文章內(nèi)容

企業(yè)服務器安全防護的七個切入點

發(fā)布時間: 2012/9/8 18:11:43

作為一名網(wǎng)絡工程師，確保企業(yè)服務器的安全，保證其正常的運行，是網(wǎng)絡管理工作中的首要問題。那么如何才能切實有效的保護服務器的安全呢?根據(jù)筆者十年來的工作經(jīng)驗，大體從以下七點來建立防護體系。

    切入點一：確立強有力的網(wǎng)絡安全體系

    要將企業(yè)的服務器不能孤立開來，一個個體的加以“保護”，作為網(wǎng)絡中的核心部件，應當將它與周圍的其他設備合為一個整體，統(tǒng)籌規(guī)劃安排，才能全面解決安全問題，更好地確保服務器安全。

    因此，必須建立一個整體的、完善的、強有力的計算機網(wǎng)絡安全體系。只有對整個網(wǎng)絡制定并實施統(tǒng)一地安全體系，才能有效地保護網(wǎng)絡中涉及到的服務器等各部件。同時要求企業(yè)中的每一個員工都清楚并熟知這個安全體系，并知道它是強行執(zhí)行的。

    一個完整地安全體系包括兩部分：安全管理和安全技術(shù)。安全管理從管理角度出發(fā)，利用規(guī)章、制度等書面形式規(guī)范、約束各種計算機網(wǎng)絡行為，如各種網(wǎng)絡設備的操作規(guī)范;安全技術(shù)顧名思義是從技術(shù)角度出發(fā)，利用各種軟件(比如殺毒軟件、防火墻軟件等)和硬件(如硬件防火墻)、各種技巧和方法來管理整個計算機網(wǎng)絡。

    具體到服務器，一方面需要嚴格規(guī)范對服務器地操作，禁止一切可能有害于服務器及其數(shù)據(jù)的行為，特別是針對“寫”、“刪除”這類行為;加強中心機房的管理，禁止除網(wǎng)絡管理人員以外人士隨便操作服務器。另一面，藥盡可能地利用現(xiàn)有地各種安全技術(shù)來保障服務器地安全。例如，可利用 windows2000/2003Sever提供的“用戶權(quán)限”功能根據(jù)每個工作人員的業(yè)務特點單獨地為其制定訪問服務器地特殊使用權(quán)限，從而避免因使用統(tǒng)一的訪問服務器權(quán)限而帶來的安全隱患。

    切入點二：建立必要的防護基礎

    因為漏洞的存在，導致了相應的安全問題。對于每一次對網(wǎng)絡的攻擊都是從安全方面的漏洞開始的。因此為了服務器的安全，必須建立必要的防護基礎，盡可能的采用現(xiàn)有的安全技術(shù)(如系統(tǒng)文件格式、操作系統(tǒng)等方面)來構(gòu)建服務器，直至整個計算機網(wǎng)絡。這樣從根本上確保服務器的安全。

    比如對于非法入侵者(包括黑客在內(nèi)的所有未經(jīng)許可的非法訪問者)而言，存儲在FAT格式下磁盤數(shù)據(jù)要比在NTFS格式下更加容易訪問及破壞。所以，對于服務器而言，將它的磁盤分區(qū)設定為FAT格式是不安全的做法。要從基礎做起，盡可能地將服務器上所有地磁盤分區(qū)都轉(zhuǎn)換為NTFS格式，特別是那些有敏感特性的數(shù)據(jù)所在的磁盤分區(qū)。

    作為一個企業(yè)，購買一款正宗地網(wǎng)絡監(jiān)測軟件對整個網(wǎng)絡運行全天候地不間斷監(jiān)視應當不成問題，特別是對“非法入侵”和“對服務器的操作”兩個方面的實時監(jiān)控報告，能及時的通知網(wǎng)絡維護人員快速響應，將損失減少到最低限度。同時，針對當前日益增長的木馬、病毒數(shù)量，企業(yè)花錢買款網(wǎng)絡版的殺毒軟件也是首要的，必須的。

    切入點三：定期做好備份數(shù)據(jù)工作

    前面的工作做好了，也有可能出現(xiàn)或多或少的損失，但天災人禍是不可避免的，為了盡量的避免它，我們還要利用現(xiàn)有技術(shù)定期備份數(shù)據(jù)(比如企業(yè) ERP數(shù)據(jù)等記錄公司日常業(yè)務的數(shù)據(jù))并妥善地保存好，是網(wǎng)絡管理人員日常管理中必須完成的，也是優(yōu)秀網(wǎng)絡管理員必須養(yǎng)成的良好的工作習慣。

    備份好數(shù)據(jù)就萬無一失了嗎?還存在偷竊地行為。所以，在備份數(shù)據(jù)時應當考慮通過采取鎖進保險柜，進行“密碼保護”等方式進行第二次、第三次保護您的備份介質(zhì)(如磁盤、磁帶)。最好在做備份時同步地對企業(yè)數(shù)據(jù)進行加密處理，這樣地話，最大限度保證數(shù)據(jù)即使被偷竊也不會解密。

    切入點四：加強客戶端的管理

    在網(wǎng)絡中除了服務器外，客戶端就是使用頻繁地網(wǎng)絡設備了，也是通向服務器的一個個端口。所以盡量將其更換為穩(wěn)定的操作系統(tǒng) Windows2000/Xp，甚至是Windows2003等其他更安全地系統(tǒng)。這樣您就可以用“權(quán)限管理”功能來鎖定客戶端，使得那些沒有安全訪問權(quán)限地人很難甚至不可能獲得網(wǎng)絡配置信息。

    當然也可以采用另一種方式，將客戶端的功能限定為一個“靈活而單純”的終端，即讓程序和數(shù)據(jù)統(tǒng)一駐留在網(wǎng)絡中的服務器上，卻在客戶端上運行，所有安裝在客戶端上的是一份操作系統(tǒng)的拷貝及指向駐留在服務器上地應用程序的快捷鍵圖標。當雙擊快捷鍵圖標運行程序時，這個程序?qū)⑹褂每蛻舳吮镜氐刭Y源來運行，而不是直接消耗服務器資源。這種方法能夠減輕客戶端被破壞帶來地對服務器的損傷，當出現(xiàn)了故障排查起來會增加點難度。

    切入點五：對遠程訪問的管理

    計算機網(wǎng)絡的一個優(yōu)點是借助必要工具，利用網(wǎng)絡實現(xiàn)對計算機網(wǎng)絡的遠程訪問(RAS)。Windows操作系統(tǒng)從NT開始就內(nèi)置了這種功能。但也同時打開了安全隱患的大門，他們只需要知道能夠進行RAS的電話號碼就可以輕松實現(xiàn)入侵。因此，如果您存在遠程訪問的需求，就必須對遠程用戶進行強化管理，監(jiān)管您的遠程用戶如何使用RAS。如果您的遠程用戶經(jīng)常是從家里或不經(jīng)常變動的地方遠程訪問，就建議您使用其中的“回叫”功能。這個功能允許在遠程用戶從遠程登錄計算機網(wǎng)絡后立即切斷連接，然后由RAS服務器撥打一個預先設定的電話號碼來再次接通該用戶，此后再由該用戶進行RAS。如此設置就切斷非法入侵者的入侵，因為非法入侵者一般沒有機會知曉RAS服務器回叫的號碼，也就無法實現(xiàn)非法入侵。

    另外還可用其他方法，就是利用“防火區(qū)”的原理將所有的遠程訪問都限定在一臺單一的服務器上，這臺服務器與整個計算機網(wǎng)絡的聯(lián)系是通過人工手動完成的。這樣即使非法入侵者闖入，也會被隔離在一臺單一的機器上，對服務器的攻擊也就限定在一臺機器上。另外，還可用一些非常用的協(xié)議技術(shù)和方法(如蜜罐)來迷惑非法入侵者。這樣也就增加了技術(shù)成本，技術(shù)程度要求較高。

    切入點六：及時升級補丁

    軟件不可能都是完美的，隨著運行會逐漸發(fā)現(xiàn)它的漏洞，這是很正常的。而且其隱含的漏洞與軟件規(guī)模是成比例的。發(fā)現(xiàn)漏洞就必須彌補，否則漏洞就會變成一扇非法入侵者敞開的大門，任其出入。軟件開發(fā)商們都自己組件或雇傭了專門的人員來檢測已經(jīng)推廣應用的軟件隱含的漏洞隱患，一旦發(fā)現(xiàn)漏洞，會以服務包的形式發(fā)布相應的補丁程序。所以定期查看下載、安裝最新公布的補丁是非常必要的。但需要按照相應的邏輯順序使用這些補丁包，避免導致一些文件運行的錯誤。另外，也要對網(wǎng)絡中安裝的防毒軟件定期升級，有效的防止新病毒對網(wǎng)絡的破壞。

    切入點七：實時檢查安全設備及端口

    企業(yè)與外部網(wǎng)絡進行通信，安裝防火墻等安全設備是必須的。防火墻等安全設備既能將您公司的計算機與來自外部網(wǎng)絡的非法入侵者隔離開來，實現(xiàn)物理隔離，又能保證與外部通訊的通暢。

    為了保護企業(yè)內(nèi)網(wǎng)的安全，應當確定防火墻等安全設備不會向外界開放任何IP地址，特別是服務器及客戶端的IP地址必須隱藏起來。IP地址開放的越多，網(wǎng)絡受到攻擊的可能性就越大，服務器就越會危險。當然，至少要有一個IP地址對外進行通訊，如果有Web服務器或郵件服務器，它們的IP也是要公開的。

    一個IP地址與外界的通訊是通過端口來實現(xiàn)的，而端口有很多很多，因此通過軟件來查看端口，排查您不必要開放的端口，將其屏蔽掉，盡可能的減少由于操作系統(tǒng)或其他軟件漏洞而帶來的危機。
本文出自：億恩科技【mszdt.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 何時不用服務器虛擬化技術(shù)
下一篇 >> 專家:數(shù)據(jù)中心也應該“體檢”

无码视频在线观看,99人妻,国产午夜视频,久久久久国产一级毛片高清版新婚

服務器租用

服務器托管

機柜批發(fā)

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

企業(yè)服務器安全防護的七個切入點

同類文章

億恩公告

在線客服