1、引言

第16屆亞運會將于2010年11月12日至27日在中國廣州進行，廣州是中國第二個取得亞運會主辦權(quán)的城市。北京曾于1990年舉辦第11屆亞運會。廣州亞運會將設(shè)42項比賽項目，是亞運會歷史上比賽項目最多的一屆。如此重大的世界體育盛會必將舉世矚目，而在社會高度信息化的今天，要搞好這場世界盛會信息系統(tǒng)的安全可是不容或缺的一塊，我們公司企業(yè)或政府單位該如何來確保自己的WEB系統(tǒng)安全呢？本文分為安全檢查、安全加固、安全應(yīng)急等3個方面來給大家介紹。

2、WEB系統(tǒng)的安全檢查

要確保WEB系統(tǒng)的安全，必然先要進行全面的安全檢查?？梢允褂肁ppScan、WVS、JSKY等WEB漏洞掃描工具來對自己的web系統(tǒng)進行掃描，當然這些工具的價格都比較昂貴。

（圖1）

2.1、Windows系統(tǒng)的安全檢查

如果服務(wù)器是微軟的系統(tǒng)推薦使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微軟專為IT專業(yè)人員設(shè)計的一個簡單易用的免費工具（圖1），可幫助中小型企業(yè)根據(jù)Microsoft安全建議確定其安全狀態(tài)，并根據(jù)結(jié)果提供具體的修正指南。使用MBSA檢測常見的安全性錯誤配置和計算機系統(tǒng)遺漏的安全性更新，改善您的安全性管理流程。MBSA最新版本的官方下載地址：http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

2.2、其他操作系統(tǒng)的安全檢查

如果服務(wù)器是其他類型的操作系統(tǒng)，推薦使用Nessus4.2.2，Nessus可以安裝在Windows、MacOSX、Linux、FreeBSD、Solaris等等類型的操作系統(tǒng)上面，而且它的掃描功能非常強大，包括路由器、交換機、打印機、WEB系統(tǒng)、各類操作系統(tǒng)等等都可以掃描。官方下載地址：http://www.nessus.org/download/

3WEB系統(tǒng)的安全加固

3.1IIS的安全加固

使用InternetInformationServices(IIS)來架設(shè)網(wǎng)站的公司可以使用微軟推出的免費工具URLScan來加強IIS的安全性（圖2）。URLScan是一個可供網(wǎng)站管理員使用的加載項工具。管理員可以控制URLScan的操作并限制服務(wù)器處理的HTTP請求的類型，進行了合適的配置就可以防御大部分常見的WEB攻擊了。URLScan最新版本的官方下載地址：http://www.iis.net/download/UrlScan。

（圖2）#p#

3.2、apache的安全加固

使用apache來架設(shè)網(wǎng)站的公司可以使用Modsecurity來加強apache的安全性，它是一個開放原代碼的入侵檢測和防護引擎,用來保護Web應(yīng)用程序.他同樣和可以當作一個Web應(yīng)用程序防火墻.它嵌入到Web服務(wù)器中,擔(dān)當一個強大的保護傘-保護來自應(yīng)用程序的攻擊.ModSecurity是一個入侵偵測與防護引擎，它主要是用于Web應(yīng)用程序，所以也被稱為Web應(yīng)用程序防火墻。它可以作為ApacheWeb服務(wù)器的模塊或是單獨的應(yīng)用程序來運作。ModSecurity的功能是增強Webapplication的安全性和保護Webapplication以避免遭受來自已知與未知的攻擊。官網(wǎng)：http://www.modsecurity.org/。

4、應(yīng)急處理

對網(wǎng)站的應(yīng)急處理工作中必不可少的就是檢測webshell了，顧名思義，"web"的含義是顯然需要服務(wù)器開放web服務(wù)，"shell"的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。

4.1、Windows上檢查webshell

在Windows平臺的服務(wù)器上檢查webshell可以使用南京銥迅的網(wǎng)站惡意木馬掃描器(WebshellScanner)（圖2），官方下載地址：http://www.yxlink.com/products-tools-webshellscanner.html，或保護傘網(wǎng)絡(luò)的Safe3WebShellScanner，官方下載地址：http://www.safe3.com.cn/works/884981847/view.aspx，這兩款小工具都是免費的。都支持asp、aspx、php、jsp、asa、cer等常見格式的文件掃描，也可以自定義文件的后綴名，他們可以自動地搜索網(wǎng)站里面的網(wǎng)頁木馬然后生成統(tǒng)計報表。

（圖3）

4.2、Linux上檢查webshell

如果是Linux系統(tǒng)的話就沒有這么直觀的工具了，下面我推薦幾條命令給大家（表1），就直接使用Linux系統(tǒng)自帶的find命令以eval、shell_exec、passthru等關(guān)鍵詞來搜索webshell，這樣的效果和使用工具的是一樣。

5、結(jié)束語

信息的安全關(guān)乎全局，只要有一點缺陷都可能導(dǎo)致整個系統(tǒng)面臨威脅！除了上面所說到的內(nèi)容之外，還有第三方軟件的安全配置和操作系統(tǒng)的權(quán)限配置也是很重要的。希望這篇文章能帶給大家一些幫助.

作者簡介：何伊圣，男，（1990-），藍盾信息安全技術(shù)股份有限公司攻防研究員，擅長滲透測試與WEB漏洞挖掘。

【編輯推薦】

1. 信息安全服務(wù)——實現(xiàn)業(yè)務(wù)高效的必經(jīng)之路
2. 如何成功地為你的信息安全事業(yè)投資？
3. Wedge Networks助力“游戲橘子”構(gòu)建全方位Web安全保護方案
4. 天融信助力第三屆信息安全漏洞大會