作為一名網(wǎng)絡(luò )工程師�����,如何才能切實(shí)有效的保護服務(wù)器的安全呢���?根據筆者十年來(lái)的工作經(jīng)驗���,大體從以下七點(diǎn)來(lái)建立防護體系����。
作為一名網(wǎng)絡(luò )工程師��,確保企業(yè)服務(wù)器的安全�����,保證其正常的運行�,是網(wǎng)絡(luò )管理工作中的首要問(wèn)題�����。那么如何才能切實(shí)有效的保護服務(wù)器的安全呢����?根據筆者十年來(lái)的工作經(jīng)驗�,大體從以下七點(diǎn)來(lái)建立防護體系���。
切入點(diǎn)一:確立強有力的網(wǎng)絡(luò )安全體系
要將企業(yè)的服務(wù)器不能孤立開(kāi)來(lái)���,一個(gè)個(gè)體的加以“保護”�����,作為網(wǎng)絡(luò )中的核心部件����,應當將它與周?chē)钠渌O備合為一個(gè)整體����,統籌規劃安排���,才能全面解決安全問(wèn)題�,更好地確保服務(wù)器安全����。
因此����,必須建立一個(gè)整體的����、完善的�、強有力的計算機網(wǎng)絡(luò )安全體系�����。只有對整個(gè)網(wǎng)絡(luò )制定并實(shí)施統一地安全體系�����,才能有效地保護網(wǎng)絡(luò )中涉及到的服務(wù)器等各部件�����。同時(shí)要求企業(yè)中的每一個(gè)員工都清楚并熟知這個(gè)安全體系����,并知道它是強行執行的�。
一個(gè)完整地安全體系包括兩部分:安全管理和安全技術(shù)��。安全管理從管理角度出發(fā)���,利用規章�����、制度等書(shū)面形式規范�����、約束各種計算機網(wǎng)絡(luò )行為�,如各種網(wǎng)絡(luò )設備的操作規范���;安全技術(shù)顧名思義是從技術(shù)角度出發(fā)���,利用各種軟件(比如殺毒軟件���、防火墻軟件等)和硬件(如硬件防火墻)����、各種技巧和方法來(lái)管理整個(gè)計算機網(wǎng)絡(luò )�����。
具體到服務(wù)器��,一方面需要嚴格規范對服務(wù)器地操作�����,禁止一切可能有害于服務(wù)器及其數據的行為�����,特別是針對“寫(xiě)”����、“刪除”這類(lèi)行為����;加強中心機房的管理�,禁止除網(wǎng)絡(luò )管理人員以外人士隨便操作服務(wù)器��。另一面�,藥盡可能地利用現有地各種安全技術(shù)來(lái)保障服務(wù)器地安全����。例如����,可利用windows2000/2003Sever提供的“用戶(hù)權限”功能根據每個(gè)工作人員的業(yè)務(wù)特點(diǎn)單獨地為其制定訪(fǎng)問(wèn)服務(wù)器地特殊使用權限���,從而避免因使用統一的訪(fǎng)問(wèn)服務(wù)器權限而帶來(lái)的安全隱患�。
切入點(diǎn)二:建立必要的防護基礎
因為漏洞的存在�����,導致了相應的安全問(wèn)題�����。對于每一次對網(wǎng)絡(luò )的攻擊都是從安全方面的漏洞開(kāi)始的�。因此為了服務(wù)器的安全��,必須建立必要的防護基礎���,盡可能的采用現有的安全技術(shù)(如系統文件格式�����、操作系統等方面)來(lái)構建服務(wù)器����,直至整個(gè)計算機網(wǎng)絡(luò )�����。這樣從根本上確保服務(wù)器的安全�。
比如對于非法入侵者(包括黑客在內的所有未經(jīng)許可的非法訪(fǎng)問(wèn)者)而言��,存儲在FAT格式下磁盤(pán)數據要比在NTFS格式下更加容易訪(fǎng)問(wèn)及破壞�。所以����,對于服務(wù)器而言���,將它的磁盤(pán)分區設定為FAT格式是不安全的做法����。要從基礎做起����,盡可能地將服務(wù)器上所有地磁盤(pán)分區都轉換為NTFS格式��,特別是那些有敏感特性的數據所在的磁盤(pán)分區�。
作為一個(gè)企業(yè)�,購買(mǎi)一款正宗地網(wǎng)絡(luò )監測軟件對整個(gè)網(wǎng)絡(luò )運行全天候地不間斷監視應當不成問(wèn)題�,特別是對“非法入侵”和“對服務(wù)器的操作”兩個(gè)方面的實(shí)時(shí)監控報告����,能及時(shí)的通知網(wǎng)絡(luò )維護人員快速響應���,將損失減少到最低限度����。同時(shí)����,針對當前日益增長(cháng)的木馬��、病毒數量��,企業(yè)花錢(qián)買(mǎi)款網(wǎng)絡(luò )版的殺毒軟件也是首要的���,必須的�。
切入點(diǎn)三:定期做好備份數據工作
前面的工作做好了�,也有可能出現或多或少的損失���,但天災人禍是不可避免的��,為了盡量的避免它���,我們還要利用現有技術(shù)定期備份數據(比如企業(yè)ERP數據等記錄公司日常業(yè)務(wù)的數據)并妥善地保存好�,是網(wǎng)絡(luò )管理人員日常管理中必須完成的�����,也是優(yōu)秀網(wǎng)絡(luò )管理員必須養成的良好的工作習慣����。
備份好數據就萬(wàn)無(wú)一失了嗎����?還存在偷竊地行為����。所以�,在備份數據時(shí)應當考慮通過(guò)采取鎖進(jìn)保險柜��,進(jìn)行“密碼保護”等方式進(jìn)行第二次��、第三次保護您的備份介質(zhì)(如磁盤(pán)���、磁帶)����。最好在做備份時(shí)同步地對企業(yè)數據進(jìn)行加密處理���,這樣地話(huà)�,最大限度保證數據即使被偷竊也不會(huì )解密���。
切入點(diǎn)四:加強客戶(hù)端的管理
在網(wǎng)絡(luò )中除了服務(wù)器外��,客戶(hù)端就是使用頻繁地網(wǎng)絡(luò )設備了���,也是通向服務(wù)器的一個(gè)個(gè)端口�。所以盡量將其更換為穩定的操作系統Windows2000/Xp�,甚至是Windows2003等其他更安全地系統���。這樣您就可以用“權限管理”功能來(lái)鎖定客戶(hù)端���,使得那些沒(méi)有安全訪(fǎng)問(wèn)權限地人很難甚至不可能獲得網(wǎng)絡(luò )配置信息���。
當然也可以采用另一種方式�����,將客戶(hù)端的功能限定為一個(gè)“靈活而單純”的終端�,即讓程序和數據統一駐留在網(wǎng)絡(luò )中的服務(wù)器上���,卻在客戶(hù)端上運行�,所有安裝在客戶(hù)端上的是一份操作系統的拷貝及指向駐留在服務(wù)器上地應用程序的快捷鍵圖標�。當雙擊快捷鍵圖標運行程序時(shí)��,這個(gè)程序將使用客戶(hù)端本地地資源來(lái)運行�,而不是直接消耗服務(wù)器資源�。這種方法能夠減輕客戶(hù)端被破壞帶來(lái)地對服務(wù)器的損傷����,當出現了故障排查起來(lái)會(huì )增加點(diǎn)難度���。
切入點(diǎn)五:對遠程訪(fǎng)問(wèn)的管理
計算機網(wǎng)絡(luò )的一個(gè)優(yōu)點(diǎn)是借助必要工具��,利用網(wǎng)絡(luò )實(shí)現對計算機網(wǎng)絡(luò )的遠程訪(fǎng)問(wèn)(RAS)����。Windows操作系統從NT開(kāi)始就內置了這種功能�����。但也同時(shí)打開(kāi)了安全隱患的大門(mén)���,他們只需要知道能夠進(jìn)行RAS的電話(huà)號碼就可以輕松實(shí)現入侵���。因此�,如果您存在遠程訪(fǎng)問(wèn)的需求���,就必須對遠程用戶(hù)進(jìn)行強化管理�����,監管您的遠程用戶(hù)如何使用RAS.如果您的遠程用戶(hù)經(jīng)常是從家里或不經(jīng)常變動(dòng)的地方遠程訪(fǎng)問(wèn)�����,就建議您使用其中的“回叫”功能���。這個(gè)功能允許在遠程用戶(hù)從遠程登錄計算機網(wǎng)絡(luò )后立即切斷連接�����,然后由RAS服務(wù)器撥打一個(gè)預先設定的電話(huà)號碼來(lái)再次接通該用戶(hù)����,此后再由該用戶(hù)進(jìn)行RAS.如此設置就切斷非法入侵者的入侵�,因為非法入侵者一般沒(méi)有機會(huì )知曉RAS服務(wù)器回叫的號碼��,也就無(wú)法實(shí)現非法入侵���。
另外還可用其他方法�,就是利用“防火區”的原理將所有的遠程訪(fǎng)問(wèn)都限定在一臺單一的服務(wù)器上��,這臺服務(wù)器與整個(gè)計算機網(wǎng)絡(luò )的聯(lián)系是通過(guò)人工手動(dòng)完成的���。這樣即使非法入侵者闖入�����,也會(huì )被隔離在一臺單一的機器上�,對服務(wù)器的攻擊也就限定在一臺機器上�����。另外����,還可用一些非常用的協(xié)議技術(shù)和方法(如蜜罐)來(lái)迷惑非法入侵者��。這樣也就增加了技術(shù)成本��,技術(shù)程度要求較高��。
切入點(diǎn)六:及時(shí)升級補丁
軟件不可能都是完美的��,隨著(zhù)運行會(huì )逐漸發(fā)現它的漏洞�,這是很正常的��。而且其隱含的漏洞與軟件規模是成比例的�����。發(fā)現漏洞就必須彌補���,否則漏洞就會(huì )變成一扇非法入侵者敞開(kāi)的大門(mén)���,任其出入����。軟件開(kāi)發(fā)商們都自己組件或雇傭了專(zhuān)門(mén)的人員來(lái)檢測已經(jīng)推廣應用的軟件隱含的漏洞隱患���,一旦發(fā)現漏洞��,會(huì )以服務(wù)包的形式發(fā)布相應的補丁程序�����。所以定期查看下載����、安裝最新公布的補丁是非常必要的��。但需要按照相應的邏輯順序使用這些補丁包��,避免導致一些文件運行的錯誤���。另外���,也要對網(wǎng)絡(luò )中安裝的防毒軟件定期升級��,有效的防止新病毒對網(wǎng)絡(luò )的破壞����。
切入點(diǎn)七:實(shí)時(shí)檢查安全設備及端口
企業(yè)與外部網(wǎng)絡(luò )進(jìn)行通信��,安裝防火墻等安全設備是必須的�。防火墻等安全設備既能將您公司的計算機與來(lái)自外部網(wǎng)絡(luò )的非法入侵者隔離開(kāi)來(lái)����,實(shí)現物理隔離�����,又能保證與外部通訊的通暢�����。
為了保護企業(yè)內網(wǎng)的安全���,應當確定防火墻等安全設備不會(huì )向外界開(kāi)放任何IP地址���,特別是服務(wù)器及客戶(hù)端的IP地址必須隱藏起來(lái)����。IP地址開(kāi)放的越多����,網(wǎng)絡(luò )受到攻擊的可能性就越大���,服務(wù)器就越會(huì )危險�����。當然�����,至少要有一個(gè)IP地址對外進(jìn)行通訊�,如果有Web服務(wù)器或郵件服務(wù)器�,它們的IP也是要公開(kāi)的����。
一個(gè)IP地址與外界的通訊是通過(guò)端口來(lái)實(shí)現的�,而端口有很多很多�����,因此通過(guò)軟件來(lái)查看端口��,排查您不必要開(kāi)放的端口���,將其屏蔽掉����,盡可能的減少由于操作系統或其他軟件漏洞而帶來(lái)的危機�����。
