中小型企業(yè)電子商務(wù)網(wǎng)站的安全實(shí)現(xiàn)方案

1、中小型企業(yè)業(yè)電子商務(wù)務(wù)網(wǎng)站的安安全實(shí)現(xiàn)方方案摘要：在電電子商務(wù)蓬蓬勃發(fā)展的的今天，如如何維護(hù)網(wǎng)網(wǎng)絡(luò)穩(wěn)定正正常的使用用，如何保保證網(wǎng)站安安全穩(wěn)定持持續(xù)的運(yùn)行行等一系列列網(wǎng)絡(luò)安全全問題已經(jīng)經(jīng)被升級到到新的戰(zhàn)略略角度上來來。本文的的目的就是是從盡可能能多的角度度出發(fā)來闡闡述如何建建立一個(gè)安安全的電子子商務(wù)網(wǎng)站站服務(wù)器。關(guān)鍵詞：電電子商務(wù) ISA22004 服務(wù)器器 網(wǎng)絡(luò)絡(luò) 安全 IISS 1.什么是是網(wǎng)絡(luò)安全全。“網(wǎng)絡(luò)安全全是指網(wǎng)絡(luò)絡(luò)系統(tǒng)的硬硬件、軟件件及其系統(tǒng)統(tǒng)中的數(shù)據(jù)據(jù)受到保護(hù)護(hù)，不受偶偶然的或者者惡意的原原因而遭到到破壞、更更改、泄露露，系統(tǒng)連連續(xù)可靠正正常地運(yùn)行行，網(wǎng)絡(luò)服服務(wù)不中斷斷?！?H

2、YPERLINK /pcjob/suijijob/10311/243774.html /pcjob/suijijob/10311/243774.html 什么是網(wǎng)絡(luò)安全? 作者：pcjob編譯相對于中中小型企業(yè)業(yè)的電子商商務(wù)網(wǎng)站來來說，網(wǎng)絡(luò)絡(luò)安全就是是指網(wǎng)站上上的數(shù)據(jù)能能夠安全的的不間斷地地提供穩(wěn)定定的服務(wù)。我將從硬硬件安全、網(wǎng)絡(luò)安全全、系統(tǒng)安安全、代碼碼安全四個(gè)個(gè)方面來闡闡述對中小小型企業(yè)的的電子商務(wù)務(wù)網(wǎng)站的安安全實(shí)現(xiàn)方方案。2.硬件安安全。2.1 給給服務(wù)器加加把鎖物質(zhì)是基礎(chǔ)礎(chǔ)，硬件就就是電子商商務(wù)的基礎(chǔ)礎(chǔ)。但是硬硬件的安全全往往是最最容易被網(wǎng)網(wǎng)絡(luò)管理人人員所忽視視的。其中中比較棘手手的一

3、個(gè)問問題就是，在在你的電腦腦上沒有任任何的防護(hù)護(hù)措施來防防止進(jìn)入你你辦公室的的同事使用用你的電腦腦。如果作作為工作站站，還沒有有太大的問問題，但是是如果作為為服務(wù)器任任何非專業(yè)業(yè)的操作都都有可能導(dǎo)導(dǎo)致系統(tǒng)不不穩(wěn)定。所所以，服務(wù)務(wù)器必須加加上物理鎖鎖，以防止止其他人的的使用。使使用密碼當(dāng)當(dāng)然也可以以，但是遠(yuǎn)遠(yuǎn)遠(yuǎn)不如物物理鎖來的的直接和實(shí)實(shí)在。而且且您還可以以有絕佳的的借口可以以絕對的禁禁止其他人人員對您電電腦的使用用。（鑰匙匙在經(jīng)理那那里，要不不，您管他他要去？）UPS以及及發(fā)電機(jī)電子商務(wù)優(yōu)優(yōu)勝于傳統(tǒng)統(tǒng)商務(wù)模式式的一個(gè)顯顯著特點(diǎn)就就是它可以以24小時(shí)時(shí)不間斷地地提供服務(wù)務(wù)。但是，前前提是您的的服

4、務(wù)器同同樣能夠224小時(shí)來來服務(wù)。經(jīng)經(jīng)過了20004年拉拉閘限電的的夏天，沒沒有人認(rèn)為為一臺UPPS的投入入會是多余余的。對于于服務(wù)器來來說，UPPS的好處處還在于它它能夠?qū)㈦婋娏鬟^濾穩(wěn)穩(wěn)定地輸出出，以保證證服務(wù)器在在一個(gè)良好好的環(huán)境里里運(yùn)行。如如果公司的的服務(wù)器不不止一臺，而而且公司處處于像大連連這樣的能能源消耗大大城市，一一臺發(fā)電機(jī)機(jī)還是必要要的。好好好的維護(hù)它它，每周運(yùn)運(yùn)行一次來來檢查他是是否能夠正正常工作。不要覺得得麻煩，麻麻痹是安全全最大的敵敵人2.3 對對付災(zāi)難的的方法備份！就如這個(gè)世世界上沒有有不會被攻攻破的城市市一樣同樣樣不存在絕絕對安全的的服務(wù)器，操操作系統(tǒng)的的漏洞，代代碼的

5、不安安全，管理理人員的疏疏忽都有可可能造成具具有寶貴數(shù)數(shù)據(jù)服務(wù)器器的崩潰。崩潰不是是DOOMM，但是前前提是您必必需有服務(wù)務(wù)器中數(shù)據(jù)據(jù)的備份。一提到備備份，對于于某些人來來講，不過過是將網(wǎng)站站的所有數(shù)數(shù)據(jù)刻錄到到光盤上的的過程而已已。但是，對對于電子商商務(wù)網(wǎng)站，如如果處理的的數(shù)據(jù)過多多，是不可可能通過這這樣的手段段來實(shí)現(xiàn)的的。經(jīng)過培培訓(xùn)的人員員或許會想想到磁帶機(jī)機(jī)以及實(shí)時(shí)時(shí)備份的技技術(shù)，這的的確是一個(gè)個(gè)解決方案案。但是，簡簡單的通過過設(shè)備來備備份并不能能夠在最危危機(jī)的時(shí)刻刻顯示它的的作用。在在911事事件發(fā)生后后，原來世世貿(mào)大廈中中60%以以上的企業(yè)業(yè)都倒閉了了，原因就就是缺乏足足夠的資料料以

6、及數(shù)據(jù)據(jù)能夠讓他他們恢復(fù)被被襲擊之前前的業(yè)務(wù)。所以，如如果您想讓讓您的數(shù)據(jù)據(jù)真正的備備份那么最最好的辦法法就是在遠(yuǎn)遠(yuǎn)離公司的的異地辦事事處設(shè)定一一個(gè)備份中中心。威力力再大的核核彈也不可可能摧毀整整個(gè)中國，這這是最安全全的備份方方案。對于于數(shù)據(jù)比較較少的情況況下，可以以選擇在萬萬維網(wǎng)上建建立vpnn連接異地地雙機(jī)熱備備份的方法法。當(dāng)然，對對于實(shí)施電電子商務(wù)這這種數(shù)據(jù)比比較多地中中小型企業(yè)業(yè)來說，這這樣也比較較奢侈，而而且不太可可能實(shí)現(xiàn)。我個(gè)人認(rèn)認(rèn)為最優(yōu)的的方案仍然然是通過設(shè)設(shè)備磁帶機(jī)機(jī)，或者其其他設(shè)備，但但是，請將將保存資料料的東西放放進(jìn)保險(xiǎn)柜柜。保險(xiǎn)柜柜是每個(gè)企企業(yè)都有的的設(shè)備，而而且現(xiàn)在的的

7、保險(xiǎn)柜都都是防水，防防火，防砸砸的。這樣樣，即使發(fā)發(fā)生了自然然災(zāi)害也能能夠很好的的保證數(shù)據(jù)據(jù)的完整性性。3.網(wǎng)絡(luò)安安全3.1 拓拓?fù)浒踩话銇碚f，我我國的中小小型企業(yè)所所采用的網(wǎng)網(wǎng)絡(luò)拓?fù)浯蟠蠖酁楹唵螁蔚臉湫徒Y(jié)結(jié)構(gòu)。只有有一級路由由設(shè)備來實(shí)實(shí)現(xiàn)工作組組的支持和和寬帶網(wǎng)絡(luò)絡(luò)的共享。（見圖11）ADSL modem交換機(jī)萬維網(wǎng)路由器圖1：普通通企業(yè)單層層路由樹形形網(wǎng)絡(luò)拓?fù)鋼溥@樣的拓?fù)鋼浣Y(jié)構(gòu)優(yōu)點(diǎn)點(diǎn)非常明顯顯，可以將將投資降到到最小。但但是，同時(shí)時(shí)它的危險(xiǎn)險(xiǎn)性也非常常明顯。因因?yàn)樗械牡目蛻舳硕级纪娮由躺虅?wù)服務(wù)器器在同一個(gè)個(gè)網(wǎng)段，（ffor eexampple: 1922.168

8、8.1.2254）當(dāng)當(dāng)電子商務(wù)務(wù)服務(wù)器被被入侵后，企企業(yè)內(nèi)部網(wǎng)網(wǎng)絡(luò)的所有有客戶端都都將暴露在在黑客的視視線內(nèi)，內(nèi)內(nèi)部的網(wǎng)絡(luò)絡(luò)通訊以及及計(jì)算機(jī)上上面的文檔檔都將有可可能被黑客客所得到。為了避免這這樣的“慘劇”發(fā)生。我我建議對網(wǎng)網(wǎng)絡(luò)進(jìn)行多多重路由的的部署，即即將電子商商務(wù)服務(wù)器器部署成“非軍事化化區(qū)”（DMZZ），占用用獨(dú)立的網(wǎng)網(wǎng)段。將企企業(yè)內(nèi)部網(wǎng)網(wǎng)絡(luò)同電子子商務(wù)服務(wù)務(wù)器的網(wǎng)段段分開。因因?yàn)椴煌牡木W(wǎng)段如果果沒有中繼繼是無法進(jìn)進(jìn)行通訊的的，即便黑黑客入侵了了電子商務(wù)務(wù)服務(wù)器，也也無法獲取取企業(yè)內(nèi)部部的信息。下面的圖22就是一個(gè)個(gè)典型的多多網(wǎng)段的拓拓?fù)浣Y(jié)構(gòu)。每個(gè)路由由器控制一一個(gè)網(wǎng)段，不不同的網(wǎng)段段

9、之間可以以進(jìn)行相應(yīng)應(yīng)的設(shè)置。多網(wǎng)段的一一個(gè)好處就就是可以隨隨意的設(shè)置置每個(gè)網(wǎng)段段的相關(guān)屬屬性，比如如路由A所所控制的網(wǎng)網(wǎng)段A，由由于電子商商務(wù)服務(wù)器器在他的網(wǎng)網(wǎng)段中運(yùn)行行，存在著著一定的危危險(xiǎn)性，可可以設(shè)置成成不允許他他訪問其他他的內(nèi)網(wǎng)網(wǎng)網(wǎng)段。而路路由B所控控制的網(wǎng)段段，假設(shè)為為保密部門門，可以設(shè)設(shè)定他只能能訪問內(nèi)部部網(wǎng)絡(luò)卻無無法訪問互互聯(lián)網(wǎng)。多層拓?fù)涞牡牧硗庖粋€(gè)個(gè)好處就是是可以部署署多層次防防火墻。打打個(gè)比方，多多層次防火火墻的功能能就好比戰(zhàn)戰(zhàn)場上的多多重防線，如如果只被攻攻破了一層層防火墻，后后面還有另另外的防火火墻來阻止止“敵人”的進(jìn)一步步進(jìn)攻。圖2：合理理的網(wǎng)絡(luò)拓拓?fù)?.2防火火墻3.

10、2.11 軟件防防火墻，或或者硬件防防火墻的選選擇。圖1所涉及及到的拓?fù)鋼溥€有一個(gè)個(gè)非常明顯顯的問題就就是，沒有有防火墻。我個(gè)人認(rèn)認(rèn)為不安裝裝防火墻就就連接到互互聯(lián)網(wǎng)的行行為無異于于赤身裸體體的出現(xiàn)在在硝煙彌漫漫的戰(zhàn)場，結(jié)結(jié)果當(dāng)然只只有一個(gè)。同個(gè)人使用用的終端電電腦所不同同的是電子子商務(wù)服務(wù)務(wù)器必須開開放相應(yīng)的的服務(wù)端口口，來允許許對方的訪訪問。正如如您所知道道的，多開開放一個(gè)端端口，您的的服務(wù)器危危險(xiǎn)性就相相應(yīng)的增加加一些。還還有，很讓讓人無奈的的DDOSS攻擊，很很無聊的做做法，但是是往往有很很多無聊的的人愿意這這么無聊的的做。如果果沒有防火火墻，安全全穩(wěn)定的運(yùn)運(yùn)行往往就就是一句空空話。對

11、于網(wǎng)絡(luò)資資金預(yù)算比比較充裕的的企業(yè)往往往在防火墻墻的選擇上上會偏好于于硬件防火火墻。但是是對于網(wǎng)絡(luò)絡(luò)安全這樣樣一個(gè)并不不能夠直接接產(chǎn)生利潤潤的部門，資資金預(yù)算充充裕的恐怕怕是寥寥無無幾。還有有一點(diǎn)值得得注意的就就是我對有有些硬件防防火墻的性性能表示懷懷疑。有些些廠商所生生產(chǎn)的硬件件防火墻，幾幾乎就是臺臺式機(jī)+llinuxx+防火墻墻的組合體體。而使用用軟件防火火墻，我們們有可能比比它做得更更好。所以以我建議您您選擇軟件件防火墻。3.2.22 軟件防防火墻ISSA seerverr 20004涉及到防火火墻我們就就必須提一一下防火墻墻的原理。大家都知知道，網(wǎng)絡(luò)絡(luò)通信的概概念性標(biāo)準(zhǔn)準(zhǔn)框架是國國際標(biāo)

12、準(zhǔn)化化組織（IISO）提提出的OSSI 開放放式系統(tǒng)互互聯(lián)模型。（見圖33）圖3：OSSI網(wǎng)絡(luò)結(jié)結(jié)構(gòu)的七層層模型 /chinese/protocols/model.php OSI網(wǎng)絡(luò)結(jié)構(gòu)的七層模型作者：ISO國際標(biāo)準(zhǔn)化組織網(wǎng)絡(luò)防火墻墻從本質(zhì)上上來講，就就是一個(gè)過過濾器，它它讓合乎規(guī)規(guī)則的通訊訊協(xié)議及數(shù)數(shù)據(jù)包通過過，讓不合合乎規(guī)則的的通訊協(xié)議議及數(shù)據(jù)包包丟掉。而而傳統(tǒng)的防防火墻一般般來說在第第三層（網(wǎng)網(wǎng)絡(luò)層）以以及第四層層（傳輸層層）上進(jìn)行行過濾。通通過以下因因素決定是是否允許數(shù)數(shù)據(jù)包通過過：連接狀狀態(tài)；源地地址和目標(biāo)標(biāo)地址；源源端口和目目標(biāo)端口。這樣的過過濾好處是是能夠?qū)⒉徊辉试S通訊訊的端口完

13、完全堵死，比比如不使用用的ftpp端口211，或者不不使用的vvpn端口口17233。但是他他的缺點(diǎn)就就是他無法法阻止合法法端口的不不合法請求求。例如，一般般公司中都都禁止使用用QQ軟件件以免員工工工作的時(shí)時(shí)候不安心心工作，禁禁止QQ的的通訊方法法一般是禁禁止他相應(yīng)應(yīng)的服務(wù)端端口來實(shí)現(xiàn)現(xiàn)的。但是是，上有政政策，下有有對策。員員工會偷偷偷的安裝代代理服務(wù)器器，將原來來端口發(fā)送送的數(shù)據(jù)包包通過普通通的互聯(lián)網(wǎng)網(wǎng)端口800端口來發(fā)發(fā)送。一般般的防護(hù)墻墻對于這樣樣的數(shù)據(jù)包包及協(xié)議，完完全無能為為力。微軟的ISSAserrver卻卻能夠提供供基于應(yīng)用用層上的過過濾。應(yīng)用用層過濾的的好處在于于，它可以以對數(shù)

14、據(jù)包包進(jìn)行更深深層次的檢檢查。例如如，原來的的一些上傳傳漏洞被發(fā)發(fā)現(xiàn)后很容容易遭到攻攻擊，但是是如果是這這樣的漏洞洞出現(xiàn)在安安裝了ISSA防火墻墻的服務(wù)器器上，卻沒沒有什么問問題。因?yàn)闉镮SA能能夠過濾類類似于“”這樣的非非法字符。非法字符符無法通過過ISA防防火墻，也也就無法利利用這樣的的漏洞。企業(yè)的電子子郵件系統(tǒng)統(tǒng)不斷被垃垃圾郵件騷騷擾也是一一個(gè)很讓人人頭疼的問問題，但是是在部署了了ISA之之后也會獲獲得很好的的效果。原原始的郵件件過濾系統(tǒng)統(tǒng)都是過濾濾主題，或或者發(fā)件人人。而ISSA是基于于應(yīng)用層的的，他能夠夠?qū)﹄娮余]郵件的一部部分內(nèi)容進(jìn)進(jìn)行檢查。這樣就杜杜絕了主題題和發(fā)件人人不一樣，但但

15、是內(nèi)容一一樣的垃圾圾郵件的發(fā)發(fā)送。ISA還可可以實(shí)現(xiàn)的的一個(gè)功能能就是VPPN的安全全架設(shè)。對對于現(xiàn)在的的企業(yè)來說說，出差在在外的人員員如何能夠夠方便的獲獲得企業(yè)內(nèi)內(nèi)部的信息息是一個(gè)比比較麻煩的的問題。并并不是說無無法實(shí)現(xiàn)消消息的傳達(dá)達(dá)，這個(gè)在在現(xiàn)今通信信普及的時(shí)時(shí)代并不是是問題，而而是如何能能夠安全的的獲得企業(yè)業(yè)內(nèi)部的文文件而不被被其他企業(yè)業(yè)之外的人人獲得。VVPN的出出現(xiàn)就很好好的解決了了這個(gè)問題題。ISAA的出現(xiàn)卻卻使得這個(gè)個(gè)問題更加加的容易和和安全。ISA SServeer 20004 的的多網(wǎng)絡(luò)核核心可以讓讓你很輕松松的設(shè)置網(wǎng)網(wǎng)絡(luò)間的訪訪問規(guī)則。和ISAAServeer 20000

16、不不一樣，如如果在ISSA Seerverr 20004 中你你不明確允允許VPNN 客戶訪訪問內(nèi)部網(wǎng)網(wǎng)絡(luò)和本地地主機(jī)（IISA SServeer 20004防火火墻），那那么VPNN 客戶是是不能訪問問的。所以以，我們必必須為VPPN 客戶的訪訪問建立訪訪問規(guī)則?，F(xiàn)在，我們們建立一條條訪問規(guī)則則，命名為為“允許內(nèi)部部網(wǎng)絡(luò)和VVPN 客客戶之間的的互訪”，如下圖所示：VPN訪問問已經(jīng)建立立。3.3無線線網(wǎng)絡(luò)有句廣告詞詞是這么寫寫的，“無線網(wǎng)絡(luò)絡(luò)，無限可可能?！蹦募夜舅境龅耐浻浟?，不過過無線網(wǎng)絡(luò)絡(luò)的出現(xiàn)的的確讓我們們的網(wǎng)絡(luò)拓拓?fù)渥兊谩盁o限可能能”。好處我我們這里不不講，我們們這里討論論一下無

17、線線網(wǎng)絡(luò)的安安全問題。無線網(wǎng)絡(luò)絡(luò)的供應(yīng)商商總是把諸諸如無須布布線，容易易擴(kuò)展客戶戶端等好處處給您講解解的天花亂亂墜。卻不不會提及這這樣做的危危險(xiǎn)。好處處很多，同同樣，危險(xiǎn)險(xiǎn)一樣也是是很多。比比如說：如如果您沒有有設(shè)備阻止止網(wǎng)絡(luò)信息息的外泄，就就千萬不要要部署這樣樣的無線網(wǎng)網(wǎng)絡(luò)。否則則任何一個(gè)個(gè)擁有無線線網(wǎng)絡(luò)設(shè)備備的筆記本本在您公司司的周圍轉(zhuǎn)轉(zhuǎn)一圈，您您公司的資資料就會丟丟失。要避免“邪邪惡雙子星星”這樣的事事情發(fā)生。所謂“邪惡雙子子星”就是通過過從靠近無無線客戶端端的一個(gè)基基站上發(fā)射射更強(qiáng)的信信號，干擾擾連接到合合法網(wǎng)絡(luò)的的連接，使使黑客創(chuàng)造造的虛假的的訪問節(jié)點(diǎn)點(diǎn)變成為所所謂的“邪惡雙子子星”

18、。一旦沒沒有意識到到安全威脅脅的用戶連連接到了一一個(gè)“邪惡雙子子星”熱點(diǎn)上，黑黑客就能夠夠截獲傳輸輸?shù)臄?shù)據(jù)。用戶能夠夠被偽造的的登錄提示示誘惑，登登錄到“邪惡雙子子星”熱點(diǎn)上，并并被誘騙透透露用戶名名、密碼等等機(jī)密資料料。 HYPERLINK /news/net/story/0,3800050307,39339280,00.htm /news/net/story/0,3800050307,39339280,00.htm 研究:“邪惡雙子星”熱點(diǎn)成互聯(lián)網(wǎng)用戶最新威脅作者： CNET科技資訊網(wǎng)在這里需要要提醒各位位的就是，對對于新興的的技術(shù)必須須經(jīng)過周全全的考慮才才能夠投入入到使用。4系統(tǒng)安安全4

19、.1密碼碼安全這個(gè)問題的的確有點(diǎn)老老生常談，但但卻不能不不提。從wwindoows誕生生的那天起起，這個(gè)問問題幾乎在在每次的安安全論壇上上都會被提提出。但是是往往被普普通用戶所所忽視。如果您的密密碼泄露，黑黑客所需要要的時(shí)間只只是10分分鐘，就可可以掌握您您電腦中的的一切資料料。（由于于先天缺陷陷，winndowss98系統(tǒng)統(tǒng)不再這個(gè)個(gè)討論之列列。）無論是wiindowws20000還是wwindoowsXPP，它的默默認(rèn)管理員員賬號都是是admiinisttratoor，空密密碼。而且且在winndowssXP系統(tǒng)統(tǒng)里面一個(gè)個(gè)比較“弱智”的設(shè)置就就是當(dāng)您建建立了另外外一個(gè)管理理員帳戶后后，您

20、正常常登陸的時(shí)時(shí)候無法看看見admminisstrattor這個(gè)個(gè)賬號。這這樣，一些些用戶就以以為他的機(jī)機(jī)器里面并并沒有這個(gè)個(gè)帳戶。但但是這個(gè)帳帳戶的的確確確是存在在的。例如：1992.1668.1.144這這臺機(jī)器里里有這個(gè)默默認(rèn)的帳戶戶，空密碼碼。您想看看他D盤根根目錄下都都有什么文文件，您可可以在您的的開始，運(yùn)運(yùn)行中輸入入。 HYPERLINK file:/44D$ 1192.1168.11.1444D$，然然后在彈出出的窗口中中填入賬號號和密碼就就可以訪問問他的D盤盤了。類似于D$,C$這這樣的共享享是計(jì)算機(jī)機(jī)的默認(rèn)共共享，而且且每次重新新啟動計(jì)算算機(jī)之后他他都會出現(xiàn)現(xiàn)，除非您您的電腦

21、上上安裝防火火墻，阻止止任何人對對默認(rèn)共享享的連接，否否則，如此此簡單的一一個(gè)漏斗就就會讓您的的電腦毫無無秘密可言言。而如果是另另外的一些些人，就比比如說我，如如果我掌握握了您的密密碼，我可可以在5分分鐘之內(nèi)在在您的電腦腦上建立一一個(gè)隱藏了了的系統(tǒng)管管理員賬號號，除非您您察看注冊冊表，否則則您無法發(fā)發(fā)現(xiàn)它的存存在。又或或者，我可可以將一個(gè)個(gè)加殼了的的，無法被被殺毒軟件件查出來的的木馬方在在您的電腦腦中，監(jiān)視視您鍵盤，甚甚至屏幕的的一舉一動動。請保存好您您的密碼。還有一個(gè)值值得爭議的的問題就是是密碼的脆脆弱性，微微軟金牌講講師孔文達(dá)達(dá)先生說過過“越對你熟熟悉的人越越能夠猜中中你的密碼碼，因?yàn)槟隳?/p>

22、的密碼往往往和你自自己有著這這樣或者那那樣的聯(lián)系系。”的確是這這樣，有的的時(shí)候您自自己認(rèn)為非非常棒的一一個(gè)密碼往往往會被熟熟悉您的人人在幾分鐘鐘內(nèi)就攻破破。所以，選選擇一個(gè)好好的密碼也也是十分重重要的。如如果對自己己的密碼不不是特別放放心，那就就下載一個(gè)個(gè)暴力破解解的軟件，來來測試自己己的密碼是是否可靠。4.2IIIS環(huán)境安安全4.2.11單獨(dú)設(shè)置置IIS服服務(wù)器。如果可能，IIIS應(yīng)該該安裝在一一個(gè)單獨(dú)的的服務(wù)器上上。就是說說，這個(gè)服服務(wù)器不是是任何域中中的成員，不不必與域控控制器建立立Netllogonn信道，從從而降低通通過服務(wù)器器之間連接接而建立起起來的空用用戶連接所所帶來的安安全風(fēng)險(xiǎn)

23、。由于系統(tǒng)統(tǒng)之間不傳傳遞認(rèn)證通通訊信息，也也就降低了了登錄口令令被截獲的的可能。還還有，可以以利用上問問所提到的的不同網(wǎng)段段加多重防防火墻策略略來防止黑黑客以服務(wù)務(wù)器為跳板板進(jìn)行攻擊擊。4.2.22禁止不需需要的服務(wù)務(wù)禁止掉不需需要的服務(wù)務(wù)，原因：第一，每每個(gè)服務(wù)都都會占用一一定的資源源，關(guān)閉了了對于系統(tǒng)統(tǒng)性能有所所提升。第第二，多一一項(xiàng)服務(wù)就就會多一些些開放的漏漏洞。而且且如果您沒沒有開放該該服務(wù)，就就算該服務(wù)務(wù)存在漏洞洞也不會對對您的服務(wù)務(wù)器產(chǎn)生影影響。4.2.33合理設(shè)置置Web根根文件夾建議將Weeb根文件件夾wwwwroott定位在操操作系統(tǒng)分分區(qū)以外的的位置。當(dāng)設(shè)置Weeb站點(diǎn)的的

24、虛擬目錄錄或重定向向文件夾時(shí)時(shí)，也要保保證這些目目錄不會被被重定向到到操作系統(tǒng)統(tǒng)的啟動分分區(qū)，因?yàn)闉橛行┕魮裟軌蛭＜凹霸L問文件件夾所在分分區(qū)上的其其它文件夾夾。 還有有一種安全全處理方式式就是把WWeb根文文件夾設(shè)置置到另一個(gè)個(gè)服務(wù)器上上，使IIIS服務(wù)器器成為一個(gè)個(gè)只緩沖請請求、應(yīng)答答請求的系系統(tǒng)。而且且，經(jīng)過這這樣處理后后，其上沒沒有存儲任任何內(nèi)容，即即使站點(diǎn)遭遭到攻擊而而癱瘓，也也可以從磁磁帶或其它它備份中快快速進(jìn)行恢恢復(fù)。 4.2.44重命名重重要系統(tǒng)文文件操作系統(tǒng)中中有許多非非常重要的的文件，它它們就象“雙刃劍”，既可以以讓管理員員方便地執(zhí)執(zhí)行維護(hù)工工作，又可可能被攻擊擊者利用進(jìn)進(jìn)

25、行破壞活活動。為此此，建議對對這些文件件進(jìn)行刪除除、重命名名或者為其其設(shè)置NTTFS權(quán)限限，目的就就是使攻擊擊者再也找找不到熟悉悉的面孔。這些文件件包括： XCOPPY.EXXE att.exee reggeditt.exee caccls.eexe rregeddt32.exe edliin.exxe rssh.exxe fiingerr.exee runnas.eexe fftp.eexe nnet.eexe ttraceert.eexe nnetshh.exee tskkill.exe poleedit.exe cmd.exe regiini.eexe ccscriipt.eexe rr

26、egsrrv32.exe tftpp.exee nettstatt.exee isssync.exe runoonce.exe telnnet.eexe ddebugg.exee rexxec.eexe wwscriipt.eexe4.2.55刪除危險(xiǎn)險(xiǎn)的IISS組件 默認(rèn)安裝后后的有些IIIS組件件可能會造造成安全威威脅，應(yīng)該該從系統(tǒng)中中去掉，所所謂“多一事，不不如少一事事”。以下是是一些“黑名單”參考，請請酌情考慮慮Interrnet服服務(wù)管理器器（HTMML）：這這是基于WWeb 的的IIS服服務(wù)器管理理頁面，一一般情況下下不應(yīng)通過過Web進(jìn)進(jìn)行管理，建建議卸載它它；樣本頁面和和腳本：這

27、這些樣本中中有些是專專門為顯示示IIS的的強(qiáng)大功能能設(shè)計(jì)的，但但同樣可被被用來從IInterrnet上上執(zhí)行應(yīng)用用程序和瀏瀏覽服務(wù)器器，這不是是好事情，建建議刪除；Win2KK資源工具具箱 或IIIS資源源工具箱：這些由專專家編寫的的軟件大概概是現(xiàn)在最最好的黑客客工具了，其其中有許多多項(xiàng)目可以以被攻擊者者利用從服服務(wù)器上提提取信息、進(jìn)行破壞壞；SMTP和和NNTPP：如果不不打算使用用服務(wù)器轉(zhuǎn)轉(zhuǎn)發(fā)郵件和和提供新聞聞組服務(wù)，就就刪除這些些項(xiàng)目吧。否則，別別因?yàn)樗鼈儌兊穆┒磶硇碌牟徊话踩?；Interrnet打打?。篒nnternnet打印印是Winn2K中的的一個(gè)新特特性，它提提供了通過過In

28、teernett將打印作作業(yè)題交給給打印機(jī)的的方式。但但是由于網(wǎng)網(wǎng)絡(luò)上的打打印機(jī)是通通過一個(gè)WWeb頁面面進(jìn)行訪問問并管理的的，所以也也就使系統(tǒng)統(tǒng)增加了許許多受到利利用的可能能。 4.2.66簡化IIIS5中的的驗(yàn)證方法法Win2KK和IISS5緊密結(jié)結(jié)合的一點(diǎn)點(diǎn)就體現(xiàn)在在它們共享享了驗(yàn)證的的功能和方方法，這包包括：匿名名訪問、基基本驗(yàn)證（密密碼用明文文送出）、Winddows域域服務(wù)器的的簡要驗(yàn)證證、集成WWindoows驗(yàn)證證等等。 對于大多多數(shù)Webb站點(diǎn)來說說，有匿名名訪問或基基本認(rèn)證就就足夠了，或或者干脆只只保留匿名名訪問形式式。最簡單單的往往是是最有效的的！4.2.77為IISS5

29、中的文文件分類設(shè)設(shè)置權(quán)限除了在操作作系統(tǒng)級別別為IISS5的文件件設(shè)置必要要的權(quán)限外外，還要在在IIS管管理器中為為它們設(shè)置置權(quán)限，以以期做到雙雙保險(xiǎn)。一一般而言，對對一個(gè)文件件夾永遠(yuǎn)也也不應(yīng)同時(shí)時(shí)設(shè)置寫和和執(zhí)行權(quán)限限，以防止止攻擊者向向站點(diǎn)上傳傳并執(zhí)行惡惡意代碼。還有目錄錄瀏覽功能能也應(yīng)禁止止，預(yù)防攻攻擊者把站站點(diǎn)上的文文件夾瀏覽覽個(gè)遍最后后找到“不忠的壞壞分子”。一個(gè)好好的設(shè)置策策略是：為為Web 站點(diǎn)上不不同類型的的文件都建建立目錄，然然后給它們們分配適當(dāng)當(dāng)權(quán)限。4.2.88全力保護(hù)護(hù)IIS metaabasee IIS MMetabbase保保存著包括括口令在內(nèi)內(nèi)的幾乎IIIS配置置各

30、個(gè)方面面的內(nèi)容，而而且這些信信息都以明明文形式存存儲，因此此保護(hù)它至至關(guān)重要。建議采取取如下措施施：把HTTPP和FTPP根文件夾夾從%syystemmroott%下移走走；慎重考慮重重新命名MMetabbase和和移動Meetabaase位置置 ；安全設(shè)置確確定Mettabasse位置的的注冊表關(guān)關(guān)鍵字；審核所有試試圖訪問并并編輯Meetabaase的失失敗日志；刪除文件%systtemrooot%systtem322ineetserrvIiissynnc.exxe；為Metaabasee文件設(shè)置置以下權(quán)限限：Admminisstrattors/完全控制制，Sysstem/完全控制制。 經(jīng)過

31、如上的的努力，一一個(gè)安全的的IIS環(huán)環(huán)境就已經(jīng)經(jīng)建立了。以上設(shè)置只只適用于wwindoows20000seerverr系列操作作系統(tǒng)。5代碼安安全代碼安全是是現(xiàn)在所有有的程序員員都應(yīng)該注注意的。因因?yàn)榛诼┞┒吹?，木木馬的攻擊擊方式在網(wǎng)網(wǎng)絡(luò)管理人人員的安全全意識日益益加強(qiáng)的今今天，已經(jīng)經(jīng)很難實(shí)現(xiàn)現(xiàn)。于是黑黑客目前越越來越傾向向于進(jìn)行應(yīng)應(yīng)用層面的的代碼漏洞洞的進(jìn)攻，下下面我以著著名的“動網(wǎng)上傳傳漏洞”為例闡述述安全代碼碼的重要性性。我們先看一一下動網(wǎng)論論壇上傳文文件的相關(guān)關(guān)代碼:“=無組件上上傳(upploadd_0)=sub uuploaad_0()set uuploaad=neew UppF

32、ilee_Claass 建立上上傳對象uploaad.GeetDatte (iint(FForumm_Setttingg(56)*10024) 取取得上傳數(shù)數(shù)據(jù),不限限大小iCounnt=0if upploadd.errr 00 theen sselecct caase uuploaad.errr ccase 1 RRespoonse.Writte 請請先選擇你你要上傳的的文件 重新新上傳 ccase 2 RRespoonse.Writte 圖圖片大小超超過了限制制 &FForumm_Setttingg(56)&K 重重新上傳 eend sselecct eexit sub eelseform

33、PPath=uplooad.fform(fillepatth)在目錄錄后加(/)if riight(formmPathh,1)/ theen foormPaath=fformPPath&/ for eeach formmNamee in uplooad.ffile 列出出所有上傳傳了的文件件set ffile=uplooad.ffile(formmNamee) 生成一一個(gè)文件對對象if fiile.ffilessize100 thenn rrespoonse.writte 請請先選擇你你要上傳的的圖片 重新新上傳 rrespoonse.endend iiffileEExt=llcasee(fi

34、lle.FiileExxt)if ChheckFFileEExt(ffileEEXT)=falsse thhen rrespoonse.writte 文文件格式不不正確 重新新上傳 rrespoonse.endend iifrandoomizeeranNuum=innt(900000*rnd)+100000filenname=formmPathh&yeaar(noow)&mmonthh(noww)&daay(noow)&hhour(now)&minnute(now)&seccond(now)&rannNum&.&fileeExtif fiile.FFileSSize0 thhen 如果 Fil

35、eeSizee 00 說明有有文件數(shù)據(jù)據(jù) fille.SaaveTooFilee Serrver.mapppath(fileenamee) 保存存文件 reesponnse.wwritee fille.FiilePaath&ffile.FileeNamee& (&fiile.FFileSSize&) = &formmPathh&Fille.FiileNaame& 成功!respoonse.writte pparennt.doocumeent.fformss0.myfaace.vvaluee=&FileeNamee& iCoount=iCouunt+11end iifset ffile=noth

36、hingnextset uuploaad=noothinngsessiion(upfaace)=dooneHtmennd iCCountt& 個(gè)個(gè)文件上傳傳結(jié)束!end iifend ssub”其中有這么么一句代碼碼： “fileenamee=forrmPatth&yeear(nnow)&montth(noow)&dday(nnow)&hourr(noww)&miinutee(noww)&seecondd(noww)&raanNumm&.&filleExtt”其中變量ffilenname是是要保存上上傳頭像的的文件名, filleExtt是要保存存文件的后后綴。下面面我們來看看看判斷后后綴的依據(jù)據(jù)從何而來來。 reg_uuploaad.assp中部分分代碼如下下： “ ” HYPERLINK /Article_Show.asp?ArticleID=13