求教架设web服务器如何做安全防护

第一步：选择系统平台

1 这里推荐 Windows Server 2003/32位，原因：该版操作系统成熟可靠，可用软件丰富，能支持超大内存；

2 安装操作系统时，请不要安装网上下载的Ghost版或精简版，不能安装有病毒的系统，否则可能前功尽弃。

第二步：部署所需环境

1 安装操作系统后，顺便安装好IIS和FTP，方便建立WEB和FTP用。（如果没有安装IIS，可以下载IIS组件自行安装）；

2 如果需要ASP环境，请开启ASP运行条件；

3 如果需要SQL Server数据库，请安装对应软件，建议SQL Server 2005，根据自己的系统要求进行选择。

4 如果需要Net环境，请下载对应的Net安装包版本安装。

5 安装其他软件，如入侵防护系统，杀毒软件等。

第三步：配置所需安全

1 所需环境部署后，需要设置系统安全，包括磁盘权限和数据库，以及其他组件，这里2 设置磁盘权限，包括系统盘和其他磁盘；

3 变更系统账户，如将 Administrator 重命名，尽可能设置复杂密码。

第四步：配置管理工具

1 安装主机管理系统，建议安装免费，方便开设站点，并可方便备份和恢复的主机管理系统；

2 用主机系统开设站点，绑定域名，部署网页文件，测试能否正常访问；

3 安装其他主机管理软件，比如一些被控端，但注意做好权限设置工作。

第五步：部署运营监控

1 部署远程监控系统，如：代维系统，方便统一监控服务器状况，如IO、CPU、内存、带宽等使用情况，及时预警；

2 查杀网页木马，找出原来存在的网页木马文件，可以用：云查杀系统或入侵防护系统扫描，发现木马文件妥善处理；

3 入侵防护系统可以实时监控网页木马、畸形文件、远程登录、用户提权、防注入、进程限制、防篡改限制、非法内容生成控制等，推荐；

4 如果数据重要，建议安装安全套装，提高安全系数。

第六步：注意事项

1 不建议开启服务器上软件的自动升级功能，比如杀毒软件/输入法等，因为很可能破坏系统的安全体系；

2 不要在服务器安装不必要的软件，比如QQ，以及有些杀毒软件，特别消耗资源；

3 不要轻易在服务器上打开未知软件和客户网站，否则可能造成中毒；

4 其他影响服务器安全的事项。

天津威宏信息科技有限公司好。

1、软件开发：天津威宏信息科技有限公司拥有一支专业的软件开发团队，能够根据客户的需求进行定制化开发，包括企业应用软件、移动应用软件、网站开发等。

2、系统集成：公司提供全面的系统集成服务，包括硬件设备的集成、软件系统的集成、网络环境的集成等，帮助客户实现信息化整体解决方案。

3、数据分析：天津威宏信息科技有限公司具备强大的数据分析能力，能够通过大数据技术对客户的业务数据进行深度挖掘，为客户带来有价值的商业洞察。

4、云计算：公司积极布局云计算领域，提供云服务器、云存储、云数据库等云计算服务，帮助客户实现弹性扩容、高可用性、高性能的计算需求。

5、物联网：天津威宏信息科技有限公司关注物联网技术的发展，为客户提供物联网解决方案，包括设备接入、数据采集、远程控制等功能。

6、企业文化：天津威宏信息科技有限公司秉承“创新、务实、合作、共赢”的企业精神，致力于为客户提供优质的服务，实现与客户的共同发展。

7、员工福利：公司为员工提供良好的工作环境和福利待遇，包括五险一金、带薪年假、节日福利等，关心员工的成长和发展。

以签笔盒电子合同平台为例：

①实名认证：用户签署合同前，需在签笔盒电子合同平台进行实名身份认证，通过后平台会联合CA机构为您颁发CA证书。

②传输加密：采用数字签名技术机制保障的电子签章，保障数据和文件在传输的过程中不被篡改和丢失。

③第三方取时：签笔盒电子合同签署过程中具有IP存证功能，唯一性的时间源证据链，可信时间戳有效防止合同产生异地异人签署过程，阻止合同非法篡改。

④PDF防篡改：签笔盒电子合同平台的电子合同采用的是PDF文件加密格式，起到一定的防篡改作用。

⑤云端存储：关于合同的存储，实际上电子合同存储在本地，证据效力低，因为你很难自证清白；而存储在网络服务商那，取证也会非常麻烦；所以说，第三方电子合同平台应该是最好的选择：签笔盒电子合同将签署好的合同加密存储在安全云存储中，保证了合同的原样输出，取证简单，法律效力高。

⑥当产生合同纠纷时，可一键生成在签笔盒平台签署合同过程中的电子报告，作为有效法律凭证。如果用户有出具司法鉴定报告、公证书的需求，用户只需在线提交保全申请，签笔盒电子合同便会帮助用户向公证处、司法鉴定中心提交出证申请，由相关机构直接办理出证。这些法律证明文书均可直推向法院、仲裁等机构，从而实现电子证据的生成、保管、流转、使用闭环。

APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试，前段时间某金融客户的APP被黑客恶意攻击，导致APP里的用户数据包括平台里的账号，密码，手机号，姓名都被信息泄露，通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持，防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况，我们立即成立了SINE安全移动端APP应急响应小组，关于APP渗透测试的内容以及如何解决的问题我们做了汇总，通过这篇文章来分享给大家。

首先要了解客户的情况，知彼知己百战不殆，客户APP架构开发是Web（php语言）+VUE框架，服务器采用的是Linuxcentos系统，数据库与WEBAPP端分离，通过内网进行传输，大部分金融以及虚拟币客户都是采用此架构，有的是RDS数据库，也基本都是内网传输，杜绝与前端的连接，防止数据被盗，但是如果前端服务器（APP）存在漏洞导致被黑客攻击，那么攻击者很有可能利用该服务器的权限去远程连接数据库端，导致数据泄露，用户信息被**的可能。

然后对客户服务器里的APP代码，以及网站PHP源文件进行代码的安全审计，以及网站木马文件的检测与清除，包括网站漏洞测试与挖掘，我们SINE安全都是人工进行代码的安全审计与木马检查，下载了客户代码到本地电脑里进行操作，包括了APP的网站访问日志，以及APP的Android端+IOS端文件也下载了一份到手机里。我们在检测到客户APP里的充值功能这里存在SQL注入漏洞，因为本身网站选择的是thinkphp框架二次开发的，程序员在写功能的时候未对充值金额的数值进行安全判断，导致可以远程插入恶意的SQL注入代码到服务器后端进行操作，SQL注入漏洞可以查询数据库里的任何内容，也可以写入，更改，通过配合日志的查询，我们发现该黑客直接读取了APP后台的管理员账号密码，客户使用的后台地址用的是二级域名，开头是adminXXXXXcom，导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志，通过溯源追踪，黑客的IP是菲律宾的，还发现后台存在文件上传功能，该功能的代码我们SINE安全对其做了详细的人工代码安全审计与漏洞检测，发现可以上传任意文件格式漏洞，包括可以上传PHP脚本木马。

攻击者进一步的上传了已预谋好的webshell文件，对APP里的网站数据库配置文件进行了查看，利用APP前端服务器的权限去连接了另外一台数据库服务器，导致数据库里的内容全部被黑客打包导出，此次安全事件的根源问题才得以明了，我们SINE安全技术继续对该金融客户的APP网站代码进行审计，总共发现4处漏洞，1，SQL注入漏洞，2，后台文件上传漏洞。3，XSS跨站漏洞,4，越权查看其它用户的银行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后门文件，包含了PHP大马，PHP一句话木马，PHP加密，PHP远程调用下载功能的代码，mysql数据库连接代码，EVAL免杀马等等。

我们SINE安全对SQL注入漏洞进行了修复，对get,post,cookies方式提交的参数值进行了安全过滤与效验，限制恶意SQL注入代码的输入，对文件上传漏洞进行修复，限制文件上传的格式，以及后缀名，并做了文件格式白名单机制。对XSS跨站代码做了转义，像经常用到的<>script等等的攻击字符做了拦截与转义功能，当遇到以上恶意字符的时候自动转义与拦截，防止前端提交到后台中去。对越权漏洞进行银行卡查看的漏洞做了当前账户权限所属判断，不允许跨层级的查看任意银行卡信息，只能查看所属账户下的银行卡内容。对检测出来的木马后门文件进行了隔离与强制删除，并对网站安全进行了防篡改部署，以及文件夹安全部署，服务器底层的安全设置，端口安全策略，等等的一系列安全防护措施。

至此客户APP渗透测试中发现的网站漏洞都已被我们SINE安全修复，并做了安全防护加固，用户信息泄露的问题得以解决，问题既然发生了就得找到漏洞根源，对网站日志进行溯源追踪，网站漏洞进行安全测试，代码进行安全审计，全方面的入手才能找出问题所在，如果您的APP也被攻击存在漏洞，不知道该如何解决，修复漏洞，可以找专业的网站安全渗透测试公司来解决，国内SINESAFE，鹰盾安全，绿盟，启明星辰，深信服都是比较专业的、也由衷的希望我们此次的安全处理过的分享能够帮到更多的人，网络安全了，我们才能放心的去运营APP。

简介：天津麒麟信息技术有限公司成立于2014年，是中国电子信息产业集团和天津市政府在安全可控信息系统领域进行战略合作的重大部署，是中国电子集团布局安全可控信息产业的核心企业之一，也是天津滨海新区网络安全和信息化产业规划内的龙头企业。公司致力于安全可控操作系统（麒麟）及其衍生产品的研制和产业推广，并联合CPU、整机、数据库、中间件、应用软件和系统集成企业，共建安全可控信息系统示范基地，形成安全可控信息系统良性生态。操作系统作为基础软件的基石，是上层信息系统的基础。使用Windows操作系统和国外商用UNIX操作系统，不仅存在严重的安全隐患，而且缺乏自我保障能力，难以满足核心领域信息系统和关键设备对操作系统的高安全性和高可靠性要求。麒麟操作系统肇始于“十一五”国家科技重大专项的研究成果，已走过十余年的发展历程，形成了服务器、桌面和嵌入式三大系列产品，拥有国内最高的操作系统安全等级，具有高安全性、高可用性、高可扩展性等特点，并在此基础上研制成功多款云计算和云存储产品，已广泛部署于电力、电信等重要行业。

法定代表人：王定健

成立时间：2014-12-11

注册资本：5000万人民币

工商注册号：120116000312067

企业类型：有限责任公司

公司地址：天津滨海高新区塘沽海洋科技园信安创业广场3号楼6-8层