1、引言

第16屆亞運會將于2010年11月12日至27日在中國廣州進行，廣州是中國第二個取得亞運會主辦權的城市。北京曾于1990年舉辦第11屆亞運會。廣州亞運會將設42項比賽項目，是亞運會歷史上比賽項目最多的一屆。如此重大的世界體育盛會必將舉世矚目，而在社會高度信息化的今天，要搞好這場世界盛會信息系統的安全可是不容或缺的一塊，我們公司企業或政府單位該如何來確保自己的WEB系統安全呢？本文分為安全檢查、安全加固、安全應急等3個方面來給大家介紹。

2、WEB系統的安全檢查

要確保WEB系統的安全，必然先要進行全面的安全檢查。可以使用AppScan、WVS、JSKY等WEB漏洞掃描工具來對自己的web系統進行掃描，當然這些工具的價格都比較昂貴。

（圖1）

2.1、Windows系統的安全檢查

如果服務器是微軟的系統推薦使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微軟專為IT專業人員設計的一個簡單易用的免費工具（圖1），可幫助中小型企業根據Microsoft安全建議確定其安全狀態，并根據結果提供具體的修正指南。使用MBSA檢測常見的安全性錯誤配置和計算機系統遺漏的安全性更新，改善您的安全性管理流程。MBSA最新版本的官方下載地址：http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

2.2、其他操作系統的安全檢查

如果服務器是其他類型的操作系統，推薦使用Nessus4.2.2，Nessus可以安裝在Windows、MacOSX、Linux、FreeBSD、Solaris等等類型的操作系統上面，而且它的掃描功能非常強大，包括路由器、交換機、打印機、WEB系統、各類操作系統等等都可以掃描。官方下載地址：http://www.nessus.org/download/

3WEB系統的安全加固

3.1IIS的安全加固

使用InternetInformationServices(IIS)來架設網站的公司可以使用微軟推出的免費工具URLScan來加強IIS的安全性（圖2）。URLScan是一個可供網站管理員使用的加載項工具。管理員可以控制URLScan的操作并限制服務器處理的HTTP請求的類型，進行了合適的配置就可以防御大部分常見的WEB攻擊了。URLScan最新版本的官方下載地址：http://www.iis.net/download/UrlScan。

（圖2）#p#

3.2、apache的安全加固

使用apache來架設網站的公司可以使用Modsecurity來加強apache的安全性，它是一個開放原代碼的入侵檢測和防護引擎,用來保護Web應用程序.他同樣和可以當作一個Web應用程序防火墻.它嵌入到Web服務器中,擔當一個強大的保護傘-保護來自應用程序的攻擊.ModSecurity是一個入侵偵測與防護引擎，它主要是用于Web應用程序，所以也被稱為Web應用程序防火墻。它可以作為ApacheWeb服務器的模塊或是單獨的應用程序來運作。ModSecurity的功能是增強Webapplication的安全性和保護Webapplication以避免遭受來自已知與未知的攻擊。官網：http://www.modsecurity.org/。

4、應急處理

對網站的應急處理工作中必不可少的就是檢測webshell了，顧名思義，"web"的含義是顯然需要服務器開放web服務，"shell"的含義是取得對服務器某種程度上操作權限。webshell常常被稱為匿名用戶（入侵者）通過網站端口對網站服務器的某種程度上操作的權限。由于webshell其大多是以動態腳本的形式出現，也有人稱之為網站的后門工具。

4.1、Windows上檢查webshell

在Windows平臺的服務器上檢查webshell可以使用南京銥迅的網站惡意木馬掃描器(WebshellScanner)（圖2），官方下載地址：http://www.yxlink.com/products-tools-webshellscanner.html，或保護傘網絡的Safe3WebShellScanner，官方下載地址：http://www.safe3.com.cn/works/884981847/view.aspx，這兩款小工具都是免費的。都支持asp、aspx、php、jsp、asa、cer等常見格式的文件掃描，也可以自定義文件的后綴名，他們可以自動地搜索網站里面的網頁木馬然后生成統計報表。

（圖3）

4.2、Linux上檢查webshell

如果是Linux系統的話就沒有這么直觀的工具了，下面我推薦幾條命令給大家（表1），就直接使用Linux系統自帶的find命令以eval、shell_exec、passthru等關鍵詞來搜索webshell，這樣的效果和使用工具的是一樣。

5、結束語

信息的安全關乎全局，只要有一點缺陷都可能導致整個系統面臨威脅！除了上面所說到的內容之外，還有第三方軟件的安全配置和操作系統的權限配置也是很重要的。希望這篇文章能帶給大家一些幫助.

作者簡介：何伊圣，男，（1990-），藍盾信息安全技術股份有限公司攻防研究員，擅長滲透測試與WEB漏洞挖掘。

【編輯推薦】

1. 信息安全服務——實現業務高效的必經之路
2. 如何成功地為你的信息安全事業投資？
3. Wedge Networks助力“游戲橘子”構建全方位Web安全保護方案
4. 天融信助力第三屆信息安全漏洞大會