高校Web服務器安全問題分析與對策

摘要：隨著Web服務在高校中應用越來越廣泛，Web服務器安全問題也成了人們關注熱點。為了確保Web服務器安全運行，筆者通過對Web服務器使用的操作系統(tǒng)平臺、Web軟件安全和操作規(guī)范進行分析和研究，指出存在的安全問題和應采取防范措施，以保證Web服務器正常運行。

關鍵詞：安全策略；服務器；安全；高校網站

中圖分類號：G642 文獻標識碼：A 文章編號：1009-3044（2015）17-0045-02

Universities Web Server Security Analysis and Countermeasures

YANG Deng-pan

（Hainan Software Profession Institute， Qionghai 571400，China）

Abstract： With the Web service in universities more widely， Web server security has become a hot concern. To ensure the safe operation of the Web server， the author analyzes and studies by the operating system platform Web server uses， Web and software security practices， pointing out safety problems and should take precautionary measures to ensure the normal operation of the Web server.

Key words： security policy；server；safety；universities site

隨著網絡技術的快速發(fā)展，高校Web服務應用越來越廣泛，各高校不僅建立門戶網站，同時也建立大量二級網站例如：部門站點、系部站點、招生站點等。這些網站建立成為高校對外的窗口與學校信息化建設的基石。

近年，高校Web服務器每年出現(xiàn)大量的安全問題，如網站被黑、服務器被攻陷、主頁被篡改等，Web服務器的安全問題變得日益突出。作者認證研究與分析Web服務安全問題，積極尋求Web服務器安全隱患，提出解決方案。

1 高校Web服務器存在安全問題及原因分析

目前，高校采購大量的網絡設備（路由器、防火墻、入侵檢查系統(tǒng)）構建信息中心，實現(xiàn)校園信息化建設。作為信息化核心網站建設，高校大多數(shù)利用Linux操作系統(tǒng)部署Web服務器，發(fā)布平臺使用Apache。雖然高校買了很多安全設備，采用較為安全的系統(tǒng)平臺，但是高校的Web服務器仍然存在很多安全問題。

1.1操作系統(tǒng)平臺安全存在隱患

高校大多采用較為安全開源軟件Linux系統(tǒng)構建Web服務器平臺，但是Linux系統(tǒng)內核存在漏洞、系統(tǒng)補丁不更新、打開很多不必要的端口和服務，這些安全隱患比較嚴重。

1.2 軟件存在安全隱患

高校Web服務器大多采用了目前最流行的Apache做為網站發(fā)布軟件，雖然Apache Server提供了較好的安全特性，仍存在很多安全隱患。應加強訪問控制和強制性訪問控制的安全策略設置；使用Apache 的安全模塊；對apache安裝與配置進行安全加固。

1.3 服務器操作不規(guī)范

Web服務使用中有很多不規(guī)范操作也會引起系統(tǒng)安全問題。例如：Web服務器的安全重視不夠，一般建好服務器能用就可以，很少有領導關注服務器的安全怎么樣；服務器密碼不夠安全，很多管理員為了方便使用簡單密碼。

2 高校Web服務器安全應對策略

通過對Web服務器的存在安全隱患深入研究，本文給出Web服務器安全在以下三個方面安全策略。

2.1 服務器平臺安全

Web服務器使用的操作系統(tǒng)平臺是服務器安全核心，雖然Linux操作系統(tǒng)的安全性比較高，高校Web服務器應用時，需要根據實際情況進行相應的安全設置。

⑴及時更新系統(tǒng)

Linux操作系統(tǒng)因為高效、開源成為高校Web服務器主流的系統(tǒng)平臺，被很多高校應用在Web服務器建設中。Linux系統(tǒng)存在漏洞，這些漏洞成為Web系統(tǒng)的安全問題，提升系統(tǒng)安全成為Web服務器安全的首要任務，因此，要及時更新系統(tǒng)，打補丁升級Linux操作系統(tǒng)最新版本，避免系統(tǒng)漏洞給Web服務器造成破壞。比如，Linux Kernel的decode_choices函數(shù)含拒絕服務漏洞，假如沒有更新系統(tǒng)，那么有人會利用該漏洞進行拒絕服務攻擊。

⑵采用安全審計

Linux安全審計主要監(jiān)控系統(tǒng)發(fā)生針對網絡使用、數(shù)據處理，對這些進行分析、追蹤，尋找系統(tǒng)中存在安全隱患。管理者通過安全審計能及時了解Web服務器存在安全問題，采取針對性的措施，提升系統(tǒng)安全。通過系統(tǒng)安全審計，實現(xiàn)Web服務器安全可靠。

⑶調整系統(tǒng)服務和端口

Linux系統(tǒng)作為一款安全的網絡操作系統(tǒng)，本身包含了較很多網絡服務，Linux默認打開這些網絡服務，給予用戶使用的便利，但是作為Web服務器平臺就顯得不是很有利，因為這樣會造成安全隱患。做為Web服務器應主動關閉，不需要的服務和端口，理論上只需要開放80端口。Linux操作系統(tǒng)文件/etc/inetd.conf可以設定系統(tǒng)主要網絡服務，原因是該文件保存系統(tǒng)提供Internet服務的數(shù)據庫。管理者只要在要關閉的服務名前加上#就可以關閉不需要的某項服務，減少系統(tǒng)服務，提高系統(tǒng)安全。

2.2 軟件安全

對Apache軟件應主要進行以下安全設置，增強Web服務器的安全性。

⑴選擇性訪問控制和強制性訪問控制的安全策略

當Web服務器使用apache時，應采用選擇性訪問控制DAC（Discretionary Access Control）和強制性訪問控制MAC（Mandatory Access Control）。這樣的安全策略，極大提升系統(tǒng)安全，當遇到安全問題時，只要不改變服務器安全策略，攻擊者任何努力都將無濟于事。

⑵安全模塊應用

Apache 設計思想是模塊結構，為了保證Apache安全性，引入安全模塊。安全模塊實現(xiàn)Apache的訪問控制、認證、授權等安全服務。例如：基于主機的訪問控制的mod_access模塊能夠實現(xiàn)對Apache服務器的訪問，mod_access模塊主要依據訪問者的IP地址（或域名，主機名等）。控制用戶和組的認證授權（Authentication）采用mod_auth模塊實現(xiàn)。

⑶Apache服務加固

采用Nobody用戶運行的Apache Server，可以降低Apache Server進程以最可能低的權限用戶來運行，以Nobody用戶運行Apache 達到相對安全的目的。

Apache軟件版本信息非常重要，特別是對于有心的網絡危險分子，如果知道Apache軟件版本信息，就會很容易得到Apache默認配置信息。去掉軟件版本信息方法：在/etc/http.conf添加下面ServerSignature off；ServerTokens Pord就可以屏蔽軟件版本。

2.3 Web服務器操作規(guī)范

Web服務器安全不但有技術問題，也有安全管理問題。為了服務器安全，在高校中要建立專業(yè)的管理團隊，同時大力規(guī)范安全操作，要提高安全意識，明確責任劃分，確定Web服務器安全防范的范圍，定期專業(yè)管理團隊進行安全意識與技術培訓，規(guī)范服務器管理者操作，提升服務器安全。

3 結束語

Web服務器安全隱患涉及的安全范圍較廣。主要包括了Web服務器平臺、Web應用軟件、使用規(guī)范的三個方面問題。高校在校園網信息化建設中，需要充分考慮Web服務器安全問題，權衡安全要求來選擇適當相應有效措施保護Web服務器的安全。當然，安全防范是一個永久性的問題，文中給出Web服務器安全解決方案，實際操作中客戶根據實際情況，采取較良安全策略，能極大提升Web服務器安全。

參考文獻：

[1] 黃曉華.高校網站安全問題分析[J].軟件導刊，2014（8）.

[2] 宋斗超.高校網站的安全問題及應對策略探究[J].福建電腦，2013（6）.

[3] 仝素梅.高校網站建設安全問題分析及應對策略[J].網絡安全技術與應用，2015（1）.

[4] 楊登攀.基于Linux系統(tǒng)的安全分析與防范策略[J].福建電腦，2009（5）.

[5] 楊登攀.校園網內部日志審計系統(tǒng)設計與實現(xiàn)[J].電子制作，2014（5）.

[6] 毛鈞.Apache Web服務器安全運行環(huán)境配置總結[J].科技資訊，2007（6）.