服务器安全问题及对策

服务器安全问题及对策

电子商务网站建设中首要的问题是网站WEB服务器的使用，通常情况下，开展电子商务的企业会采用自建服务器方案来完成电子商务的各项功能，因此为了电子商务网站的特殊需要企业会自己租用通信专线，架设WEB服务器。

1．WEB服务器上的安全漏洞。WEB服务器上的漏洞可以从以下几方面考虑：

(1)在WEB服务器上你不让人访问的秘密文件、目录或重要数据。(2)从远程用户向服务器发送信息时，特别是信用卡之类东西时．中途遭不法分子非法拦截。(3)WEB服务器本身存在一些漏洞使得一些人能侵入到主机系统．破坏一些重要的数据．甚至造成系统瘫痪。(4)WEB服务器的一些扩展组件存在漏洞，可能导致网络安全和信息泄漏。(5)还有一些简单的从网上下载的WEB~JE务器．没有过多考虑到一些安全因素．不能用作商业应用。因此．不管是配置服务器．还是在编写网站程序时都要注意系统的安全性。尽量堵住任何存在的漏洞．创造安全的环境。

2．WEB服务器安全预防措施

网站程序安全问题及对策

电子商务网站程序的安全是许多企业忽视的问题，也是严重导致企业信息泄漏的最主要的途径之一。

一、代码漏洞安全问题。产生这种漏洞的主要原因是网站程序代码编写的不完善造成的．而这种不完善的代码极有可能会暴露网站的数据库或后台管理等重要的安全信息(下文均以ASP为例)。

(1)数据库连接字串的某些错误导致WEBI~．务器锚误提示，而这些错误提示中可能会含有数据库或表等重要信息。

(2)企业后台管理程序中只有主程序要求管理员的身份信息，而其它管理页面却忽视了身份验证信息，这种疏忽使非法用户可能通过直接输入后台的某个管理页面的形式进入到后台管理中去，如果正好有管理员密码修改的页面出现此问题，则会导致网站后台的完全暴露。

(3)对页面参数不作任何判定导致所谓的SQLInjection，即SQL注入从而泄漏用户信息。这种安全漏洞是2004年以来网站信息安全的最大隐患，而国内许多电子商务网站并没有采取相应的安全措施，导致电子商务网站很容易被攻破。

2．后台管理程序文件的安全问题。现在大多数企业采用后台管理的方式对电子商务网站进行管理，电子商务网站后台的入侵安全是很多企业忽视的问题。比如许多电子商务网站后台入侵通常会采用Admin．aspIogin．asp、Iogout．asp等常见形式．也有的网站竟然在网面上链接出管理入侵，这样，非法用户很容易就能找到网站的后台管理入侵，成为电子商务网站安全的重大隐患对于以上安全问题的解决方法是更改网站的后台入侵路径．最好是设定一个不易被猜解到的目录和文件名，同时尽可能不要在前台页面上暴露出后台的管理入侵。

3. 弱口令和口令加密安全问题。尽管大多数企业认识到了侵令的安全问题，但还是有不少的企业忽视了这个问题。

(1)网站管理口令安全问题。

①弱口令问题。有些管理员为了记忆方便．会以Admin、Admin888managerwebmaster等作为管理员的用户名．同样，也有用AdminAdmin88812345888888等来作为管理员密码，数据库以sA为用户名，留空密码等，这些弱口令是很容易被黑客猜测到的。

②明文密码问题。很多企业的管理员密码都采用明文来保存，这样的明文密码是最不安全的因素之一，通过SQL注入很容易就能猎取数据库中的明文密码。

③简单口令加密问题。一些网站设计人员有时只是对口令进行简单的对称加密．这种经过简单的对称加密密文用现在的Pc机器可以在较短的时间内解密成明文，因此也是不可取的。

(2)网站管理口令安全策略。

①杜绝使用弱口令，以避免安全隐患，可以采用字母+数字+符号字符，并超过8位以上的密码。

②强制对所有用户密码加密，最好采用非对称加密或采用不可逆的运算，如使用32位的MD5码。

数据库安全问题

根据国内相关调查显示，国内的网站用ASP+Access或SQLServer的占7o％以上．PHP+MySQL占2O％其他的不足1O％。而数据库是一个电子商务网站的核心，因此数据库的安全也成为电子商务网站安全的首要问题。

1．数据库位置和名称安全。以往许多网站设计人员会把数据库放在Data或Database等目录下．对数据库的文件名也通常采用Data、Mydata、Database、DataShq0等．这种做法很容易被非法用户猜解到并下载用户数据库．从而使电子商务网站的所有数据被窃取。解决方案：可以采用字母+数字并超过8位的组合作为数据文件目录或文件名，对于Access文件最好更改其扩展名．MDB为ASP以加强安全性。

2．数据库结构安全问题

(1)数据表的命名问题。为了安全需要，不要直接用类似Admin、User、Product等作为表名，可以使用XX—Admin—XX等形式，用字母和数宇组合作为表名的前后缀，以防止SQL注入时被猜解出表名。

(2)数据宇段的命名问题。同样在数据字段命名时，也不要直接用Admin、UserName、用户名、密码Passwor、Pwd、UserPwd等作为敏感字段名，可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的安全性。

(3)数据库权限安全问题尽量不要把数据库密码留空或使用弱口令作为数据库密码，合理使用1O位以上的数据库密码会进一步加强数据库的安全。

3．数据库连接宇串安全问题

这类安全问题主要是两个方面；

一是在数据库连接字串中不直接出现明文密码，采用对称加密密码可以提高数据库的安全

二是数据连接文件不要用常见的Conn、DbConn作为文件名，避免使用．inc．asa、txt作为扩展名，同时也不要把文件放在类似Inc、Data、Conn等目录下，以防数据库连接被非法下载。

(1)对WEB~JE务软件经常进行升级．安装相应的安全补丁，可以最大限度的堵住系统漏洞。

(2)限制在WEB~JE务器开账户．在口令长度及定期更改方面做出要求．防止被盗用．定期删除一些断进程的用户。

(3)尽量去掉无用的WEB组件．防止被他人非法利用。

(4)尽量使FTPMAIL等服务器与之分开．去掉ftp．sendmail．tftp．NIS．NFS．finger．netstat等～些无关的应用。

(5)在WEB服务器上去掉一些绝对不用的如SHELL之类的解释器即当在你的CGI的程序中没用到PERL时就尽量把PERL在系统解释器中删除掉。

(6)定期查看服务器中的日志logs文件，分析一切可疑事件。

(7)设置好WEB服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组，如www，并只分配它只读的权利。把所有的HTML文件归属www组，由WEB管理员管理www组。对于WEB的配置文件仅对WEB管理员有写的权利。

(8)有些WEBBE务器把w田的文档目录与FTP目录指在同一目录时应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过FTP上载一些如PERL或sH之类程序．并用WEB的CGIBIN去执行，造成不良后果。

(9)通过限制许可访问用户JP或DNS(10)通过杀毒软件和防火墙保证服务器安全。