2、合理配置Web服務(wù)器

　　(1)在Unix OS中，以非特權(quán)用戶而不是Root身份運(yùn)行Web服務(wù)器。(如Nobody、www、Daemon)
　　(2)設(shè)置Web服務(wù)器訪問控制。通過IP地址控制、子網(wǎng)域名來控制，未被允許的IP地址、IP子網(wǎng)域發(fā)來的請求將被拒絕；
　　(3)通過用戶名和口令限制。只有當(dāng)遠(yuǎn)程用戶輸入正確的用戶名和口令的時候，訪問才能被正確響應(yīng)。
　　(4)用公用密鑰加密方法。對文件的訪問請求和文件本身都將加密，以便只有預(yù)計的用戶才能讀取文件內(nèi)容。

　　3、設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限

　　為了安全起見，管理員應(yīng)對“文檔根目錄”(HTML文件存放的位置)和“服務(wù)器根目錄”(日志文件和配置文件存放的位置)做嚴(yán)格的訪問權(quán)限控制；

　　(1)服務(wù)器根目錄下存放日志文件、配置文件等敏感信息，它們對系統(tǒng)的安全至關(guān)重要，不能讓用戶隨意讀取或刪改；
　　(2)服務(wù)器根目錄下存放CGI腳本程序，用戶對這些程序有執(zhí)行權(quán)限，惡意用戶有可能利用其中的漏洞進(jìn)行越權(quán)操作，比如，增、刪、改；
　　(3)服務(wù)器根目錄下的某些文件需要由Root來寫或者執(zhí)行，如Web服務(wù)器需要Root來啟動，如果其他用戶對Web服務(wù)器的執(zhí)行程序有寫權(quán)限，則該用戶可以用其他代碼替換掉Web服務(wù)器的執(zhí)行程序，當(dāng)Root 再次執(zhí)行這個程序時，用戶設(shè)定的代碼將以Root身份運(yùn)行。

　　4、謹(jǐn)慎組織Web服務(wù)器的內(nèi)容

　　5、安全管理Web服務(wù)器

　　Web服務(wù)器的日常管理、維護(hù)工作包括Web服務(wù)器的內(nèi)容更新，日志文件的審計，安裝一些新的工具、軟件，更改服務(wù)器配置，對Web進(jìn)行安全檢查等。主要注意以下幾點(diǎn)：

　　(1)以安全的方式更新Web服務(wù)器(盡量在服務(wù)器本地操作)；
　　(2)經(jīng)常審查有關(guān)日志記錄；
　　(3)進(jìn)行必要的數(shù)據(jù)備份；
　　(4)定期對Web服務(wù)器進(jìn)行安全檢查；
　　(5)冷靜處理意外事件。

　　五、Web網(wǎng)站的安全管理

　　1、建立安全的Web網(wǎng)站，首先要全盤考慮Web服務(wù)器的安全設(shè)計和實施。無論是政府網(wǎng)站，還是企業(yè)、商業(yè)機(jī)構(gòu)或是社會團(tuán)體，各自都有其特殊的安全要求，所以，根據(jù)本單位的實際情況出發(fā)，周密制定安全政策是實現(xiàn)系統(tǒng)安全的前提。

　　2、對Web系統(tǒng)進(jìn)行安全評估，也就是說，權(quán)衡考慮各類安全資源的價值和對它們實施保護(hù)所需要的費(fèi)用。這個當(dāng)中不能只考慮看得見的資源實體，應(yīng)該綜合考慮資源帶來的效益，資源發(fā)生不安全情況的幾率，資源的安全保護(hù)被突然破壞時將可能帶來的損失。

　　3、制定安全策略的基本原則和管理規(guī)定，即指明各類資源的基本安全要求以及為了達(dá)到這種安全要求應(yīng)該實施的事項。安全管理是由個人或組織針對為了達(dá)到特定的安全水平而制定的一整套要求有關(guān)部門人員必須遵守的規(guī)則和違規(guī)罰則。對于Web服務(wù)提供者來說，安全管理的一個重要的組成是哪個人可以訪問哪些Web文擋，獲權(quán)訪問Web文檔和使用這些訪問的人的有關(guān)部門權(quán)利和責(zé)任，有關(guān)人員對設(shè)備、系統(tǒng)的管理權(quán)限和維護(hù)守則，失職處罰等。

　　4、對員工的安全培訓(xùn)，培養(yǎng)員工主動學(xué)習(xí)安全知識的意識和能力。一個網(wǎng)站的安全政策必須被每一個工作人員所理解，這樣才可能讓每一個員工自覺遵守、維護(hù)它。

　　盡管如此，Web網(wǎng)站的安全是相對的，沒有絕對的安全，我們只能把遭受攻擊的可能性降到最低。更重要的是，必須做到“有法必依”，把安全政策體現(xiàn)到設(shè)備的選購、網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計、人員的配置、管理及每一個人的日常的工作中。

　　本文所用到的英漢縮略說明：

　　Web 是 World Wide Web 的簡稱
　　HTTP(Hyper Text Transfer Protocol) 超文本傳輸協(xié)議
　　IIS (Internet Information Server) Internet 信息服務(wù)器
　　CGI(Common Gateway Interface) 公共網(wǎng)關(guān)接口
　　LAN(Local Area Network) 局域網(wǎng)
　　RPC(Remote Procedure Call) 遠(yuǎn)程過程調(diào)用
　　TCP(Transmission Control Protocol) 傳輸控制協(xié)議
　　IP(Internet Protocol) 網(wǎng)際協(xié)議
　　FTP(File Transfer Protocol) 文件傳輸協(xié)議
　　SMTP(Simple Mail Transfer Protocol) 簡單郵件傳送協(xié)議
　　PC(Personal Computer) 個人計算機(jī)
　　OS(Operating System) 操作系統(tǒng)