WEB服務（wù）器（qì）主要是麵向互聯網的。所以，其是企業（yè）眾（zhòng）多信息化（huà）應用中最（zuì）容易受（shòu）到攻擊的。現在（zài）企（qǐ）業（yè）的（de）WEB應（yīng）用越來越多，特別是其（qí）也逐漸在成為其他信息化應（yīng）用的進口。如筆者企業，把OA係統（tǒng）、郵箱（xiāng）係統的入口都（dōu）捆（kǔn）綁在WEB服務器上。故WEB服務器安全是筆者眾多工作中的重中之重。

為了提高WEB服務器的（de）安全性，有眾多的方法。在這（zhè）裏，筆者要（yào）向大家推薦的主要是（shì）三種方法。如果隻想通過這三種方法來保障WEB服務器的安全當然是遠（yuǎn）遠不夠的。但是，若企業信息（xī）化管理人（rén）員（yuán）若（ruò）疏忽了這三個方麵的內容，則WEB服務（wù）器的安全（quán）性是很（hěn）難保障的。

利器一：為WEB應用建立獨立的服務（wù）器（qì）。

由於（yú）WEB服務器可能遭受到的攻擊，比ERP係統、辦（bàn）公自動化係統等應用服（fú）務（wù）器的幾（jǐ）率高（gāo）的多。所以，若把這些應用（yòng）放在WEB應用同（tóng）一個服務器中（zhōng），則弱WEB服務器遭受到攻擊，則很有可能殃及到ERP等關鍵應（yīng）用。

筆者企業中雖（suī）然（rán）把OA係統的接口綁定在WEB服務器上，但是，OA係統與WEB應用仍然在（zài）不同的應用服務器上。這主要是為了方便員工（gōng）從企業外部訪問OA係統。如此的（de）好（hǎo）處（chù），就是當WEB服務遭受到攻擊不（bú）能使用時，最多員工無法從企業（yè）外（wài）部訪問OA係統;而不影響（xiǎng）企業內部（bù）員工（gōng）的正常訪問。

不過，筆者以前就犯過（guò）類似的（de）錯誤。那時，企（qǐ）業由於資金緊張，就把（bǎ）WEB服（fú）務（wù）器與ERP係統服務器部（bù）署在同一個服（fú）務器上。突然有（yǒu）一天企（qǐ）業（yè）的WEB服務（wù）器遭受（shòu）到了（le）不明身份（fèn）的人（rén）的攻擊。他們可能隻是出（chū）於好（hǎo）玩吧，沒有對WEB服務器產生多大的危害。隻是CPU與內存的使用率居高不（bú）下。當把WEB服務器跟外網斷開好，就（jiù）恢複正常了。但是（shì），這就使得同一個服務器上（shàng）的ERP應（yīng）用（yòng）無法運作。企業員工（gōng）每次輸入一張銷（xiāo）售訂單，從原來的3分鍾變為現在的30分（fèn）鍾（zhōng）。這麽慢的速度（dù）顯然很（hěn）難讓人接（jiē）受。從這個（gè）事件（jiàn）中，讓筆者懂得了一個真（zhēn）理，把企（qǐ）業內部應用放在WEB服務器上是（shì）一個非常不明（míng）智的做（zuò）法。由（yóu）於WEB服務器其（qí）麵（miàn）向的是互聯網，所以，其很（hěn）容（róng）易遭受（shòu）到別人的惡意（yì）攻擊。殃及池魚，受到攻擊後（hòu），連企業內部的應用服務都（dōu）會受到牽連。

所以，筆者第一個要提（tí）醒大（dà）家的就是，在部（bù）署服（fú）務器的時候，做好（hǎo）讓WEB等（děng）麵向互聯網的應用服務（wù）跟其他麵向內部的應用服務（wù）在不同的服務（wù）器上部署。這在保障（zhàng）WEB服務器安全（quán）的同時，也提高了企（qǐ）業其他應用（yòng）服務的安全性。

利器（qì）二：事務日誌（zhì），讓你對WEB運行狀況了如指掌。

其（qí）實（shí），WEB服務器隻要采（cǎi）取（qǔ）一（yī）定的保護措施，則攻擊就需要一個過程，不是說在一個短（duǎn）時間內就可以（yǐ）完成的。通常情況下（xià），這（zhè）個攻擊的過程往往會在（zài）WEB服務器的（de）事務日誌中留下蛛絲馬跡（jì）。如非法攻擊者視圖通過密碼字典破（pò）解工具，嚐試網站管理員的（de）口令與密碼的時候（hòu），就（jiù）會在WEB服務（wù）器（qì）的日誌（zhì）中留（liú）下紀錄。如（rú）果我們在（zài）事務審核（hé）中（zhōng），設置當用戶密碼最多輸入錯誤（wù）次（cì）數（shù）的（de）話，則當超過這（zhè）個最大次數的時候，服務器就會在自己的（de）日（rì）誌中（zhōng）紀錄（lù）這（zhè）條信息。此時（shí），若網站管理人員可以（yǐ）看到（dào）這條信（xìn）息（xī），則（zé）他（tā）們就（jiù）可以及時的采取措施，如更（gèng）改複雜密碼（mǎ）等手段，來提（tí）高（gāo）服（fú）務器的安全性。

所以，每一個WEB服務器的管理人員都必須（xū）要重視事務日誌的重（chóng）要性（xìng）。同時，為了讓事務日誌發揮更大的（de）作用，往往需要啟用審（shěn）核（hé）功能（néng）。通過審核事件跟係統日誌結（jié）合起來，可以讓日誌服務器紀錄一些常見（jiàn）的攻擊（jī）行為（wéi）。從而給企（qǐ）業安全人員提供參考。否則的話，企業安全人員（yuán）都不知道那裏受到攻擊了，那麽他們也就根本無（wú）法進（jìn）行（háng）及時的（de）應對。

不過話說話來，有些高手攻擊企業WEB服務後，不會再事務日誌上（shàng）留下任何痕跡。這　並（bìng）不是說事務（wù）日誌（zhì）不管用了。而是（shì）因為他（tā）們在結合（hé）攻擊後（hòu），會修改事務日（rì）誌的信息。如某（mǒu）個（gè）攻擊者竊取（qǔ）了管理員用戶與（yǔ）密碼後訪問（wèn）企業網（wǎng）站中的（de）機密信息。一般情況下，這個訪問紀錄會在事務日誌中有所顯示。但是，一些高手會在推出（chū）之前修改事務日（rì）誌。刪除這（zhè）些訪（fǎng）問信息，或者更改（gǎi）訪（fǎng）問者。讓企業（yè）安（ān）全管理人員無從查起。為了讓他（tā）們無法更（gèng）改事（shì）務日誌文件，則（zé）最好的（de）方（fāng）法（fǎ）就是更（gèng）改事務日誌文件的路（lù）徑，並（bìng）對其進行（háng）及時的備份。由於不知道路徑的真確位置，所（suǒ）以，及時不法攻擊者（zhě）想攻擊想修改日誌隱藏自己（jǐ）的蹤跡（jì），都不可能（néng）。

筆者（zhě）現在的做法是（shì），更（gèng）改WEB服（fú）務器（qì）的日（rì）誌（zhì）的默認路徑。並且每隔三個小時對（duì）事務日誌進行異地備份。同時，結合事件審（shěn）核功（gōng）能，當日（rì）誌服務器捕捉到一（yī）些異常信（xìn）息時，如某個用戶一直在（zài）試（shì）圖（tú）登陸（lù）WEB服務器的管理站時，就會像企業（yè）管（guǎn）理（lǐ）人員遞交這個異常信息。通過日（rì）誌（zhì）的管理，可以把（bǎ）WEB服務器的一些安全隱患及（jí）時（shí）的（de）告知（zhī）給管理人員（yuán）。

所（suǒ）以筆者這裏要向大（dà）家推薦的第二把（bǎ）利器就是（shì）WEB服務（wù）器的日誌（zhì）管（guǎn）理 .管（guǎn）理員為了提高日誌的（de）安（ān）全性（xìng），要修改服務（wù）器日（rì）誌的默認路（lù）徑，並且定時對其（qí）進行（háng）異地備份（fèn）。同時，要跟其他（tā）的功能，如安全審核、賬戶安全策（cè）略等工具，結合使用，可以起到事半功倍的作用。

利器三：代碼，影響WEB服務器安全的（de）最大殺（shā）手。

對於WEB服務（wù）器來說，代（dài）碼是其安全的最大（dà）殺（shā）手之一。很多WEB服（fú）務器被攻（gōng）破，大部分是由（yóu）於代（dài）碼設（shè）計不當所引起的。故管理好WEB服務器的代碼，是保障WEB服務器（qì）安全的（de）首要任務。

為了（le）提高（gāo）代碼的安全性，網站開發（fā）者（zhě）要養成一（yī）些（xiē）好（hǎo）的（de）代碼（mǎ）編寫習慣。

一是不（bú）要直接采用網絡上的代碼。

有（yǒu）些開發者（zhě）為了工作上（shàng）的便利（lì），會直接拷貝其他網友（yǒu）提供的代碼（mǎ）。但是，不幸的是，天下沒有白吃的午餐。有些人免（miǎn）費提供這些代碼（mǎ）往往帶有不（bú）可告人（rén）的（de）秘（mì）密。如現在網絡（luò）上提供的一些電子商（shāng）務平台與網站（zhàn）論壇代碼，代碼（mǎ）提供者（zhě）很有可（kě）能會在（zài）代（dài）碼（mǎ）中預留（liú）一個後門。當（dāng）他覺得有必要的（de）話，則就可（kě）以很輕（qīng）易的采用這個（gè）後門對其進行攻擊。所（suǒ）以，若企業要在WEB服務（wù）器上實現一些關（guān）鍵應用，如（rú）客戶在線下（xià）單等（děng）等（děng），則最好不要采用網絡上現成的編碼。隻可（kě）以借鑒，不可以抄襲。最（zuì）好的話（huà），自己開（kāi）發（fā）。

二是增加的新功能（néng）不（bú）要在WEB服。

企業在發（fā）展，WEB應用也逐（zhú）漸在完善。企業市場會提出一（yī）些（xiē）新的需（xū）求。當開（kāi）發者（zhě）在開發某個功能的時候，最好不要直（zhí）接在WEB服務器上直接進（jìn）行測試。有條件的企業（yè），最好專門（mén）配置一個測（cè）試（shì）服務器，以方便程序開發人員測試新功能。特別是若（ruò）把這個程序開發外包給外（wài）麵的企業的話，不能夠為（wéi）了貪圖（tú）方便，直接讓對方在現用的WEB服務器上進（jìn）行（háng）測試（shì）。俗話說，知人知麵不知心。對方（fāng）很可能（néng）在你不知情的情況下，植入一（yī）個木馬都說不定。所以，防人之心不可無。企業在新功能的開（kāi）發測試上（shàng）還是（shì）要小心為妙。

三是（shì）盡量（liàng）不要采（cǎi）用不安全的控件（jiàn）。

企業WEB應用（yòng）跟娛樂（lè）網（wǎng）站（zhàn）不同。企業門戶網站強調的是快速、穩定、安（ān）全（quán）;而娛樂網站則強調的是美觀、靚麗、特效。為了吸引眼球，提（tí）高點擊率，娛樂網站往往會采用（yòng）比較多的特效。為此，他們會在WEB服務（wù）上采用比較（jiào）多（duō）的控件來達到（dào）這個（gè）效果。但是（shì），這些控件往往都有安全漏洞，跟WEB服務器（qì）的安全背道而馳。如FLASH控件等等。針對（duì）這（zhè）種控件（jiàn）的攻擊，互聯網上（shàng）可能每（měi）天都在發生。還說不定（dìng）哪一天就落到（dào）企業的頭上了。所（suǒ）以，企業（yè）網站隻追求穩定、安全，沒有必要過（guò）多的（de）采用控（kòng）件來實（shí）現（xiàn）特技效果。

筆者（zhě）向大家推薦（jiàn）的第三（sān）把（bǎ）利（lì）器就是要（yào）做好代（dài）碼的安全設計，盡量（liàng）減少采用不（bú）安全的（de）控件。企業網站應該追（zhuī）求穩定、反映（yìng）速度等（děng）等（děng）。而（ér）過多的采用控（kòng）件，跟這兩（liǎng）個（gè）目標都是背道（dào）而馳（chí）的。