每年都會(huì)出現(xiàn)個(gè)人隱私�、企業(yè)機(jī)密信息泄露事件����,電商����、銀行、社交網(wǎng)等都出現(xiàn)過泄露案����,因此,不管是個(gè)人還是企業(yè)對(duì)于數(shù)據(jù)的安全越來越重視,特別是近年頻繁發(fā)生的服務(wù)器遭受安全的風(fēng)險(xiǎn)相對(duì)增加��。無論是越來越多的病毒����,心懷不軌的黑客,還是商業(yè)行為的盜竊都將服務(wù)器作為獲取信息的主要攻擊目標(biāo)��。由此���,服務(wù)器的安全問題是不容忽視的�。
如何能夠有效維護(hù)系統(tǒng)安全是一個(gè)重要的工作��,下面簡(jiǎn)單介紹維護(hù)服務(wù)器安全五個(gè)技巧�����。
技巧一:加強(qiáng)網(wǎng)絡(luò)規(guī)范
針對(duì)網(wǎng)絡(luò)服務(wù)器的安全���,特別是黑客對(duì)網(wǎng)絡(luò)發(fā)起攻擊情況�����,首先會(huì)檢查是否存在一般的安全漏洞�����,然后考慮難度更高的突破安全系統(tǒng)的手段�。因此,當(dāng)服務(wù)器上的數(shù)據(jù)都存儲(chǔ)在一個(gè)fat磁盤分區(qū)時(shí)�����,即使安裝上安全軟件也不會(huì)對(duì)數(shù)據(jù)保護(hù)有很大幫助����。所以,服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤分區(qū)都轉(zhuǎn)換成ntfs格式的���,同時(shí)需要將所有的反病毒軟件及時(shí)更新���。
另一個(gè)保護(hù)網(wǎng)絡(luò)的好方法是以用戶辦公時(shí)段為基礎(chǔ)限定訪問網(wǎng)絡(luò)的時(shí)間。比如�����,一個(gè)通常在白天工作的員工不應(yīng)該被允許在工作以外時(shí)間訪問網(wǎng)絡(luò)��,除非出于一個(gè)特殊項(xiàng)目的需要并通過流程申請(qǐng)權(quán)限��。而最主要的是記住用戶在訪問整個(gè)網(wǎng)絡(luò)上的任何東西的時(shí)候都需要密碼�,密碼設(shè)置要求由大小寫字母,數(shù)字和特殊字符組成的高強(qiáng)度密碼����。
技巧二:保護(hù)備份安全
一個(gè)好的網(wǎng)絡(luò)管理員每天都備份網(wǎng)絡(luò)服務(wù)器并將記錄遠(yuǎn)離現(xiàn)場(chǎng)進(jìn)行保護(hù)以防意外災(zāi)害。但是����,安全的問題遠(yuǎn)不止是備份那么簡(jiǎn)單。大多數(shù)人都沒有意識(shí)到��,備份實(shí)際上就是一個(gè)巨大的安全漏洞����。特別人為的因素很難控制,如何能夠阻止一些人偷走磁帶記錄上的數(shù)據(jù)并將它們從一臺(tái)服務(wù)器上恢復(fù)數(shù)據(jù)是安全的重要考驗(yàn)?
而有效保護(hù)備份�����,通過密碼保護(hù)磁帶并且如果備份程序支持加密功能��,可以加密這些數(shù)據(jù)��。其次���,將備份程序完成工作的時(shí)間更改�。這即使有人想要偷走磁帶的話,也會(huì)因?yàn)榇艓д谑褂枚鴱?qiáng)行帶走也毫無意義�����。
技巧三:遠(yuǎn)程訪問回叫功能
對(duì)于服務(wù)器上windows系統(tǒng)功能之一就是進(jìn)行遠(yuǎn)程訪問(ras)的支持�����。而一個(gè)ras服務(wù)器對(duì)一個(gè)企圖進(jìn)入系統(tǒng)的黑客來說也同樣是一個(gè)方面快捷的工具�。遠(yuǎn)程用戶如何使用ras是關(guān)鍵,如果遠(yuǎn)程用戶經(jīng)常是從固定的地方呼叫主機(jī)�����,使用回叫功能可以很好保證遠(yuǎn)程用戶登錄以后切斷連接����。然后ras服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶。
另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問單一的服務(wù)器�����。將用戶通常訪問的數(shù)據(jù)在ras服務(wù)器的一個(gè)特殊的共享點(diǎn)上�?梢詫⑦h(yuǎn)程用戶的訪問限制在一臺(tái)服務(wù)器上�,而不是整個(gè)網(wǎng)絡(luò)。即使黑客進(jìn)入主機(jī)�����,也會(huì)被隔離在單一的一臺(tái)服務(wù)器上將破壞降低到最小��。
此外���,在ras服務(wù)器上利用協(xié)議變化�������?紤]到tcp/ip協(xié)議本身的性質(zhì)和典型的用途�,ras還支持ipx/spx和netbeui協(xié)議�。如果你使用netbeui作為你ras的協(xié)議可以很好防范。
技巧四:制定安全策略
要提高安全性����,可以做的工作就是制定一個(gè)好的,強(qiáng)有力的安全策略���。確保每一個(gè)人都知道它并強(qiáng)制執(zhí)行的�。這樣的一個(gè)政策需要包括對(duì)一個(gè)在公司服務(wù)器上下載未授權(quán)的軟件嚴(yán)厲懲罰。
如果你使用windows 2000 server����,指定用戶特殊的使用權(quán)限來使用你的服務(wù)器而不需要交出管理員的控制權(quán)。一個(gè)好的用法就是授權(quán)人力資源部來刪除和禁用一個(gè)帳號(hào)���。人力資源部就可以在一個(gè)即將離職的員工被解雇以前就刪除或是禁用他的用戶帳號(hào)�。同時(shí)�����,使用特殊用戶權(quán)限�,授予這種刪除和禁用帳號(hào)權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動(dòng)的權(quán)限了。
技巧五:檢查防火墻設(shè)置
而對(duì)于防護(hù)之一的防火墻�,是網(wǎng)絡(luò)的一個(gè)重要部分因?yàn)樗鼘⒛阌?jì)算機(jī)同互聯(lián)網(wǎng)上可能對(duì)它們?cè)斐蓳p壞的程序隔離開來,應(yīng)該仔細(xì)檢查防火墻的設(shè)置�。
首先,確保防火墻不會(huì)向外界開放超過必要的任何ip地址��。至少要讓一個(gè)ip地址對(duì)外被使用來進(jìn)行所有的互聯(lián)網(wǎng)通訊���。如果你還有dns注冊(cè)的web服務(wù)器或是電子郵件服務(wù)器��,它們的ip地址也許也要通過防火墻對(duì)外界可見����。
其次可以查看端口列表驗(yàn)證你已經(jīng)關(guān)閉了所有并不常用的端口地址���。例如�,tcp/ip端口80用于http通訊���,但對(duì)于端口81并不常用的應(yīng)該被關(guān)掉�����。
