高校Web服务器安全体系浅谈摘要随着信息化发展，高校越来越重视学校网站建设，同时高校Web服务器承受越来越多的安全问题，所以要从整个服务器安全体系去综合考虑，确保服务器的安全。关键词高校Web服务器安全体系：TP393文献标识码：A一、引言近年来，随着信息化的高速发展，高校越来越重视学校网站的作用。高校Web服务器中除了学校的主网站外还有几十个系部和教辅单位的网站，这些网站质量良莠不齐，漏洞百出，甚至还有病毒和木马，给学校Web服务器带来了严重的安全隐患。二、高校Web服务器特点由于高校Web服务器上有几十个网站，每个网站的质量和网站管理员的水平参差不齐，网站的访问量也不大，所以最好采用一些主流的、相对容易的建站策略。高校Web服务器和一般的应用服务器相比有着以下明显的特点：1、操作系统主要采用微软公司的WindowsServer系列。2、应用服务器主要采用微软公司的Internet信息服务器（IIS）。3、数据库一般使用微软公司的Access和SQLSERVER。4、网页语言主要采用asp和。三、高校Web服务器安全体系高校Web服务器安全是个系统工程，要从服务器硬件、操作系统、安全软件、Internet信息服务器（IIS）、数据库、网页代码、管理员这七个方面去综合考虑。（一）服务器硬件。服务器硬盘采用RAID1磁盘阵列，不采用大型商业服务器通常采用的RAID5磁盘阵列。RAID1是1:1的复制，具有较高的安全性和较低的维护成本；RAID5虽然也具有很高的安全性，但它的目的更多地是为了扩大硬盘阵列的容量和数据读的速度，并且具有较高的采购成本和维护成本。根据高校Web服务器的数据容量、访问量和性价比，优先考虑RAID1磁盘阵列。（二）操作系统。删除默认的管理员用户Administrator，生成新的管理员用户，使用复杂用户名和密码。也可以设置一个名字为Administrator的Guest用户，并使用复杂的密码，来欺骗攻击者。根据最小化系统原则，只安装必要的软件和启用必要的服务，关闭系统所有端口，只保留80端口。开启服务器日志，并改变存放日志的位置，防止被篡改或删除。网页源代码放在非系统盘，文件夹的安全设置默认情况下Internet来宾账号只有读取和运行、列出文件夹目录、读取权限，Internet来宾账号只对数据库文件夹和上传文件夹开放修改和可写权限。（三）安全软件。安装杀毒软件等安全软件，并及时对杀毒软件升级。使用文件防篡改软件来防止网页被篡改和服务器被上传网页木马。可以使用McAfee软件中的自定义规则，禁止网页进程创建、修改和删除asp，aspx，gif等文件，禁止网页进程创建、修改、删除和执行exe，cmd，bat等文件。开启McAfee日志，同时对McAfee软件要进行锁定，防止被修改配置。（四）Internet信息服务器（IIS）。防止因为个别网站的问题而导致Web服务器上的所有网站都受到影响，有必要在IIS中设置应用池，当一个应用池中的网站出问题，其他应用池中的网站不受影响。一般情况下把首字母相同的网站放到同一个应用池，并用首字母命名该应用池。当一个应用池里网站个数过多时，可以分放在若干个应用池中；当某个网站非常重要的时候也可以给一个网站单独创建一个应用池。同时应用池太多也影响系统性能，最好不要超过20个。在IIS中对任何Internet来宾账号具有修改和可写权限的文件夹的执行权限设置为“无”，即使这些文件夹被上传了网页木马也无法运行，同时开启IIS日志。（五）数据库。很多人为了防止Access数据库被下载，会把.mdb数据库文件改为.asp文件。但是这样做有两个主要的缺点：一个是.asp文件是脚本文件，木马病毒可以在中间加些恶意代码，这就把这个数据库文件完全破坏了，基本上无法恢复；二是.asp文件已经被McAfee设置为不可修改，数据库文件却需要可写权限。所以不要修改.mdb数据库文件的后缀名，但是要在数据库文件命名中加入“#”号，防止被恶意下载。SQLServer数据库要删除sa超级用户，新建其他管理用户，设置复杂用户名和复杂的密码。（六）网页代码。网页代码对于服务器管理员来说是最大的挑战，因为几十个网站，由不同的人建设，不可避免存在许多的漏洞和错误，甚至本身就是含有网页木马和病毒。所以在把网页代码放到服务器前，要仔细检查。首先用杀...