维护🍏Web服务器【fú wù qì】安全是信息安🤨全中最不讨好🏙的差事之一【zhī yī】。你需要在相冲突的角🌹色中找到平衡【dào píng héng】🤘，允许对🧣网络资【wǎng luò zī】源的合【yuán de hé】法访问，同时阻止恶意破坏【pò huài】。

你甚至【nǐ shèn zhì】🚚会考虑📌双重认【shuāng chóng rèn】证📘，例如🔹RSA SecurID，来确保认证📘系统的高信任【gāo xìn rèn】度，但是这【dàn shì zhè】对所有【duì suǒ yǒu】网站用户来说🏞也许不【yě xǔ bú】实用，或者不🤞划算🚔。尽管存在这样【zài zhè yàng】相冲突【xiàng chōng tū】的目标，仍有六个有助Web服务器安全的【ān quán de】📨步骤。

对内部和外部应用分别使用单独的服务器

假设组织有两类独立的网络应用，面向外部用户的服务【fú wù】🈴和面向👄内部用【nèi bù yòng】🛁户的服务【fú wù】🈴，要谨慎地将这🤦些应用部署在【bù shǔ zài】😳不同的服务【fú wù】🈴器上。这样做【zhè yàng zuò】可以减少恶意用户突【yòng hù tū】🦗破外部【pò wài bù】服务【fú wù】🈴器来获得对敏感🥃的内部【de nèi bù】🥀信息地【xìn xī dì】访问【fǎng wèn】♐。如果你没有可👢用的部🥈署工具【shǔ gōng jù】🌏，你至少【nǐ zhì shǎo】应该考➿虑使用技术控【jì shù kòng】制(例如处【lì rú chù】理隔离)，使内部和外部应用不【yīng yòng bú】会互相牵涉🦎。

使用单独的开发服务器测试和调试应用软件

在单独的Web服务器上测试【cè shì】😈应用软件🥗听起来像是常识——的确是【de què shì】。不幸的是，许多组织没有遵循这【zūn xún zhè】🧥个基本【gè jī běn】规则【guī zé】🐅，相反允【xiàng fǎn yǔn】许开发者在生🦖产服务【chǎn fú wù】器上调【qì shàng diào】⛎试代码🔉甚至开【shèn zhì kāi】🕍发新软件🥗。这对安🎥全和可🍃靠性来说都很可怕。在生产【zài shēng chǎn】服务器上测试【cè shì】😈代码会【dài mǎ huì】使用户【shǐ yòng hù】遇到故【yù dào gù】障【zhàng】🐊，当开发者提交【zhě tí jiāo】🚚未经测试【cè shì】易受攻击的【gōng jī de】🤤代码时【dài mǎ shí】，引入安全漏洞。大多数🎮现代版本控制系统【xì tǒng】(例如微软的🎩Visual SourceSafe)有助于编码/测试【cè shì】/调试过😯程自动🚘化🗓。

审查网站活动，安全存储日志

每一个安全专【ān quán zhuān】业人员都知道维护服【wéi hù fú】🔲务器活动日志的【de】🏝重要性。由于大多数💛Web服务器是公开的【de】🏝，对所有互联网【hù lián wǎng】服务进【fú wù jìn】🍗行审核【háng shěn hé】🗓是很重🚡要的【de】🏝。审核有助你检【zhù nǐ jiǎn】测和打💗击攻击，并且使你可以检修服务器性【wù qì xìng】📳能故障【néng gù zhàng】。在高级安全环境中🏾，确保你🎋的【de】日志🆎存储在物理安【wù lǐ ān】全的【de】🏝地点🚾——最安全的【de】🏝(但是最不方便【bú fāng biàn】👗的【de】🏝)技巧是🥔日志一产生就🤚打印出🏸来，建立不能被入【néng bèi rù】侵者修改【xiū gǎi】🔯的【de】🏝纸记录【zhǐ jì lù】，前提是【qián tí shì】入侵者没有物【méi yǒu wù】理访问权限【quán xiàn】🏟。你也许想要使㊗用电子【yòng diàn zǐ】备份，例如登【lì rú dēng】🔼录进安全主机，用数字签名进【qiān míng jìn】🍿行加密【háng jiā mì】，来阻止日志被窃取和🐌修改【xiū gǎi】🔯。

培训开发者进行可靠的安全编码

软件开发者致力于创【lì yú chuàng】🎱建满足【jiàn mǎn zú】🦔商业需求【qiú】的应用软件，却常常【què cháng cháng】忽略了信息安全也是【quán yě shì】🥔重要的【chóng yào de】商业需求【qiú】。作为安全专业【quán zhuān yè】🥅人员【rén yuán】🍿，你有责【nǐ yǒu zé】任对开发者进👂行影响【háng yǐng xiǎng】到Web服务器🔯的安全🏠问题的培训🌕。你应该让开发者了解👏网络中【wǎng luò zhōng】的安全🏠机制🥂，确保他们开发的软件不会违背这些机制🥂;还要进行概念🥜的培训🌕，例如内【lì rú nèi】存泄漏【cún xiè lòu】攻击和处理隔🔛离——这些对编码和🌊生成安【shēng chéng ān】全的应【quán de yīng】用软件大有帮【dà yǒu bāng】助🌃。

给操作系统和Web服务器打补丁

这是另一个常识，但是当【dàn shì dāng】管理员因为其【yīn wéi qí】他任务而不堪重荷时【chóng hé shí】常常忽【cháng cháng hū】👯略这一【luè zhè yī】👥点。安全公【ān quán gōng】📥告，像是CERT或者微【huò zhě wēi】软发布的公告🚀，提醒人🐱们软件【men ruǎn jiàn】🌮厂商多频繁地发布某🌲些安全漏洞的🎤修补程序。一些工具像是🏧微软的软件升级服务🏟(SUS)和RedHat的升级👅服务有助于使【zhù yú shǐ】🍐这项任【zhè xiàng rèn】务自动【wù zì dòng】化【huà】❕。总之🤥，一旦漏【yī dàn lòu】洞公布【dòng gōng bù】，如果你不修补【bú xiū bǔ】它，迟早会被人发📪现并利用。

使用应用软件扫描

如果负担地起【dān dì qǐ】，你也许会考虑【huì kǎo lǜ】🐍使用应用软件扫描器来验证内部编【nèi bù biān】🛢码【mǎ】。像是Watchfire公司的AppScan这样的📌工具有⛅助于确🐪保编码【bǎo biān mǎ】在生产环境里【huán jìng lǐ】不会存🎡在漏洞【zài lòu dòng】👐。记住🏌，要有安全意识。设计良好的Web服务器【fú wù qì】😧结构应🈵该基于健全的安全政【ān quán zhèng】🤧策【cè】。贯彻执行这六个方法【gè fāng fǎ】🔦会帮助你建立【nǐ jiàn lì】坚固的基础。