Win2K Internet服務器安全構建指南(五)(IIS篇)

　　三、建立審核例行程序和備份策略

　　完成了以上這些任務后，可以說服務器就是一個"準Inte.net 服務器"了。之所以說"準"，是因為還需要以下兩個重要的補充方案：

　　1、建立審核例行程序

　　在站點對外開放前，我們必須為這個服務器配置一個審核程序，以及時全面地確定服務器是否正受到攻擊或威脅。日志文件就象一個站點的耳朵，千萬不要讓它成為擺設，每天都要安排一定的時間來查看日志、檢查是否有異?；顒影l生。而且，可以使用一些商業工具方便地、及時地或定時地收集和整理相關日志信息，以期更有效地檢查它們。

　　以下是必須重點關注的事件：

　　● 失敗的登錄
　　● 失敗的文件和對象訪問
　　● 失敗的用戶權力使用
　　● 失敗的安全策略修改
　　● 失敗的用戶和組策略修改

　　以下是需要關注的事件：

　　● 所有對腳本和Bin文件夾的訪問
　　● 所有包含Web發布文件的文件夾

　　2、數據保護

　　對存儲在服務器上暴露于Internet的數據進行保護也很重要。除了設置相應權限外，建立一個正式的備份策略，定期進行磁帶備份非常必要的。備份策略應該確定以下內容：

　　● 誰負責進行數據和服務器配置的備份？
　　● 多長時間進行一次備份？
　　● 備份存儲介質的默認放置位置是哪里？
　　● 誰有權恢復系統數據？
　　● 是否在站點外有備份數據的副本？
　　● 誰負責維護站點外的備份數據副本？

　　明確了這些，進一步需要確定備份位置及備份方法：

　　● 大多數情況下，本地備份比網絡備份要好，因為執行備份時不需要建立網絡連接。
　　● 完成系統安裝后，第一件事就是對服務器進行完整備份。
　　● 確定備份的頻率和類型。是每天都做備份嗎？每天的備份是完整備份、增量備份還是差異備份？

　　四、結語

　　以上詳細論述了使用Win2K和IIS5構建安全Internet網站的IIS安全配置指南部分，如果是嚴格按照這些步驟審視了IIS，就可以說基本上做到了從"空中部分"全力堵截入侵者的攻擊。再結合"Win2K Internet服務器安全構建指南(Win2K篇)"，我們現在可以說一聲："無論敵人來自地面或者空中，你都將處于我們的監視之中"！

　　但是，我仍要提醒您：想要使一個存在于公共基礎上的系統完全免受攻擊是不可能的，所能做到的就是盡可能使系統堅固，而迫使攻擊者去搜尋其他比較容易攻擊的系統。呵呵，避重就輕、棄難從易嗎！

原文轉自：http://www.kjueaiud.com