隨著網(wǎng)絡(luò)的普及與發(fā)展,每個(gè)公司都添置了相應(yīng)的服務(wù)器為公司提供應(yīng)用服務(wù)���。一方面為員工提供方便的上網(wǎng)條件�����,另一方面為企業(yè)在外面樹立形象�。服務(wù)器的安全是非常重要的,那么如何有效的保證服務(wù)器的安全呢��?筆者在公司管理服務(wù)器并檢查其安全性已經(jīng)有幾年了���,在實(shí)際工作中積累了一些經(jīng)驗(yàn)�,在這里為對(duì)此方面感興趣的讀者一一道來�����,希望通過服務(wù)器安全八步走讓你所在公司的服務(wù)器永遠(yuǎn)保證正常運(yùn)行���。
第一步��,增強(qiáng)網(wǎng)絡(luò)整體安全
服務(wù)器是一臺(tái)�����,但談?wù)摰椒?wù)器的安全性時(shí)就不能單一而論了��。網(wǎng)絡(luò)安全并不是一臺(tái)計(jì)算機(jī)或幾臺(tái)計(jì)算機(jī)的安全問題����,他是一個(gè)整體安全性的代名詞。只對(duì)單機(jī)進(jìn)行安全防護(hù)不能稱之為網(wǎng)絡(luò)安全���,這也是很多網(wǎng)絡(luò)管理員容易走進(jìn)的誤區(qū)。他們經(jīng)常只對(duì)服務(wù)器單機(jī)打補(bǔ)丁����,安裝防火墻,升級(jí)操作系統(tǒng)但忽視了網(wǎng)絡(luò)中的其他計(jì)算機(jī)��。要知道很多黑客和病毒并不是直接攻擊服務(wù)器的����,而是通過入侵其他計(jì)算機(jī)并做為跳板來實(shí)現(xiàn)的,因?yàn)楹芏嗑W(wǎng)絡(luò)都是通過域的方式進(jìn)行管理的,一旦某一臺(tái)計(jì)算機(jī)被入侵而服務(wù)器與之又有信任關(guān)系的話那么從這臺(tái)計(jì)算機(jī)攻擊服務(wù)器將會(huì)變得非常簡(jiǎn)單��。所以我們要保證服務(wù)器的安全要通過加強(qiáng)這個(gè)網(wǎng)絡(luò)安全來實(shí)現(xiàn)的���。
如何才能建立完善的安全網(wǎng)絡(luò)呢����?這就需要對(duì)整個(gè)網(wǎng)絡(luò)制定并實(shí)施統(tǒng)一的安全體系���,這樣才能有效的保護(hù)好網(wǎng)絡(luò)中包括服務(wù)器在內(nèi)的每個(gè)部件�����。而且需要確保公司中的每個(gè)員工都知道并熟悉這個(gè)安全體系���,并且明確地知道他是強(qiáng)行執(zhí)行的。
安全體系如何構(gòu)建呢�?這需要從兩方面入手。
(1)安全管理
安全管理是指從管理角度出發(fā)��,利用規(guī)章制度等文字性的材料規(guī)范�����,約束各種針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的行為,例如禁止員工隨便下載非法程序�����,禁止網(wǎng)絡(luò)管理員以外的人員進(jìn)入中心機(jī)房��,完善網(wǎng)絡(luò)管理員的值班制度等等����。
(2)安全技術(shù)
任何網(wǎng)絡(luò)的安全都離不開強(qiáng)大的技術(shù)支持,安全技術(shù)是從技術(shù)角度出發(fā)���,利用各種軟件和硬件�����,各種技巧和方法來管理整個(gè)計(jì)算機(jī)網(wǎng)絡(luò),殺毒軟件與防火墻雙管齊下力保網(wǎng)絡(luò)的安全����。
以上提到的兩方面缺一不可,試想如果只有安全技術(shù)的支持而在規(guī)章制度上沒有進(jìn)行任何約束���,即使剛開始安全做的很到位但員工隨意下載非法軟件���,隨便關(guān)閉殺毒軟件的保護(hù)的話���,整個(gè)網(wǎng)絡(luò)安全很快就會(huì)報(bào)警的。而只有嚴(yán)格的規(guī)章沒有技術(shù)作為支持的話病毒和黑客也會(huì)通過網(wǎng)絡(luò)漏洞輕松入侵的�����。因此安全管理與安全技術(shù)兩方面是相輔相成的���,作為網(wǎng)絡(luò)管理員來說這兩方面都要抓�,力度都要硬��。
第二步:加強(qiáng)服務(wù)器本地文件格式安全級(jí)別
大家都知道目前服務(wù)器都采用的是windows2000以上版本��,所以在加強(qiáng)安全級(jí)別上需要利用windows2000server提供的用戶權(quán)限功能��,根據(jù)每個(gè)用戶的特點(diǎn)單獨(dú)地為其制定訪問服務(wù)器的特殊使用權(quán)限�����,從而避免因使用統(tǒng)一的訪問服務(wù)器權(quán)限而帶來的安全隱患���。
為了確保服務(wù)器的安全首先要在本地文件格式上做文章�����,即將FAT格式轉(zhuǎn)換為安全系數(shù)更高的NTFS文件格式���。畢竟對(duì)于黑客來說存儲(chǔ)在FAT格式的磁盤分區(qū)里的數(shù)據(jù)要比存儲(chǔ)在NTFS格式的磁盤分區(qū)的數(shù)據(jù)更容易訪問���,也更容易破壞,另外目前所有安全軟件及加密軟件也都是針對(duì)NTFS格式來說的����,對(duì)FAT格式的保護(hù)非常薄弱。
另外最好使用專門的網(wǎng)絡(luò)檢測(cè)軟件對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行7*24小時(shí)的不間斷監(jiān)視�,尤其要關(guān)注“非法入侵”和“對(duì)服務(wù)器的操作”兩方面的報(bào)告,筆者做在的公司就使用IISLOCK來監(jiān)視網(wǎng)頁服務(wù)器的正常運(yùn)行和MRTG來檢測(cè)整個(gè)網(wǎng)絡(luò)的流量����。
第三步:定期備份數(shù)據(jù)
數(shù)據(jù)的保護(hù)是一個(gè)非常重要的問題,也許服務(wù)器的系統(tǒng)沒有崩潰但里面存儲(chǔ)的數(shù)據(jù)發(fā)生了丟失���,這種情況所造成的損失會(huì)更大,特別對(duì)于數(shù)據(jù)庫服務(wù)器來說也許存儲(chǔ)的是幾年的珍貴數(shù)據(jù)���。如何有效的保護(hù)數(shù)據(jù)呢�?備份是唯一的選擇。以往對(duì)于數(shù)據(jù)的備份都是采取在服務(wù)器上另外一個(gè)區(qū)建立備份文件夾甚至是建立一個(gè)備份區(qū)�����。不過這樣備份方法有一個(gè)非常大的弊端�,那就是一旦服務(wù)器的硬盤出現(xiàn)問題所有分區(qū)的數(shù)據(jù)都將丟失,從而備份沒有了保證��。按照“不要把所有雞蛋放到同一個(gè)籃子”的理論我們應(yīng)該使用單獨(dú)的專門設(shè)備保存這些珍貴數(shù)據(jù)��。
使用B服務(wù)器保存A服務(wù)器的數(shù)據(jù)��,同時(shí)用A服務(wù)器保存B服務(wù)器的文件�,這種交叉?zhèn)浞莸姆椒ㄔ谝欢螘r(shí)間非常流行。另外還有一個(gè)有效的方法就是使用磁帶來保存珍貴數(shù)據(jù)��,不過這樣的開銷會(huì)比較大����。
目前筆者所在公司所采用的備份方式是通過網(wǎng)絡(luò)存儲(chǔ)設(shè)備NAS來保存的,將單獨(dú)的NAS設(shè)備連接到網(wǎng)絡(luò)中����,定期通過工具將珍貴數(shù)據(jù)寫入到NAS的硬盤中,由于NAS設(shè)備自身使用了RAID方式進(jìn)行數(shù)據(jù)的冗余�����,所以數(shù)據(jù)得到了最好的保證。
但是數(shù)據(jù)備份也存在巨大的安全漏洞��,因?yàn)閭浞莺玫臄?shù)據(jù)也有可能被盜竊���,所以在備份時(shí)應(yīng)該對(duì)備份介質(zhì)進(jìn)行有效的密碼保護(hù)��,必要時(shí)還需要使用加密軟件對(duì)這些數(shù)據(jù)進(jìn)行加密��,這樣即使數(shù)據(jù)被盜也不會(huì)出現(xiàn)數(shù)據(jù)泄露的問題���。
第四步:?jiǎn)T工機(jī)的防護(hù)不容忽視
上面我們也提到過服務(wù)器的安全不光局限在服務(wù)器本身,整個(gè)網(wǎng)絡(luò)都需要加強(qiáng)安全性��,因此員工機(jī)的防護(hù)也是不容忽視的�����,很多網(wǎng)絡(luò)故障都是由一臺(tái)感染蠕蟲病毒的計(jì)算機(jī)所引起的���。因此在員工機(jī)上做好防病毒防黑客的工作也是必要的����。不過筆者所在的公司采用的是域的方式進(jìn)行管理�����,將用戶的配置文件都保存在域服務(wù)器上���,這樣能夠最大限度的降低員工機(jī)染毒的概率����,將殺毒工作放在服務(wù)器上執(zhí)行�����。
總結(jié):
我們講解了服務(wù)器安全八步走的前四步�,主要講解了通過宏觀方面提高其安全性,不過服務(wù)器自身的安全也是不容忽視的��。下篇文章我們就將對(duì)如何提高服務(wù)器自身安全進(jìn)行介紹�。
