網(wǎng)站安全，服務(wù)器和網(wǎng)站程序是關(guān)鍵

防止網(wǎng)站被掛馬，從技術(shù)層面上講，有兩個(gè)方面，一方面是服務(wù)器本身的安全，另外一方面是網(wǎng)站程序的安全。對(duì)于網(wǎng)站程序本身，可以進(jìn)行代碼審計(jì)。如果沒(méi)有足夠的人力和物力，就用黑客工具進(jìn)行掃面，檢查漏洞，降低程序本身的風(fēng)險(xiǎn)。對(duì)于服務(wù)器本身，有兩種情況，部分學(xué)校的二級(jí)網(wǎng)站是托管網(wǎng)絡(luò)中心的，就不需要擔(dān)心服務(wù)器安全的問(wèn)題，只需踏踏實(shí)實(shí)地做好網(wǎng)站自身的管理。

對(duì)于服務(wù)器的安全加固，以Windows2003為例，sql服務(wù)器安全加固如下所述：安裝最新的mdac(http://www.microsoft.com/data/download.htm)

密碼策略

由于sql server不能更改sa用戶名稱，也不能刪除這個(gè)超級(jí)用戶，所以，我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫(kù)應(yīng)用中使用sa帳號(hào)。新建立一個(gè)擁有與sa一樣權(quán)的超級(jí)用戶來(lái)管理數(shù)據(jù)庫(kù)。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫(kù)管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的sql語(yǔ)句：

use master  
 
select name,password from syslogins where password is null 

數(shù)據(jù)庫(kù)日志的記錄

核數(shù)據(jù)庫(kù)登錄事件的"失敗和成功"，在實(shí)例屬性中選擇"安全性"，將其中的審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號(hào)的登錄事件。

管理擴(kuò)展存儲(chǔ)過(guò)程

xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫(kù)留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它去掉。使用這個(gè)sql語(yǔ)句：

use master  
 
sp_dropextendedproc ’xp_cmdshell’ 

注：如果你需要這個(gè)存儲(chǔ)過(guò)程，請(qǐng)用這個(gè)語(yǔ)句也可以恢復(fù)過(guò)來(lái)。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’

ole自動(dòng)存儲(chǔ)過(guò)程(會(huì)造成管理器中的某些特征不能使用)，這些過(guò)程包括如下(不需要可以全部去掉：

sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty  
 
sp_oamethod sp_oasetproperty sp_oastop 

去掉不需要的注冊(cè)表訪問(wèn)的存儲(chǔ)過(guò)程，注冊(cè)表存儲(chǔ)過(guò)程甚至能夠讀出操作系統(tǒng)管理員的密碼來(lái)，如下：

xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues  
 
xp_regread xp_regremovemultistring xp_regwrite 

防tcp/ip端口探測(cè)

在實(shí)例屬性中選擇tcp/ip協(xié)議的屬性。選擇隱藏 sql server 實(shí)例。請(qǐng)?jiān)谏弦徊脚渲玫幕A(chǔ)上，更改原默認(rèn)的1433端口。在ipsec過(guò)濾拒絕掉1434端口的udp通訊，可以盡可能地隱藏你的sql server。

對(duì)網(wǎng)絡(luò)連接進(jìn)行ip限制

使用操作系統(tǒng)自己的ipsec可以實(shí)現(xiàn)ip數(shù)據(jù)包的安全性。請(qǐng)對(duì)ip連接進(jìn)行限制，保證只有自己的ip能夠訪問(wèn)，拒絕其他ip進(jìn)行的端口連接。通過(guò)以上的配置，禁止了服務(wù)器開放不必要的端口，防止服務(wù)被植入后門程序，通過(guò)配置目錄權(quán)限可以防止入侵者拿到welshell后提權(quán)，加強(qiáng)了服務(wù)器的安全性，避免了對(duì)服務(wù)器的攻擊和加強(qiáng)了TCP協(xié)議棧。

通過(guò)iis的配置提高了iis的安全性和穩(wěn)定性。修改了sql server的默認(rèn)端口，可以防止惡意用戶對(duì)服務(wù)器進(jìn)行掃描嘗試暴力破解sa賬戶提供數(shù)據(jù)庫(kù)的安全性。對(duì)服務(wù)器實(shí)現(xiàn)了整體的安全加固。

安全性提高對(duì)于網(wǎng)站來(lái)說(shuō)，還需加強(qiáng)管理，尤其是日志的查看等日常操作。只有通過(guò)不間斷的管理，才能及時(shí)的發(fā)現(xiàn)存在的問(wèn)題，才能提高服務(wù)器的安全。安全沒(méi)有絕對(duì)的，所有管理員需要不斷地加固服務(wù)器。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播