亚运期间如何确保WEB系统的安全

1、引言

第16届亚运会将于2010年11月12日至27日在中国广州进行，广州是中国第二个取得亚运会主办权的城市。北京曾于1990年举办第11届亚运会。广州亚运会将设42项比赛项目，是亚运会历史上比赛项目最多的一届。如此重大的世界体育盛会必将举世瞩目，而在社会高度信息化的今天，要搞好这场世界盛会信息系统的安全可是不容或缺的一块，我们公司企业或政府单位该如何来确保自己的WEB系统安全呢？本文分为安全检查、安全加固、安全应急等3个方面来给大家介绍。

2、WEB系统的安全检查

要确保WEB系统的安全，必然先要进行全面的安全检查。可以使用AppScan、WVS、JSKY等WEB漏洞扫描工具来对自己的web系统进行扫描，当然这些工具的价格都比较昂贵。

（图1）

2.1、Windows系统的安全检查

如果服务器是微软的系统推荐使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微软专为IT专业人员设计的一个简单易用的免费工具（图1），可帮助中小型企业根据Microsoft安全建议确定其安全状态，并根据结果提供具体的修正指南。使用MBSA检测常见的安全性错误配置和计算机系统遗漏的安全性更新，改善您的安全性管理流程。MBSA最新版本的官方下载地址：http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

2.2、其他操作系统的安全检查

如果服务器是其他类型的操作系统，推荐使用Nessus4.2.2，Nessus可以安装在Windows、MacOSX、Linux、FreeBSD、Solaris等等类型的操作系统上面，而且它的扫描功能非常强大，包括路由器、交换机、打印机、WEB系统、各类操作系统等等都可以扫描。官方下载地址：http://www.nessus.org/download/

3WEB系统的安全加固

3.1IIS的安全加固

使用InternetInformationServices(IIS)来架设网站的公司可以使用微软推出的免费工具URLScan来加强IIS的安全性（图2）。URLScan是一个可供网站管理员使用的加载项工具。管理员可以控制URLScan的操作并限制服务器处理的HTTP请求的类型，进行了合适的配置就可以防御大部分常见的WEB攻击了。URLScan最新版本的官方下载地址：http://www.iis.net/download/UrlScan。

（图2）#p#

3.2、apache的安全加固

使用apache来架设网站的公司可以使用Modsecurity来加强apache的安全性，它是一个开放原代码的入侵检测和防护引擎,用来保护Web应用程序.他同样和可以当作一个Web应用程序防火墙.它嵌入到Web服务器中,担当一个强大的保护伞-保护来自应用程序的攻击.ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web应用程序，所以也被称为Web应用程序防火墙。它可以作为ApacheWeb服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Webapplication的安全性和保护Webapplication以避免遭受来自已知与未知的攻击。官网：http://www.modsecurity.org/。

4、应急处理

对网站的应急处理工作中必不可少的就是检测webshell了，顾名思义，"web"的含义是显然需要服务器开放web服务，"shell"的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

4.1、Windows上检查webshell

在Windows平台的服务器上检查webshell可以使用南京铱迅的网站恶意木马扫描器(WebshellScanner)（图2），官方下载地址：http://www.yxlink.com/products-tools-webshellscanner.html，或保护伞网络的Safe3WebShellScanner，官方下载地址：http://www.safe3.com.cn/works/884981847/view.aspx，这两款小工具都是免费的。都支持asp、aspx、php、jsp、asa、cer等常见格式的文件扫描，也可以自定义文件的后缀名，他们可以自动地搜索网站里面的网页木马然后生成统计报表。

（图3）

4.2、Linux上检查webshell

如果是Linux系统的话就没有这么直观的工具了，下面我推荐几条命令给大家（表1），就直接使用Linux系统自带的find命令以eval、shell_exec、passthru等关键词来搜索webshell，这样的效果和使用工具的是一样。

5、结束语

信息的安全关乎全局，只要有一点缺陷都可能导致整个系统面临威胁！除了上面所说到的内容之外，还有第三方软件的安全配置和操作系统的权限配置也是很重要的。希望这篇文章能带给大家一些帮助.

作者简介：何伊圣，男，（1990-），蓝盾信息安全技术股份有限公司攻防研究员，擅长渗透测试与WEB漏洞挖掘。

【编辑推荐】

1. 信息安全服务——实现业务高效的必经之路
2. 如何成功地为你的信息安全事业投资？
3. Wedge Networks助力“游戏橘子”构建全方位Web安全保护方案
4. 天融信助力第三届信息安全漏洞大会