2017年5月12日，WannaCry蠕虫病毒、勒索软件在全球爆发，2019年4月末又发生过一次服务器网站被被篡改为泰国人妖之类的。据介绍，2018年，国家互联网应急中心共协调处置网络信息安全事件10.6万起，安全漏洞、恶意程序、网页篡改、网站后门、DDoS攻击等。网站面临数据无法恢复，客户投诉。总结经验教训，网络病毒、黑客无时无处不在，我们要保持警惕，防患于未然，制定好服务器防范措施，才能保证网络信息平稳安全。

一、服务器管理层面的两类预防操作：

保证网络信息安全，服务器开发过程中，规范Web开发的安全标准。

1、防止sql注入：采用预处理进行sql操作，绝对不能使用sql语句的拼接。预编译语句，绑定变量;使用存储过程，调用存在数据库里的函数;检查数据类型，如果输入是数字，就用integer做检验，如果是邮箱则正则表达式去做校验等;使用定义好的安全函数来转义;设置数据库用户的最小权限。

2、用户密码验证：保障网络信息安全，密码验证是必须的，储存密码不能使明文，最好多重加密验证。普通应用要求长度为6位以上，重要应用要求长度为8位以上，并考虑双因素认证，密码区分大小写字母，密码为大写字母，小写字幕、数字、特殊符号中两种以上的组合。

3、文件上传限制：文件上传一定要类型限制，上传后把文件名格式化。(上传文件是病毒，木马文件，用以诱惑用户或者管理员下载执行，上传文件是钓鱼图片或为包含脚本的图片，在某些版本浏览器中会被作为脚本执行，被用于钓鱼和欺诈)

4、过滤可执行脚本：对用户提交的网络信息数据进行转义，防止用户提交含有js脚本的信息输出到页面上直接被浏览器执行。Seesion在登陆完成后，重写SessionId，避免SessionFixation攻击，服务器设置固定时间强制销毁Session，因为客户端可以修改用户的存活时间，定时拿seesionId去请求，降低SSO的风险。

5、日志系统：网络信息会在服务器中产生访问日志，记录ip，参数等， 对后台操作记录日志，方便查找服务器被篡改或攻击导致的安全问题。

6、WEB容器配置：web容器存在一些配置漏洞。如tomcat后台管理，默认用户及密码登录后直接获取war文件。

7、数据库设置：提高服务器网络信息安全，可以针对前后台操作建立不同的数据库操作用户，切不可用root级别链接数据库。

8、优化服务器性能的方式：将使用频率高的数据放到服务器中，将数据库的压力转移到内存中，此外及时释放资源。在针对每个客户端做一个请求频率的限制，在网络架构上做好优化，善于利用负载均衡，避免用户流量集中在单台服务器上，同时可以充分利用好CDN和镜像站点的分流作用，缓解主站的压力。

二、服务器层面的监控，运维过程中，对Web服务器进行持续的网络信息安全监控

控制服务器的访问端口：

1.设置“僚机服务器”，故意开后门让攻击者来攻击僚机服务器， 管理着我就能获取攻击者的攻击手段，并在真正服务器上做相应的安全措施应对。

2.设置“诱饵服务器”，让攻击者真假难以区分，这个上面叙述十分相似。

3.垂直权限管理：现在应用广泛的一种方法是基于角色的范围控制:RBAC，Java中的Spring Security 权限管理，就是RBAC模型的一个实现

4.水平权限管理，RBAC只能验证用户A属于角色RoleX,但不会判断用户A是否能访问只属于用户B的数据B，发生了越权访问，这种问题一般是具体问题具体解决，至今仍是一个难题，它难以发现，设计方案时，都应该满足“最小权限原则”。

网络信息安全问题大家平时遇到的不多，只有遇到服务器染上病毒或被入侵攻击时才意识到严重性，那是补救可能会费事很多，或者无法补救，只能认倒霉了。如过在网站运行前或者在服务器遭受攻击后选择防御计划，是完全可以保证服务器安全的。笔者认为，最好的防御就是进攻，Web服务器安全更是如此。服务器防御系统练就IDC界的“金钟罩铁布衫”，只是最基础的防御方式。