提高多站点Web服务器安全策略

　　高校由于部门及分支机构众多，如果各机构的网站内容及管理维护都交由网络中心统一负责，显然不现实。一般情况都是由网络中心提供Web服务器平台并保障其正常运行，而内容及功能管理方面则由各部门自主建设。其中，网络中心为各部门管理员开通FTP服务，各级网站管理员可以在本地对本部门的Web数据进行更新和修改。信息发布方面，各部门均可以采用动态页面，直接通过网站后台管理程序来实现网站的更新和栏目的更改等相关操作。但是，问题也随之而出现了。

　　第一，网站本身存在的问题。校园网内各部门网站由本部门自行建立、管理和维护，由于追求网站功能(如部署论坛等诸多的交互功能)，从而忽略了多功能给系统带来更多的漏洞及安全隐患(如：免费动网论坛的使用)。

　　第二，管理员安全意识淡薄。有些部门的网站管理员可能未经相关的安全培训就直接上岗；另一些部门则直接交由学生网管来管理FTP及网站后台，这部分人群由于安全意识淡薄或相关知识不够全面，甚至能够出现无心泄漏管理员密码事件，而这一切都可使网站防御措施失效。正所谓，给校园网带来最大威胁的，基本上来自于内部。

　　帐号分级提高服务器安全性

　　由于各个部门的网站都是自行建立、维护和管理的，那就意味着某个部门由于自身站点安全漏洞导致本站点出现的安全问题可能会波及其它站点，如何解决这一问题，成了我们当务之急。

　　下文中将介绍一种基于Windows平台的Web站点安全管理方法：利用不同帐号的不同权限设置来实现不同站点只拥有一个独立用户管理，这个用户不具备对其它站点的管理权限。具体方法如下：

　　1、为各个部门建立各自的Windows用户，用户隶属于Users组。在用户属性里，将“用户不能修改密码”及“用户密码永不过期”两项选中。

　　2、在IIS里，对各个站点独立设置访问权限。以IIS下bwc子站点为例，在其安全选项里只保留Administrator和bwc两个用户，并赋予管理员权限。依此类推，对于所有的二级站点都做相应设置。

　　3、将各站点的独立用户设为匿名访问用户。

　　经过这样的设置，使用Administrator登录后，可拥有整台服务器的管理权，而各个站点的独立用户只拥有对本站点的管理权限；对于网站的访问者来说，则可以随意浏览、查阅各个站点。

　　另外，还可以适当调整各站点独立用户的权限，例如在不需要进行写入等操作的站点，只赋予用户读取的权限等，可进一步加强系统的安全性。