IIS vs.Apache: 哪个才是安全首选？

核心提示：不久之前，网络治理员还没有深进研究他们机构的网络服务平台。假设他们工作的部份采取Windows系统，他们就运行微软的互联网信息服务器(IIS)，假设他们工作的部份采取Linux/Unix系统，他们就使用Apache。

不久之前，网络治理员还没有深进研究他们机构的网络服务平台。假设他们工作的部份采取Windows系统，他们就运行微软的互联网信息服务器(IIS)，假设他们工作的部份采取Linux/Unix系统，他们就使用Apache。IIS和Apache这两个孪生兄弟是永久也不会碰面的。但是，时期产生了变化，Apache HTTP服务器计划通过发布1个网络服务器的Windows版推倒了把它们隔开的墙。网络服务器的历史可以追溯到原来的NCSA httpd服务器。现在，在这个领域有两个“大孩子”，而且Windows治理员最少具有了某种灵活性(不要指看微软很快发布Linux平台的IIS!)。

从安全的角度说，这个选择是有争议的。下面这4个因素可能会影响你做出为你的机构选择最安全的平台的决策：

·固有的服务器安全漏洞。虽然媒体对微软的批评很多，但是，这两个平台几近一样轻易遭到攻击。计算机应急事件反应小组安全漏洞数据库最近发表的1项研究结果显示，IIS安全漏洞遭到了28次攻击，Apache的安全漏洞遭到了25次攻击。在信息安全领域，这就像赛马中的差距1样是非常接近的。

·现有的网络治理知识。假设你的网络治理员已使用了其中的1种平台，并且非常熟习其安全设置，那就是1个极其重要的因素。大量的安全突破都是由于技术不熟练的网络治理员的设置毛病酿成的。当你使用1个新的平台的时候，出现毛病是很轻易的。

·熟习操纵系统的治理员。1个网络服务器的安全同基本的操纵系统的安全是完全1样的。假设1个攻击者能够取得这个操纵系统的治理员权限，攻破网络服务器就是小事1桩。因此，在做这个决策的时候要考虑你的系统治理员的技能。假设你是1个使用Windows操纵系统的部份，这就不是1个主要的因素，由于IIS和Apache都在Windows平台上运行。但是，假设你的部份使用Unix，在你的分析中就要为Apache增加附加分数，由于转换到IIS仍需要保存在Windows环境中工作的治理员。

·开发职员的技能。假设你在创建1个动态网页(ASP、PHP、CGI等)，考虑1下你的开发职员的安全技能。同操纵系统治理员1样，开发职员在熟习的环境中出毛病的可能性很小。假设你的开发职员喜欢某1种开发环境，你要把这个因素考虑进往。但是，你还应当了解在互联网上有很多把普通的网络开发系统移植到其它平台上的方法。例如，Sun Java系统ASP和Apache::ASP都答应使用在RedHat服务器上的ASP。一样，在IIS服务器上安装和设置PHP也是可能的。

我们是从信息安全的角度讨论这个题目的。记住这1点非常重要。固然IIS和Apache在功能上相同，但是，假设你们的技术职员掌控了与你们机构关系密切的技术，在进行风险和收益分析时1定要考虑这个因素。

评论加载中... 内容： 评论者： 验证码：