摘要：随着Web服务在高校中应用越来越广泛，Web服务器安全问题也成了人们关注热点。为了确保Web服务器安全运行，笔者通过对Web服务器使用的操作系统平台、Web软件安全和操作规范进行分析和研究，指出存在的安全问题和应采取防范措施，以保证Web服务器正常运行。

关键词：安全策略；服务器；安全；高校网站

中图分类号：G642 文献标识码：A 文章编号：1009-3044（2015）17-0045-02

Universities Web Server Security Analysis and Countermeasures

YANG Deng-pan

（Hainan Software Profession Institute， Qionghai 571400，China）

Abstract： With the Web service in universities more widely， Web server security has become a hot concern. To ensure the safe operation of the Web server， the author analyzes and studies by the operating system platform Web server uses， Web and software security practices， pointing out safety problems and should take precautionary measures to ensure the normal operation of the Web server.

Key words： security policy；server；safety；universities site

随着网络技术的快速发展，高校Web服务应用越来越广泛，各高校不仅建立门户网站，同时也建立大量二级网站例如：部门站点、系部站点、招生站点等。这些网站建立成为高校对外的窗口与学校信息化建设的基石。

近年，高校Web服务器每年出现大量的安全问题，如网站被黑、服务器被攻陷、主页被篡改等，Web服务器的安全问题变得日益突出。作者认证研究与分析Web服务安全问题，积极寻求Web服务器安全隐患，提出解决方案。

1 高校Web服务器存在安全问题及原因分析

目前，高校采购大量的网络设备（路由器、防火墙、入侵检查系统）构建信息中心，实现校园信息化建设。作为信息化核心网站建设，高校大多数利用Linux操作系统部署Web服务器，发布平台使用Apache。虽然高校买了很多安全设备，采用较为安全的系统平台，但是高校的Web服务器仍然存在很多安全问题。

1.1操作系统平台安全存在隐患

高校大多采用较为安全开源软件Linux系统构建Web服务器平台，但是Linux系统内核存在漏洞、系统补丁不更新、打开很多不必要的端口和服务，这些安全隐患比较严重。

1.2 软件存在安全隐患

高校Web服务器大多采用了目前最流行的Apache做为网站发布软件，虽然Apache Server提供了较好的安全特性，仍存在很多安全隐患。应加强访问控制和强制性访问控制的安全策略设置；使用Apache 的安全模块；对apache安装与配置进行安全加固。

1.3 服务器操作不规范

Web服务使用中有很多不规范操作也会引起系统安全问题。例如：Web服务器的安全重视不够，一般建好服务器能用就可以，很少有领导关注服务器的安全怎么样；服务器密码不够安全，很多管理员为了方便使用简单密码。

2 高校Web服务器安全应对策略

通过对Web服务器的存在安全隐患深入研究，本文给出Web服务器安全在以下三个方面安全策略。

2.1 服务器平台安全

Web服务器使用的操作系统平台是服务器安全核心，虽然Linux操作系统的安全性比较高，高校Web服务器应用时，需要根据实际情况进行相应的安全设置。

⑴及时更新系统

Linux操作系统因为高效、开源成为高校Web服务器主流的系统平台，被很多高校应用在Web服务器建设中。Linux系统存在漏洞，这些漏洞成为Web系统的安全问题，提升系统安全成为Web服务器安全的首要任务，因此，要及时更新系统，打补丁升级Linux操作系统最新版本，避免系统漏洞给Web服务器造成破坏。比如，Linux Kernel的decode_choices函数含拒绝服务漏洞，假如没有更新系统，那么有人会利用该漏洞进行拒绝服务攻击。

⑵采用安全审计

Linux安全审计主要监控系统发生针对网络使用、数据处理，对这些进行分析、追踪，寻找系统中存在安全隐患。管理者通过安全审计能及时了解Web服务器存在安全问题，采取针对性的措施，提升系统安全。通过系统安全审计，实现Web服务器安全可靠。

⑶调整系统服务和端口

Linux系统作为一款安全的网络操作系统，本身包含了较很多网络服务，Linux默认打开这些网络服务，给予用户使用的便利，但是作为Web服务器平台就显得不是很有利，因为这样会造成安全隐患。做为Web服务器应主动关闭，不需要的服务和端口，理论上只需要开放80端口。Linux操作系统文件/etc/inetd.conf可以设定系统主要网络服务，原因是该文件保存系统提供Internet服务的数据库。管理者只要在要关闭的服务名前加上#就可以关闭不需要的某项服务，减少系统服务，提高系统安全。

2.2 软件安全

对Apache软件应主要进行以下安全设置，增强Web服务器的安全性。

⑴选择性访问控制和强制性访问控制的安全策略

当Web服务器使用apache时，应采用选择性访问控制DAC（Discretionary Access Control）和强制性访问控制MAC（Mandatory Access Control）。这样的安全策略，极大提升系统安全，当遇到安全问题时，只要不改变服务器安全策略，攻击者任何努力都将无济于事。

⑵安全模块应用

Apache 设计思想是模块结构，为了保证Apache安全性，引入安全模块。安全模块实现Apache的访问控制、认证、授权等安全服务。例如：基于主机的访问控制的mod_access模块能够实现对Apache服务器的访问，mod_access模块主要依据访问者的IP地址（或域名，主机名等）。控制用户和组的认证授权（Authentication）采用mod_auth模块实现。

⑶Apache服务加固

采用Nobody用户运行的Apache Server，可以降低Apache Server进程以最可能低的权限用户来运行，以Nobody用户运行Apache 达到相对安全的目的。

Apache软件版本信息非常重要，特别是对于有心的网络危险分子，如果知道Apache软件版本信息，就会很容易得到Apache默认配置信息。去掉软件版本信息方法：在/etc/http.conf添加下面ServerSignature off；ServerTokens Pord就可以屏蔽软件版本。

2.3 Web服务器操作规范

Web服务器安全不但有技术问题，也有安全管理问题。为了服务器安全，在高校中要建立专业的管理团队，同时大力规范安全操作，要提高安全意识，明确责任划分，确定Web服务器安全防范的范围，定期专业管理团队进行安全意识与技术培训，规范服务器管理者操作，提升服务器安全。

3 结束语

Web服务器安全隐患涉及的安全范围较广。主要包括了Web服务器平台、Web应用软件、使用规范的三个方面问题。高校在校园网信息化建设中，需要充分考虑Web服务器安全问题，权衡安全要求来选择适当相应有效措施保护Web服务器的安全。当然，安全防范是一个永久性的问题，文中给出Web服务器安全解决方案，实际操作中客户根据实际情况，采取较良安全策略，能极大提升Web服务器安全。

参考文献：

[1] 黄晓华.高校网站安全问题分析[J].软件导刊，2014（8）.

[2] 宋斗超.高校网站的安全问题及应对策略探究[J].福建电脑，2013（6）.

[3] 仝素梅.高校网站建设安全问题分析及应对策略[J].网络安全技术与应用，2015（1）.

[4] 杨登攀.基于Linux系统的安全分析与防范策略[J].福建电脑，2009（5）.

[5] 杨登攀.校园网内部日志审计系统设计与实现[J].电子制作，2014（5）.

[6] 毛钧.Apache Web服务器安全运行环境配置总结[J].科技资讯，2007（6）.