Yandex搜索网站安全基础知识

Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.

Декабрь 2007 г.

设计、构建或使用安全网站的第一步是确保托管它的服务器尽可能安全。

一个Web服务器是由几层软件组成的，每一层软件都会受到多种攻击方式，如下图所示。请记住：任何块都可能成为攻击的目标。

任何服务器的核心都是操作系统。确保其安全性相对简单：按时安装最新的安全更新就足够了。这不是最费力的任务，因为 Microsoft 系统[1]和 Linux 家族的许多成员允许组织自动安装补丁或一键运行补丁。

请记住，黑客也倾向于自动化他们的攻击，使用恶意软件爬取一个接一个的服务器以搜索尚未安装更新的服务器。在这方面，确保及时和适当地安装更新非常重要；任何安装了过时更新的服务器都可能受到攻击。

您还应该及时更新网络服务器上运行的所有软件。任何不是必备软件（例如，DNS 服务器或远程管理工具，如 VNC 或远程桌面服务）都应禁用或删除。如果您仍需要远程管理工具，请确保您不使用默认密码或容易猜到的密码[2]。本说明不仅适用于远程管理工具，还适用于用户帐户、交换机和路由器。

下一个重点是防病毒软件。它的使用是任何 Web 服务器的强制性要求，无论它是用作 Windows 还是 Unix 平台。当与灵活的防火墙结合使用时，防病毒软件成为抵御安全威胁的最有效方法之一。当 Web 服务器成为攻击目标时，攻击者会立即尝试下载黑客工具或恶意软件，以便在安全漏洞被关闭之前利用它。在没有高质量的防病毒软件包的情况下，安全漏洞可能会在很长一段时间内被忽视。

在保护方面，多层次的方法是最佳的。最前沿的是防火墙和操作系统；它们背后的防病毒软件已准备好填补出现的任何空白。

让我们总结一下：

1. 不要安装不必要的组件。每个组件都带有单独的威胁；它们越多，总风险就越高。

2. 及时安装操作系统和应用程序的安全更新。

3. 使用防病毒软件，打开自动安装更新，并定期检查它们是否安装正确。
   

其中一些任务可能看起来令人生畏，但请记住，一个安全漏洞就足以攻击。潜在风险包括数据和流量盗窃、服务器 IP 黑名单、组织声誉受损和网站不稳定。

下一个最重要的软件是 HTTP 服务器本身。这里最流行的替代品是 IIS 和 Apache。