抛开微软在漏洞方面的坏名声, IIS和Apache这两个平台的脆弱性不相上下,许多安全攻击都可以追溯到管理员因技术方面的欠缺导致的错误配置。网站管理员新近才开始在公司的网站服务器平台上投入大量精力。从前,如果选用的操作系统是Windows系列的,那么他们就运行微软的Internet信息服务器(IIS,Internet Information Server),而如果选用了Linux/Unix系列操作系统呢,用的就是Apache。ISS和Apache就像两条平行线,无限伸展却永无交点。但是时代变了,Apache Http服务器方面打破坚冰!他们推出了一个Apache的兄弟服务器,可以在Windows下运行,该服务器也是由最初的NCSA httpd服务器(注:NCSA httpd服务器是Apache之父,设定文件和Apache极为神似)衍生而来的。这样一来,Windows管理员起码有了可选定余地,也就灵活许多。但是,可别期望微软会有相应的行动,短期内,他们是绝不可能发布可适用于Linux的IIS的。要选择合适的Web平台,从安全方面讲,以下四方面的因素值得考虑:
服务器固有的漏洞抛开微软在漏洞方面的坏名声,公正一点地说,这两个平台的脆弱性不相上下。CERT漏洞数据库新近一个调查研究显示,IIS漏洞和Apache漏洞被攻击的几率之比是28:25。在信息安全领域,这分不出高下。
现有的Web管理知识如果你们的Web管理员一直在用其中一个平台,并且他对这个平台的安全设置非常熟悉,这一点是个关键因素,非常重要。许多安全攻击的发生都可以追溯到管理员因为技术方面的欠缺而产生的错误配置。刚接触一个全新的平台时是非常容易出错的!
操作系统管理员是否胜任Web服务器的安全直接受到底层操作系统安全的影响。如果某个黑客可以获得操作系统管理员的权限,那么他要攻破Web服务器就易如反掌了。从这个角度来讲,选用Web服务器时,一定要把系统管理员的技术水平考虑在内。如果所选用的操作系统是Windows系列的,这一点还不太重要,因为IIS和Apache都可以在Windows上运行。但是,如果操作系统是Linux系列的,分析选用Web服务器的过程中,就要多考虑考虑Apache了,因为如果选用IIS,就需要系统管理员学习很多新知识,掌握在Windows环境下工作的知识和技能。
开发人员的技术水平如果需要用ASP、PHP、CGI等制作动态网页,那么就要考察一下开发人员的安全技术水平了。和操作系统管理员一样,开发人员在熟悉的环境中不容易犯安全方面的错误。如果你们的开发人员习惯于在某种特定的环境下工作,那一定把这个因素考虑在内。不过,同时也应该认识到,许多网站开发系统留给平台的端口和留给Internet的端口是不同的。打个比方,Sun Java系统ASP(前身为Chilisoft ASP)和Apache ASP使得在红帽服务器上使用ASP技术是可以的。类似地,也可以在IIS服务器上安装配置PHP。需要注意的是,我们是从信息安全的角度讨论这个问题的。虽然IIS和Apache在性能上很相似,但在做安全分析时,如果其中一个Web服务器在某一点上对贵单位有利,结果就会有很大不同。
(出处:http://www.sheup.com)