保障WEB服务器安全的三方面的利器

核心提示： 笔者现在的做法是，更改WEB服务器的日志的默认路径，保障WEB服务器安全的三方面的利器(3)，并且每隔三个小时对事务日志进行异地备份，同时，企业网站应该追求稳定、反映速度等等，而过多的采用控件，结合事件审核功能，当日志服务器捕捉到一些异常信息时

笔者现在的做法是，更改WEB服务器的日志的默认路径。并且每隔三个小时对事务日志进行异地备份。同时，结合事件审核功能，当日志服务器捕捉到一些异常信息时，如某个用户一直在试图登陆WEB服务器的管理站时，就会像企业管理人员递交这个异常信息。通过日志的管理，可以把WEB服务器的一些安全隐患及时的告知给管理人员。

所以笔者这里要向大家推荐的第二把利器就是WEB服务器的日志管理 。管理员为了提高日志的安全性，要修改服务器日志的默认路径，并且定时对其进行异地备份。同时，要跟其他的功能，如安全审核、账户安全策略等工具，结合使用，可以起到事半功倍的作用。

利器三：代码，影响WEB服务器安全的最大杀手。

对于WEB服务器来说，代码是其安全的最大杀手之一。很多WEB服务器被攻破，大部分是由于代码设计不当所引起的。故管理好WEB服务器的代码，是保障WEB服务器安全的首要任务。

为了提高代码的安全性，网站开发者要养成一些好的代码编写习惯。

一是不要直接采用网络上的代码。

有些开发者为了工作上的便利，会直接拷贝其他网友提供的代码。但是，不幸的是，天下没有白吃的午餐。有些人免费提供这些代码往往带有不可告人的秘密。如现在网络上提供的一些电子商务平台与网站论坛代码，代码提供者很有可能会在代码中预留一个后门。当他觉得有必要的话，则就可以很轻易的采用这个后门对其进行攻击。所以，若企业要在WEB服务器上实现一些关键应用，如客户在线下单等等，则最好不要采用网络上现成的编码。只可以借鉴，不可以抄袭。最好的话，自己开发。

二是增加的新功能不要在WEB服。

企业在发展，WEB应用也逐渐在完善。企业市场会提出一些新的需求。当开发者在开发某个功能的时候，最好不要直接在WEB服务器上直接进行测试。有条件的企业，最好专门配置一个测试服务器，以方便程序开发人员测试新功能。特别是若把这个程序开发外包给外面的企业的话，不能够为了贪图方便，直接让对方在现用的WEB服务器上进行测试。俗话说，知人知面不知心。对方很可能在你不知情的情况下，植入一个木马都说不定。所以，防人之心不可无。企业在新功能的开发测试上还是要小心为妙。

三是尽量不要采用不安全的控件。

企业WEB应用跟娱乐网站不同。企业门户网站强调的是快速、稳定、安全；而娱乐网站则强调的是美观、靓丽、特效。为了吸引眼球，提高点击率，娱乐网站往往会采用比较多的特效。为此，他们会在WEB服务上采用比较多的控件来达到这个效果。但是，这些控件往往都有安全漏洞，跟WEB服务器的安全背道而驰。如FLASH控件等等。针对这种控件的攻击，互联网上可能每天都在发生。还说不定哪一天就落到企业的头上了。所以，企业网站只追求稳定、安全，没有必要过多的采用控件来实现特技效果。

笔者向大家推荐的第三把利器就是要做好代码的安全设计，尽量减少采用不安全的控件。企业网站应该追求稳定、反映速度等等。而过多的采用控件，跟这两个目标都是背道而驰的。