維護Web服務器安全是（shì）信息安全中最不討好（hǎo）的差事之一。你需要在相衝（chōng）突的角色中找到平衡，允許對網（wǎng）絡資源的合法訪問（wèn），同時阻止惡意破壞。

你甚（shèn）至會考慮雙重認（rèn）證，例如（rú）RSA SecurID，來確保認證係統的高信任度，但是這對所有網站（zhàn）用戶來說也許不實用，或者不劃算。盡管存在這樣相衝突的目標（biāo），仍（réng）有六個有助Web服務器安全的步驟。

對內部和外（wài）部應用分別使用單獨的服務器

假設組織有兩類獨立的網（wǎng）絡應用，麵向外部用戶的服務和麵向內部用（yòng）戶的服務，要謹慎地將這些應用部署在不同的服務器上。這樣做可以減少惡意用戶突破外部服務器來獲得對敏（mǐn）感（gǎn）的內部信息地訪問。如果（guǒ）你沒有（yǒu）可（kě）用的部署工（gōng）具，你至少（shǎo）應該考慮使用技術控製(例如處（chù）理隔離)，使內部和（hé）外部應用不會互相牽涉。

使用單獨的開（kāi）發服務器測試和調試應用軟件

在單獨的Web服務（wù）器上測試應用軟（ruǎn）件（jiàn）聽起來像是（shì）常（cháng）識——的確是。不幸的是，許多組（zǔ）織沒有遵循這個基本規則，相反（fǎn）允許開（kāi）發者在生產服務器上調（diào）試代（dài）碼甚至開發（fā）新軟件（jiàn）。這對安全和可靠性（xìng）來說都很（hěn）可怕。在生產服務器上測試代碼會使用戶遇到（dào）故障，當開發者提交未經測試易受攻（gōng）擊的代（dài）碼時，引入安全漏洞。大多數現代（dài）版本控製係統（tǒng）(例如微（wēi）軟的Visual SourceSafe)有助於編碼/測試/調試過程自動（dòng）化。

審查網站活動，安全存儲日誌

每一個安全專業人員都知道維護服務器活動日誌的重要性（xìng）。由（yóu）於大多數Web服務器是公開的，對所有互聯網服（fú）務進行審核（hé）是很重要的。審核有助你檢測（cè）和（hé）打（dǎ）擊攻擊（jī），並且使你可以檢修服務器性能故障。在高級安全環境中，確保你的日誌存儲（chǔ）在物理安全的地點——最安全的(但是最不方便的)技巧（qiǎo）是日誌一產生就打印出來，建立（lì）不能被入侵者修改的紙記錄，前提是入侵者沒（méi）有（yǒu）物理訪問權限。你也許想要使用電子備份，例如登錄進安全（quán）主機，用數字簽名進行加密，來（lái）阻止（zhǐ）日誌被竊取和修（xiū）改。

培訓開發者進行可靠的安全編碼

軟件開發者致力於（yú）創建滿（mǎn）足商業需求的應用軟件，卻常常忽略了信息安全也是重要的商業需求。作為安全專業人員（yuán），你有責任對開發者進行影響（xiǎng）到Web服務器的安全問題的培訓。你（nǐ）應該讓開發者了解網（wǎng）絡中（zhōng）的（de）安全機（jī）製，確保他（tā）們開發的軟（ruǎn）件不會違背（bèi）這些機製;還要（yào）進行概（gài）念的培訓，例如內存泄漏攻擊和（hé）處理（lǐ）隔離——這些對編碼和生成安（ān）全的應用軟件大有幫助。

給操作係統和Web服務器打補丁

這是另一個常（cháng）識，但（dàn）是當管理員（yuán）因為其他任務而不堪重荷時常常忽略這一點。安全公告，像是CERT或者微軟發布的公告，提醒人們軟件廠商多頻繁地發布（bù）某些安全漏洞的修補程（chéng）序。一些工具像是微（wēi）軟的軟件升（shēng）級服務(SUS)和RedHat的升級服務（wù）有助於（yú）使這項任務自動（dòng）化。總之，一旦漏洞公布，如果你不修（xiū）補它，遲早會被人發現並利用。

使用應用軟（ruǎn）件掃描（miáo）

如果負擔（dān）地起，你也許會考慮使用應用軟（ruǎn）件掃描器來（lái）驗證內部編碼。像是Watchfire公司的AppScan這樣的工具有助於確保（bǎo）編（biān）碼在生產環境裏不會存在漏洞。記住，要有安全意識。設計良好的Web服務器結構應該基於健全的安全政策。貫徹執行這六個方法會幫助你（nǐ）建立（lì）堅固的（de）基礎。