关于保护，有一件我们需要注意的事情就是运行Web应用的服务器计算机。对于服务器计算机，我们将介绍一些关键的方法。

    第一，保持操作系统的更新。

    保持计算机安全的一个简单方法是尽可能保持操作系统为最新的。只要选择了特定的操作系统作为产品环境，你就必须制定一个定义执行更新和为操作系统应用安全补丁的方案。此外，还应该有专门人员定期查看是否存在新的安全警告、补丁或更新。

    根据使用的操作系统软件的不同，可以在不同的地方找到这些更新。通常，这可以从购买操作系统的供货商那里获得更新，例如，Microsoft的Windows，Red Hat或SuSE Linux，或者Sun Microsystems的Solaris操作系统。对于其他操作系统，例如FreeBSD、Ubuntu Linux或OpenBSD应该在代表这些组织机构的Web站点寻找他们推荐的最新安全补丁。

    就像所有软件更新，在产品服务器执行更新和安装之前，应该有一个实验环境可以测试这些补丁的应用并且验证这些补丁的成功安装。这样，在产品服务器应用这些更新而出现问题之前，可以验证这些更新不会破坏Web应用。

    灵活的选择操作系统和安全修复是非常重要的：如果特定操作系统的FireWire子系统存在一个安全修复，但是你的服务器没有任何FireWire硬件，执行完整的流程来部署这个安全修复将会浪费时间。

    第二，只运行必需的软件。

    许多服务器具有的一个问题是它们运行了大量的软件，例如邮件服务器，FTP服务器以及能够处理Microsoft文件系统共享的软件以及其他软件。要运行我们的Web应用，需要Web服务器软件，PHP以及任何相关的库、数据库服务器软件，而通常并不会需要其他更多的软件。

    如果不使用其他任何软件，请关闭它们，最好是禁用。这样，就不用担心这些软件的安全性。Microsoft Windows2000和XP操作系统的用户必须仔细检查服务器所运行的服务列表，关闭那些不需要的服务。如果存在疑问，请调研一下——在互联网上很可能已经有人询问了特定服务的用途及其必要性。

    第三，服务器的物理安全性。

    我们知道一种安全威胁是有人进入我们的建筑，拔掉服务器计算机的插头，或者偷走它。这并不是一个笑话。由于常规服务器计算机的配件价格都比较昂贵，偷走服务器计算机的动机就不只局限于公司商业间谍和高智商窃取。有些人可能只希望卖掉服务器计算机。

    因此，将运行Web应用的服务器保持在一个安全的环境是至关重要的，只有授权人员才可以访问，而且必须有特定流程对不同的人授予或收回权限。