ntuccepaper2019

作者：李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師

---

架設網站伺服器往往由於網站管理者對於資訊安全相關知識了解不多或不夠深入，未建立網站的安全防護機制，在internet環境下，容易被駭客入侵。本篇文章將介紹基礎的網站安全管理方式，提供校園內的網站管理人員參考，以提升校園網站整體安全性，降低資安事件發生的機率。

 

利用學術網路架設網頁伺服器是相當普遍的行為，但是由於網站管理者對於資訊安全相關知識了解不多，未建立網站的安全防護機制。然而網站主機全天候24小時暴露在internet環境下，容易被駭客入侵成為Botnet(殭屍網路)的一員。本篇文章將介紹基礎的網站安全管理方式，提供校園內的網站管理人員參考，以提升校園網站整體安全性，降低資安事件發生的機率。

 

定期更新作業系統與應用程式

作業系統漏洞一直是駭客喜愛攻擊的弱點之一，定期更新作業系統已是相當基礎的資安防護方式。

 

以微軟的Windows作業系統為例，每月中旬都會發表重大更新，發表過後的一個月通常為駭客入侵之高峰期，宜及時完成安全性更新。

• Windows更新請參考：http://windows.microsoft.com/zh-TW/windows7/products/features/windows-update

• Mac OS X更新請參考：http://support.apple.com/kb/HT1338?viewlocale=zh_TW

• Unix-like OS由於種類繁多，在此不一一贅述，請隨時注意自己安裝的作業系統是否有公布重大的安全性更新。

 

只要是人撰寫的程式，就容易有程式的漏洞。在選擇架設網站會用到的應用程式時，應挑選提供安全性更新的應用程式，並且即時更新，盡量避免使用過舊的整合套件，也不要從非官方或不明來源的網站下載這些整合套件，這些套件很有可能都已經被安裝了木馬程式。

 

安裝防毒軟體

防毒軟體能偵測主機內的惡意程式或檔案，安裝防毒軟體也是一個基礎的資安防護方式，它能避免主機遭受已知的惡意程式感染。

• 防毒軟體種類繁多，市面上也有許多免費的防毒軟體可自行下載，都可以提供基礎的病毒防護。計中也有提供全校授權的防毒軟體，請自http://download.cc.ntu.edu.tw/ 以計中E-mail帳號登入即可下載。

• 防毒軟體的病毒碼是偵測惡意檔案的核心，設定自動定時更新以確保病毒碼版本都是最新的。

• 在安裝防毒軟體且更新病毒碼後，應做一次全系統掃描，且要設定全系統自動掃描的排程。

• 管理者應定期瀏覽掃描報告，檢查是否有異常檔案。

 

啟動防火牆機制

為了避免整台主機門戶大開暴露在internet環境下，必須啟動防火牆機制以確保存取範圍最小化。

• 防火牆的啟動原則是僅開放需要使用的連線IP與Port。

• 建議「每六個月」要檢查一次這些防火牆設定是否需要更新。

• Windows防火牆設定請參考：http://technet.microsoft.com/en-us/library/cc732283(WS.10).aspx，或http://blog.miniasp.com/post/2011/08/08/Windows-Firewall-with-Advanced-Security-Tips-and-Review-SOP.aspx

• Mac OS X防火牆設定請參考：http://support.apple.com/kb/HT1810?viewlocale=zh_TW

• Linux iptables設定請參考：http://linux.vbird.org/linux_server/0250simple_firewall.php

 

Nessus弱點掃描

Nessus是一套免費的弱點評估軟體，它主要是針對系統層面做弱點掃描，以清楚詳實的報表呈現系統中的弱點與建議改善方式，提供給網站管理者做為修補漏洞之參考。

• 詳細安裝與使用方式，請參考「教育學術網路系統安全保證及反駭客控制技術研發中心」的教學文件：www.anti-botnet.edu.tw/content/nessus/nessus_v3.php

• 在「新系統上線前」必須做一次掃描，並根據掃描報告修補弱點。

• 在「系統有重大變更或改版後」必須再做一次掃描，並根據掃描報告修補弱點。

• 即使網站管理者未做任何變更，仍建議「每六個月」必須做一次掃描，並根據掃描報告修補弱點。

 

教育機構網站應用程式弱點監測平台

「教育機構網站應用程式弱點監測平台」是教育部提供TANet連線單位免費使用的弱點監測平台，它主要是針對網站應用程式做弱點掃描。網站管理員可自助式的提出申請並自動排程掃描，掃描報告會自動寄送電子郵件至網站管理者信箱，以供修補漏洞之用。

• 詳細申請與使用方式，請參考http://mozart.cc.ntu.edu.tw。

• 在「新網站上線前」必須做一次掃描，並根據掃描報告修補弱點。

• 在「網站有重大變更或改版後」必須做一次掃描，並根據掃描報告修補弱點。

• 即使網站管理員未做任何變更，仍建議「每六個月」必須做一次掃描，並根據掃描報告修補弱點。

 

結語

確實執行上述之資安管理項目及漏洞修補，可防禦大部分已知的網站攻擊。「資訊安全，人人有責」，只要您是學術網路的一員，就該為學術網路的資訊安全盡一分力。無論您是網站管理者或一般使用者，將基礎的資安防護觀念融入您的網路使用習慣，可以大幅避免您個人或整個校園因為資安事件而造成的傷害及損失。

 

參考資料

[1] http://support.microsoft.com/?ln=zh-tw
[2] http://www.apple.com/support/
[3] http://blog.miniasp.com/post/2011/08/08/Windows-Firewall-with-Advanced-Security-Tips-and-Review-SOP.aspx
[4] http://linux.vbird.org/linux_server/0250simple_firewall.php
[5] http://mozart.cc.ntu.edu.tw
[6] www.anti-botnet.edu.tw/content/nessus/nessus_v3.php