亚运期间如何确保WEB系统的安全

　　（何伊圣蓝盾信息安全技术股份有限公司，广东广州510665）

　　摘要：信息的安全关乎全局，只要有一点缺陷都可能导致整个系统面临威胁！除了上面所说到的内容之外，还有第三方软件的安全配置和操作系统的权限配置也是很重要的。希望这篇文章能带给大家一些帮助，更多的资料请关注蓝盾信息安全技术股份有限公司的技术新闻http://www.bluedon.com，可以通过Email和我直接交流akast@ngsst.com，也欢迎大家加入我们的技术交流QQ群：1717442。信息安全不容忽略任何一点！

　　关键词：广州亚运;信息安全;WEB安全

　　1、引言

　　第16届亚运会将于2010年11月12日至27日在中国广州进行，广州是中国第二个取得亚运会主办权的城市。北京曾于1990年举办第11届亚运会。广州亚运会将设42项比赛项目，是亚运会历史上比赛项目最多的一届。如此重大的世界体育盛会必将举世瞩目，而在社会高度信息化的今天，要搞好这场世界盛会信息系统的安全可是不容或缺的一块，我们公司企业或政府单位该如何来确保自己的WEB系统安全呢？本文分为安全检查、安全加固、安全应急等3个方面来给大家介绍。

　　2、WEB系统的安全检查

　　要确保WEB系统的安全，必然先要进行全面的安全检查。可以使用AppScan、WVS、JSKY等WEB漏洞扫描工具来对自己的web系统进行扫描，当然这些工具的价格都比较昂贵。所以也推荐聘请向蓝盾这样专业的安全公司来进行渗透测试，详细了解请看http://www.bluedon.com。

（图1）

点击此处查看全部新闻图片　　

　　2.1、Windows系统的安全检查

　　如果服务器是微软的系统推荐使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微软专为IT专业人员设计的一个简单易用的免费工具（图1），可帮助中小型企业根据Microsoft安全建议确定其安全状态，并根据结果提供具体的修正指南。使用MBSA检测常见的安全性错误配置和计算机系统遗漏的安全性更新，改善您的安全性管理流程。MBSA最新版本的官方下载地址：http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

　　2.2、其他操作系统的安全检查

　　如果服务器是其他类型的操作系统，推荐使用Nessus4.2.2，Nessus可以安装在Windows、MacOSX、Linux、FreeBSD、Solaris等等类型的操作系统上面，而且它的扫描功能非常强大，包括路由器、交换机、打印机、WEB系统、各类操作系统等等都可以扫描。官方下载地址：http://www.nessus.org/download/

　　3WEB系统的安全加固

　　3.1IIS的安全加固

　　使用InternetInformationServices(IIS)来架设网站的公司可以使用微软推出的免费工具URLScan来加强IIS的安全性（图2）。URLScan是一个可供网站管理员使用的加载项工具。管理员可以控制URLScan的操作并限制服务器处理的HTTP请求的类型，进行了合适的配置就可以防御大部分常见的WEB攻击了。URLScan最新版本的官方下载地址：http://www.iis.net/download/UrlScan。

（图2）

点击此处查看全部新闻图片　　

　　3.2、apache的安全加固

　　使用apache来架设网站的公司可以使用Modsecurity来加强apache的安全性，它是一个开放原代码的入侵检测和防护引擎,用来保护Web应用程序.他同样和可以当作一个Web应用程序防火墙.它嵌入到Web服务器中,担当一个强大的保护伞-保护来自应用程序的攻击.ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web应用程序，所以也被称为Web应用程序防火墙。它可以作为ApacheWeb服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Webapplication的安全性和保护Webapplication以避免遭受来自已知与未知的攻击。官网：http://www.modsecurity.org/。

　　4、应急处理

　　对网站的应急处理工作中必不可少的就是检测webshell了，顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

　　4.1、Windows上检查webshell

　　在Windows平台的服务器上检查webshell可以使用南京铱迅的网站恶意木马扫描器(WebshellScanner)（图2），官方下载地址：http://www.yxlink.com/products-tools-webshellscanner.html，或保护伞网络的Safe3WebShellScanner，官方下载地址：http://www.safe3.com.cn/works/884981847/view.aspx，这两款小工具都是免费的。都支持asp、aspx、php、jsp、asa、cer等常见格式的文件扫描，也可以自定义文件的后缀名，他们可以自动地搜索网站里面的网页木马然后生成统计报表。

（图3）

点击此处查看全部新闻图片　　

　　4.2、Linux上检查webshell

　　如果是Linux系统的话就没有这么直观的工具了，下面我推荐几条命令给大家（表1），就直接使用Linux系统自带的find命令以eval、shell_exec、passthru等关键词来搜索webshell，这样的效果和使用工具的是一样。

（表1）

点击此处查看全部新闻图片

　　5、结束语

　　信息的安全关乎全局，只要有一点缺陷都可能导致整个系统面临威胁！除了上面所说到的内容之外，还有第三方软件的安全配置和操作系统的权限配置也是很重要的。希望这篇文章能带给大家一些帮助，更多的资料请关注蓝盾信息安全技术股份有限公司的技术新闻http://www.bluedon.com，可以通过Email和我直接交流akast@ngsst.com，也欢迎大家加入我们的技术交流QQ群：1717442。信息安全不容忽略任何一点！

　　在广州亚运会、亚残运会期间蓝盾信息安全技术股份有限公司为广大客户提供免费的安全应急服务，信息系统安全出现紧急情况的公司或单位请联系：020-85526663。

　　作者简介：何伊圣，男，（1990—），蓝盾信息安全技术股份有限公司攻防研究员，擅长渗透测试与WEB漏洞挖掘。