网络将你的商务推向世界,但是当你使用网络的时候,你又是如何来防范来自外部的不良影响呢?
网络协会(Network Associates)高技术解决方案销售主管Wayne Weisse认为,网络服务器“非常容易成为攻击的目标,因为它是建立在网络上的”。然而,它们对一个公司的商务非常重要,这不单单是出于品牌效应的考虑。比如,由拒绝服务攻击(Denial of service attacks)可造成的网络资源利用效率急剧下降;利用普通的黑客工具就可将将网页涂改的面目全非;通过非法提升用户权限,攻击者将网络服务器作为其发动攻击的跳板,进而攻击内部网络系统,等等这些威胁,对一个公司将会造成巨大的影响。
“然而,尽管如此,利用网络有很多令我们满足的地方”,计算机协会数据保护组高级顾问Chris Thomas认为。一般的用户不会将网络作为攻击的目标,但是那些坏家伙一直在寻找机会:他们一旦得到你的IP,就可以找到你了,因为“在网络世界中,唯一代表你的就是你的IP地址。”这对进攻者来说是个好消息。通过这篇文章,我们主要研究怎样来确保你的网络服务器安全。
结构问题
Dimension Data澳大利亚安全事物所主管(head of Dimension Data Australia's security practice)Neil Campbel认为,“大部分的攻击与你如何设计WEB应用软件和安全管理有很大关系”。
通常,在那些路径管理薄弱的服务器上很容易引发蠕虫病毒,同时,安全管理疏忽和结构设计不合理的服务器会很容易地遭受黑客攻击,他说。“随着黑客手段的不断发展,也许你现在作的一点意义都没有,尽管在9-12个月之前,很有用”,因此我们需要不断的创新。
典型的three-tier结构设计是一个好的想法,倒置的代理服务器设计使WEB中的数据流向对外界变的模糊,重要数据不容易被探测到。Campbell鼓励创新的设计,来保护敏感数据。比如,保存像客户的信用卡这类信息(象这样重要的数据绝对不要保存在WEB服务器上)是非常必要的,我们可以考虑将信息分成不同的部分保存在不同的数据库中,同时,不同的数据库用不同的加密方法。“这样,一个单独的安全威胁,就不会导致整个系统的崩溃”,他说。
将不同的应用服务隔离,是一个很好的想法,Hostway(世界五大主机公司之一)系统经理Bill Mania这样认为。
他建议,WEB服务器就应该只作WEB服务器,而不在承担其他的功能。因为如果在其上加载其他的应用服务,将会造成一种“不对称交换(inappropriate exchange)”,这时如果某个应用程序出现问题,将会影响到其他的应用程序。
Andrew Gordon, Trend Micro结构管理者,将这个观点推广到脚本的应用上。他警告说,任何脚本不应该运行于WEB服务器的主机上,而应该运行于相应的后台数据库服务器上,同时他再次强调说,这些数据库服务器也不能与WEB服务器为同一台主机。
路由或者网络连接的类型越多,受到攻击的风险将越大。Gordon认为这样作“就相当于安装了一个前门同时又安装了后门”。
网络服务器可能有各种服务运行于其他的系统之上,因此作好路径信息备份很重要。美国RSA实验室安全部高级技术顾问(以研究加密算法而出名)认为,作好路径信息备份,对控制客户对不同服务器的访问将很方便。
说到如何给主机提供服务的问题时,Patrick Cusack( CTO of Hothouse Interactive)认为“当你从客户内部网络上给主机提供后端服务时,不要疏忽这里的安全问题”。对网络服务器来说,以连接到其他系统实现数据输入和事务处理的方式并不很常见。他说,这种方式很危险“不要设想他们的网络终端会安装防火墙”。他还举例说,蠕虫和其他病毒可能会侵入采用这种方式连接的网络。他告戒我们,“有时候会很碰巧发生这样的事,”因此最好不要采用这种方式。
