社群营销的六个步骤(成本核算的六个步骤)

维护web服务器安全是信息安全中最费力不讨好的任务之一。您需要在冲突的角色之间找到一个平衡点，允许合法访问网络资源，同时防止恶意破坏。

内部和外部应用程序使用不同的服务器。

假设一个组织有两种独立的网络应用程序，为外部用户服务和为内部用户服务，这些应用程序应该小心地部署在不同的服务器上。这样做可以防止恶意用户突破外部服务器来访问敏感的内部信息。

如果没有可用的部署工具，至少应该考虑使用技术控制(比如处理隔离)，这样内部和外部应用程序就不会相互影响。

使用单独的开发服务器来测试和调试应用软件。

在单独的Web服务器上测试应用软件听起来像是常识。确实如此。不幸的是，许多组织没有遵循这个基本规则。相反，它们允许开发人员在生产服务器上调试代码，甚至开发新软件。这对安全性和可靠性是很可怕的。

在生产服务器上测试代码会导致用户遇到故障，当开发人员提交未经测试的易受攻击的代码时，会引入安全漏洞。大多数现代版本控制系统(如微软的Visual SourceSafe)有助于自动化编码/测试/调试过程。

查看网站活动并安全存储日志。

每个安全专家都知道维护服务器活动日志的重要性。由于大多数Web服务器都是公共的，所以审计所有的Internet服务是非常重要的。审核有助于您检测和抵御攻击，并使您能够排除服务器性能故障。在高级安全环境中，

确保您的日志存储在物理上安全的地方。最安全的(但也是最不方便的)办法是，日志一生成就打印出来，建立一个不能被入侵者修改的纸质记录，前提是入侵者没有物理访问权限。你可能想使用电子备份，如登录到一个安全的主机。

用数字签名加密，防止日志被窃取和修改。

培训开发人员进行可靠的安全编码。

软件开发人员致力于创建满足业务需求的应用程序，但往往忽略了信息安全也是一项重要的业务需求。作为一名安全专家，您有责任就影响Web服务器的安全问题对开发人员进行培训。您应该让开发人员了解网络中的安全机制，

确保他们开发的软件不会违反这些机制；还需要训练概念，比如内存泄漏攻击和处理隔离——，对编码和生成安全的应用软件有很大的帮助。

修补操作系统和Web服务器。

这是另一个常识，但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告，像是CERT或者微软发布的公告，提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。

一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之，一旦漏洞公布，如果你不修补它，迟早会被人发现并利用。

使用应用软件扫描

如果负担地起，你也许会考虑使用应用软件扫描器来验证内部编码。像是Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住，要有安全意识。

设计良好的Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。