网站的WSS安全运行问题研究

摘要

  伴随我国网络技术和计算机技术的不断发展,信心发布已经成为WEB网站应用最为广泛的方式,向WSS网站发布办公文档,创建共享协助和文档信息的网站,制作精美的动态网页等等都可以通过微软公司的WINDOWSSHAREPOINTSERVICES服务来实现。不仅仅如此,为了能够容易地共享其他信息和联系人,还能够进行联机协作和信息共享,有利于公司效率的提升。但是,由于WEB业务的快速发展,网站操作系统的漏洞和WEB服务程序的数据库中也容易遭到网络黑客的利用,最终获取控制WEB服务器的权限,如果情况严重会发生内部数据被窃取、网页内容被篡改等等事故,使访问网站的人员收到侵害。于是人们越来越关注WEB应用的关注度与应用层的安全问题。同时,WSS尽管可以在基本部署中得以正常使用,但是为了不给日后的使用带来困扰,应注重其相应的最佳安全性能。每一个WSS都需要根据用户的部署与调整,其都是独特的。WSS的设计采用了模块化,用于库、列表、站点集合、站点等等的创建,它提供构造块,不管需要对哪种网站进行创建,都可以通过如下方面来进行WSS安全运行的有效保证。

  1 用户访问权限

  从安全和管理等方面来进行考虑,将使用WSS的客户分为完全控制、设计、参与讨论、读者这4种权限。除了拥有其他网站用户组所具有的权限之外,完全控制用户还拥有创建WSS网站、对列表进行管理、对网站用户进行管理等权限。除了参与讨论的权限之外,设计用户还能够对网页权限进行自定义,创建文档库和列表信息等等。参与讨论用户没有创建文档库和创建列表的权限,但是却拥有向列表和文档库中添加信息内容的权限。读者用户无法向网站中加入新的内容,仅仅具备了访问网站的权限。针对网站的普通访问者以及企业员工而言,一般情况下,可以给予他们讨论参与权限与读者权限,而为了达到保护WSS网站安全的目的,应授予管理员完全控制的权限。而将网站设计者的权限应授予部门的网站管理者。

  2 流量加密

  在部署、规划WSS时,应考虑WSS服务器以及最终用户和WSS服务器之间的数据流量的安全性。公钥基础结构的准备应在对WSS部署之前,应采用SSL对最终用户与WSS服务器之间的HTTP流量进行加密。与此相同,也应该使用IPSEC对WSS服务器之间的流量进行加密。在基础PKI结构和证书的支持下,可执行这两种加密。

  3 服务账户的配置

  在对WSS进行部署的过程中,为了完成整体SHAREPOINT安装的过程,管理员创建一个服务账户,但是,值得一提的是这种做法缺乏安全性,存在着一定的风险,尽管它也能够让WSS服务器正常运转。因此,为了有效杜绝安全性受到侵害与威胁,对于账户而言,WSS仅仅提供执行器工作所需要的权限。在整个部署的过程中,如果管理员对同一个服务账户进行使用的化,就会造成过多的权限集中于该账户中,给日常的使用带来了安全隐患,而且,利用这些过多的权限,黑客能够对服务器进行控制,并将其在WSS服务器上运行代码。并不是服务账户创建的越多就能够确提高其安全性,但是若要执行基本的WSS部署,最少应使用5个单独的账户,并同时安装SOLSERVER和WSS。安装SOLSERVER和WSS这个用户账户,是SQLSERVER登陆组的成员,同时也是WSS服务器上的本地管理员组成员,并分别向账户授予SOLSERVER安全管理员以及SQLSERVER数据库创建者的称号。在角色的作用下,该账户具有了管理SQLSERVER的安全性及修改和创建数据库的权限。5个单独账户由基本的WSS分别进行部署,详情如下:SQ,SERVER服务账户:应使用一个专用的账户、SQLSERVER需要服务账户。应用程序池服务账户:池内的WEB应用程序应能够对WSS内容数据库进行访问,而且,该进程也被应用程序池标识账户有效利用。由IIS内的工作进程使用了该账户。内容访问账户:在特定的共享服务提供程序内,该账户对内容进行访问,特殊情况下,为了便于对多个内容源进行访问,还可以根据需要对多个内容访问账户进行创建。搜索服务账户:该账户由WSS搜索服务将有效内容索引文件在索引服务器中写入,并在服务器场中所存在的任何查询服务器中复制索引的信息。数据库访问账户:该账户是SQLSERVER数据库与WSS进行通信的账户。

  4 数据库安全

  在SQLWDRVER数据库中存储着WSS库和列表中所包含的所有数据,SQLSERVER数据库中还将大多数WSS配置设置存储其中。至关重要的问题时对SQLSERVER的正确保护。分析SQLSERVER的实施,可利用微软所提供的SQLSERVER外围应用配置器,另外该配置器还能够对任何未使用的功能进行禁止。在WSS正常运行后,才能使用该工具。

  5 服务器安全

  5.1 安全加固

  对不必要的端口和服务进行禁用,能够有效提升系统运行效率与系统安全性能。为有助于中小企业的安全状态,并根据状态所显示出的具体指导进行修正,可以有效修补应用程序和系统的漏洞。使用MBSA检测时,为了将安全管理流程进行有效改善,应安全更新计算机系统遗漏,并正确配置器安全性。还可通过将防火墙装配于系统的方式加固安全,若服务器仅仅需要运行WSS,可将该端口开放与防火墙上。

  5.2 系统账户安全性

  修改管理用户名,并对账户进行重新创建,启用的面应确定密码长度,在设置密码时,数字和字母应设置为八位以上的有效密码,尽可能提高其复杂度。将账户设置为登陆三次无效,启用密码锁定策略。除此之外,还可以通过设定复位账户锁定计数器、锁定时间等手段,来保护系统账户的安全性。应用GUEST用户是为了防止密码的暴力破解,应将不必要的用户删除,并将陷阱账户中的所有用户组去除。

  5.3 安装操作系统

  以NTFS为标准,来设置存放站点的磁盘格式与安装操作系统,这样可以便于对权限的设置。如果在预算允许的范围内,为了减少服务器的受攻击面,最好避免将数据库和操作系统在一台计算机上进行部署。在预算有限的条件下,为了能够将WSS和数据库隔离,可以考虑使用服务器虚拟化技术。在不同的分区中,分别安装操作系统的WSS数据位置以及系统给的系统文件位置,另外,为了对重要的数据和程序进行备份,还应将一个分区预留出来。无论是数据库还是WSS中存在安全漏洞,都不会对系统文件和系统目录产生直接影响,同时也能及时恢复服务器故障。

  6 结束语

  文章通过用户访问授权、流量加密、服务账户的配置、数据库安全性、服务器安全等方面来阐述如何提高使用WSS技术的可靠性与安全性。在全面确保安全性方面,使用科学、正确的安全防范方法,虽然不能避免绝对安全,但是对于WSS安全而言却是不可缺少的有效手段。

  参考文献
  [1]文继权,屈武江.基于任务与过程的教学评价方法的探索与实践—以《Asp.net动态网站开发》课程为例[J].民营科技,2013(1):100.
  [2]王海婴,李建民,李迎春.课程网站开发中测试模块的一种轻量级实现[J].兰州石化职业技术学院学报,2012(4):22-24.
  [3]侯志国,陈猛,杨凯斌.高等职业院校《动态网站开发》课程教学改革与研究[J].福建电脑,2013(1):29.
  [4]杨林娟.基于工作过程导向的教学课程改革探讨—以中职学校网页制作与网站开发课程为例[J].职业,2012(30):92-93.
  [5]胡晓凤,李焕春,李迎.《网站设计与开发实训》课程在高职计算机应用专业人才培养中的构建[J].电子世界,2012(8):115-116.
  [6]徐婷,汪志莉,徐来.基于用户体验的手机图书馆WAP网站开发[J].图书馆学刊,2012(3):112-114.
  [7]丁琳,等.基于B/S系统实现水利水电综合管理系统的开发[J].陕西水利,2012(1):129-131.