域名。WWW除是一種重要的發布信息、展示形象的媒體外，還走向了各種各樣的應用，從專題論壇到在線遊戲，從辦公自動化到電子商務， B/S結構也成為發展的趨勢。

　　就在WWW迅猛發展的同時，黑客也將目光瞄向了網站。由於一些重要的、大型網站往往對安全比較重視，黑客將其做為一種挑戰，總是試圖攻破，而且一旦修改了頁面，將極大提高黑客的影響力，因此這些網站極易成為攻擊目標。不時有消息報道一些重要網站被黑，1999年白宮的網站被香港一個黑客組織攻破，在其主頁上留了"stop all wars"等字樣。象Apache.org和Microsoft的一些網站也讓黑客得手。在今年的五一"中美黑客大站"中，中美各有上千的網站被塗改。www.attrition.org曾專門跟蹤網站的攻破后的頁面，最後由於這種事件太多，有時一天會接到上百個網站被塗改的報告，沒有足夠的人力資源來維護而停止了對黑客攻擊事件報導的更新。

　　一：網站的通用保護方法

　　針對黑客威脅，網路安全管理員採取各種手段增強伺服器的安全，確保WWW服務的正常運行。象在Internet上的Email、ftp等伺服器一樣，可以用如下的方法來對WWW伺服器進行保護：

　　·安全配置

　　關閉不必要的服務，最好是只提供WWW服務

　　安裝操作系統的最新補丁，將WWW服務升級到最新版本並安裝所有補丁，對根據WWW服務提供者的安全建議進行配置等，這些措施將極大提供WWW伺服器本身的安全。

　　·防火牆

　　安裝必要的防火牆，阻止各種掃描工具的試探和信息收集，甚至可以根據一些安全報告來阻止來自某些特定IP地址範圍的機器連接，給WWW伺服器增加一個防護層，同時需要對防火牆內的網路環境進行調整，消除內部網路的安全隱患。

　　·漏洞掃描

　　使用商用或免費的漏洞掃描和風險評估工具定期對伺服器進行掃描，來發現潛在的安全問題，並確保由於升級或修改配置等正常的維護工作不會帶來安全問題。

　　·入侵檢測系統

　　利用入侵檢測系統（IDS）的實時監控能力，發現正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。

　　這些安全措施都將極大提供WWW伺服器的安全，減少被攻擊的可能性。

　　二：網站的專用保護方法

　　儘管採用的各種安全措施能防止很多黑客的攻擊，然而由於各種操作系統和伺服器軟體漏洞的不斷發現，攻擊方法層出不窮，技術高明的黑客還是能突破層層保護，獲得系統的控制許可權，從而達到破壞主頁的目的。這種情況下，一些網路安全公司推出了專門針對網站的保護軟體，只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變，就進行恢復。一般情況下，系統首先需要對正常的頁面文件進行備份，然後啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較：

　　·監測方式

　　本地和遠程：檢測可以是在本地運行一個監測端，也可以在網路上的另一台主機。如果是本地的話，監測端進程需要足夠的許可權讀取被保護目錄或文件。監測端如果在遠端的話，WWW伺服器需要開放一些服務並給監測端相應的許可權，較常見的方式是直接利用伺服器的開放的WWW服務，使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄，如FTP等。採用本地方式檢測的優點是效率高，而遠程方式則具有平台無關性，但會增加網路流量等負擔。

　　定時和觸發：絕大部分保護軟體是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據系統設定的時間定時檢測，還可將被保護的網頁分為不同等級，等級高的檢測時間間隔可以設得較短，以獲得較好的實時性，而將保護等級較低的網頁文件檢測時間間隔設得較長，以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能，在文件被創建、修改或刪除時得到通知，這種方法的優點是效率高，但無法實現遠程檢測。

　　·比較方法

　　在判斷文件是否被修改時，往往採用被保護目錄和備份庫中的文件進行比較，比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟體就採用文件的屬性如文件大小、創建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：{惡意入侵者}可以通過精心構造，把替換文件的屬性設置得和原文件完全相同，{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名，最常見的是MD5簽名演演演演演算法，由於數字簽名的不可偽造性，數字簽名能確保文件的相同。

　　·恢復方式

　　恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話，恢復進程必須有寫被保護目錄或文件的許可權。如果在遠程則需要通過文件共享或FTP的方式來進行，那麼需要文件共享或FTP的帳號，並且該帳號擁有對被保護目錄或文件的寫許可權。

　　·備份庫的安全

　　當黑客發現其更換的主頁很快被恢復時，往往會激發起進一步破壞的慾望，此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現，讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名，如果黑客修改了備份庫的內容，保護軟體可以通過簽名發現，就可停止WWW服務或使用一個默認的頁面。