如筆者企業(yè)，把OA系統(tǒng)、郵箱系統(tǒng)的入口都捆綁在WEB服務(wù)器上。故WEB服務(wù)器安全是筆者眾多工作中的重中之重。

為了提高WEB服務(wù)器的安全性，有眾多的方法。在這里，筆者要向大家推薦的主要是三種方法。如果只想通過這三種方法來保障WEB服務(wù)器的安全當(dāng)然是遠(yuǎn)遠(yuǎn)不夠的。但是，若企業(yè)信息化管理人員若疏忽了這三個方面的內(nèi)容，則WEB服務(wù)器的安全性是很難保障的。

利器一：為WEB應(yīng)用建立獨(dú)立的服務(wù)器。

由于WEB服務(wù)器可能遭受到的攻擊，比ERP系統(tǒng)、辦公自動化系統(tǒng)等應(yīng)用服務(wù)器的幾率高的多。所以，若把這些應(yīng)用放在WEB應(yīng)用同一個服務(wù)器中，則弱WEB服務(wù)器遭受到攻擊，則很有可能殃及到ERP等關(guān)鍵應(yīng)用。

筆者企業(yè)中雖然把OA系統(tǒng)的接口綁定在WEB服務(wù)器上，但是，OA系統(tǒng)與WEB應(yīng)用仍然在不同的應(yīng)用服務(wù)器上。這主要是為了方便員工從企業(yè)外部訪問 OA系統(tǒng)。如此的好處，就是當(dāng)WEB服務(wù)遭受到攻擊不能使用時，最多員工無法從企業(yè)外部訪問OA系統(tǒng)；而不影響企業(yè)內(nèi)部員工的正常訪問。

不過，筆者以前就犯過類似的錯誤。那時，企業(yè)由于資金緊張，就把WEB服務(wù)器與ERP系統(tǒng)服務(wù)器部署在同一個服務(wù)器上。突然有一天企業(yè)的WEB服務(wù)器遭受到了不明身份的人的攻擊。他們可能只是出于好玩吧，沒有對WEB服務(wù)器產(chǎn)生多大的危害。只是CPU與內(nèi)存的使用率居高不下。當(dāng)把WEB服務(wù)器跟外網(wǎng)斷開好，就恢復(fù)正常了。但是，這就使得同一個服務(wù)器上的ERP應(yīng)用無法運(yùn)作。企業(yè)員工每次輸入一張銷售訂單，從原來的3分鐘變?yōu)楝F(xiàn)在的30分鐘。這么慢的速度顯然很難讓人接受。從這個事件中，讓筆者懂得了一個真理，把企業(yè)內(nèi)部應(yīng)用放在WEB服務(wù)器上是一個非常不明智的做法。由于WEB服務(wù)器其面向的是互聯(lián)網(wǎng)，所以，其很容易遭受到別人的惡意攻擊。殃及池魚，受到攻擊后，連企業(yè)內(nèi)部的應(yīng)用服務(wù)都會受到牽連。

所以，筆者第一個要提醒大家的就是，在部署服務(wù)器的時候，做好讓W(xué)EB等面向互聯(lián)網(wǎng)的應(yīng)用服務(wù)跟其他面向內(nèi)部的應(yīng)用服務(wù)在不同的服務(wù)器上部署。這在保障WEB服務(wù)器安全的同時，也提高了企業(yè)其他應(yīng)用服務(wù)的安全性。

利器二：事務(wù)日志，讓你對WEB運(yùn)行狀況了如指掌。

其實，WEB服務(wù)器只要采取一定的保護(hù)措施，則攻擊就需要一個過程，不是說在一個短時間內(nèi)就可以完成的。通常情況下，這個攻擊的過程往往會在WEB 服務(wù)器的事務(wù)日志中留下蛛絲馬跡。如非法攻擊者視圖通過密碼字典破解工具，嘗試網(wǎng)站管理員的口令與密碼的時候，就會在WEB服務(wù)器的日志中留下紀(jì)錄。如果我們在事務(wù)審核中，設(shè)置當(dāng)用戶密碼最多輸入錯誤次數(shù)的話，則當(dāng)超過這個最大次數(shù)的時候，服務(wù)器就會在自己的日志中紀(jì)錄這條信息。此時，若網(wǎng)站管理人員可以看到這條信息，則他們就可以及時的采取措施，如更改復(fù)雜密碼等手段，來提高服務(wù)器的安全性。

所以，每一個WEB服務(wù)器的管理人員都必須要重視事務(wù)日志的重要性。同時，為了讓事務(wù)日志發(fā)揮更大的作用，往往需要啟用審核功能。通過審核事件跟系統(tǒng)日志結(jié)合起來，可以讓日志服務(wù)器紀(jì)錄一些常見的攻擊行為。從而給企業(yè)安全人員提供參考。否則的話，企業(yè)安全人員都不知道那里受到攻擊了，那么他們也就根本無法進(jìn)行及時的應(yīng)對。

不過話說話來，有些高手攻擊企業(yè)WEB服務(wù)后，不會再事務(wù)日志上留下任何痕跡。這并不是說事務(wù)日志不管用了。而是因為他們在結(jié)合攻擊后，會修改事務(wù)日志的信息。如某個攻擊者竊取了管理員用戶與密碼后訪問企業(yè)網(wǎng)站中的機(jī)密信息。一般情況下，這個訪問紀(jì)錄會在事務(wù)日志中有所顯示。但是，一些高手會在推出之前修改事務(wù)日志。刪除這些訪問信息，或者更改訪問者。讓企業(yè)安全管理人員無從查起。為了讓他們無法更改事務(wù)日志文件，則最好的方法就是更改事務(wù)日志文件的路徑，并對其進(jìn)行及時的備份。由于不知道路徑的真確位置，所以，及時不法攻擊者想攻擊想修改日志隱藏自己的蹤跡，都不可能。