隨著網(wǎng)絡(luò)的普及與發(fā)展,每個公司都添置了相應(yīng)的服務(wù)器為公司提供應(yīng)用服務(wù)。一方面為員工提供方便的上網(wǎng)條件���,另一方面為企業(yè)在外面樹立形象��。服務(wù)器的安全是非常重要的����,那么如何有效的保證服務(wù)器的安全呢?筆者在公司管理服務(wù)器并檢查其安全性已經(jīng)有幾年了�,在實際工作中積累了一些經(jīng)驗��,在這里為對此方面感興趣的讀者一一道來,希望通過服務(wù)器安全八步走讓你所在公司的服務(wù)器永遠保證正常運行��。
第一步��,增強網(wǎng)絡(luò)整體安全
服務(wù)器是一臺�����,但談?wù)摰椒?wù)器的安全性時就不能單一而論了�。網(wǎng)絡(luò)安全并不是一臺計算機或幾臺計算機的安全問題��,他是一個整體安全性的代名詞�����。只對單機進行安全防護不能稱之為網(wǎng)絡(luò)安全�����,這也是很多網(wǎng)絡(luò)管理員容易走進的誤區(qū)��。他們經(jīng)常只對服務(wù)器單機打補丁�����,安裝防火墻��,升級操作系統(tǒng)但忽視了網(wǎng)絡(luò)中的其他計算機。要知道很多黑客和病毒并不是直接攻擊服務(wù)器的���,而是通過入侵其他計算機并做為跳板來實現(xiàn)的�,因為很多網(wǎng)絡(luò)都是通過域的方式進行管理的�����,一旦某一臺計算機被入侵而服務(wù)器與之又有信任關(guān)系的話那么從這臺計算機攻擊服務(wù)器將會變得非常簡單。所以我們要保證服務(wù)器的安全要通過加強這個網(wǎng)絡(luò)安全來實現(xiàn)的。
如何才能建立完善的安全網(wǎng)絡(luò)呢���?這就需要對整個網(wǎng)絡(luò)制定并實施統(tǒng)一的安全體系�����,這樣才能有效的保護好網(wǎng)絡(luò)中包括服務(wù)器在內(nèi)的每個部件�。而且需要確保公司中的每個員工都知道并熟悉這個安全體系����,并且明確地知道他是強行執(zhí)行的�����。
安全體系如何構(gòu)建呢?這需要從兩方面入手����。
(1)安全管理
安全管理是指從管理角度出發(fā)�,利用規(guī)章制度等文字性的材料規(guī)范�����,約束各種針對計算機網(wǎng)絡(luò)的行為,例如禁止員工隨便下載非法程序����,禁止網(wǎng)絡(luò)管理員以外的人員進入中心機房�,完善網(wǎng)絡(luò)管理員的值班制度等等�。
(2)安全技術(shù)
任何網(wǎng)絡(luò)的安全都離不開強大的技術(shù)支持��,安全技術(shù)是從技術(shù)角度出發(fā),利用各種軟件和硬件���,各種技巧和方法來管理整個計算機網(wǎng)絡(luò)�����,殺毒軟件與防火墻雙管齊下力保網(wǎng)絡(luò)的安全。
以上提到的兩方面缺一不可���,試想如果只有安全技術(shù)的支持而在規(guī)章制度上沒有進行任何約束��,即使剛開始安全做的很到位但員工隨意下載非法軟件�,隨便關(guān)閉殺毒軟件的保護的話��,整個網(wǎng)絡(luò)安全很快就會報警的����。而只有嚴格的規(guī)章沒有技術(shù)作為支持的話病毒和黑客也會通過網(wǎng)絡(luò)漏洞輕松入侵的�����。因此安全管理與安全技術(shù)兩方面是相輔相成的��,作為網(wǎng)絡(luò)管理員來說這兩方面都要抓���,力度都要硬。
第二步:加強服務(wù)器本地文件格式安全級別
大家都知道目前服務(wù)器都采用的是windows2000以上版本����,所以在加強安全級別上需要利用windows2000server提供的用戶權(quán)限功能��,根據(jù)每個用戶的特點單獨地為其制定訪問服務(wù)器的特殊使用權(quán)限��,從而避免因使用統(tǒng)一的訪問服務(wù)器權(quán)限而帶來的安全隱患��。
為了確保服務(wù)器的安全首先要在本地文件格式上做文章���,即將FAT格式轉(zhuǎn)換為安全系數(shù)更高的NTFS文件格式����。畢竟對于黑客來說存儲在FAT格式的磁盤分區(qū)里的數(shù)據(jù)要比存儲在NTFS格式的磁盤分區(qū)的數(shù)據(jù)更容易訪問,也更容易破壞����,另外目前所有安全軟件及加密軟件也都是針對NTFS格式來說的���,對FAT格式的保護非常薄弱����。
另外最好使用專門的網(wǎng)絡(luò)檢測軟件對整個網(wǎng)絡(luò)的運行情況進行7*24小時的不間斷監(jiān)視�,尤其要關(guān)注“非法入侵”和“對服務(wù)器的操作”兩方面的報告,筆者做在的公司就使用IISLOCK來監(jiān)視網(wǎng)頁服務(wù)器的正常運行和MRTG來檢測整個網(wǎng)絡(luò)的流量���。
第三步:定期備份數(shù)據(jù)
數(shù)據(jù)的保護是一個非常重要的問題���,也許服務(wù)器的系統(tǒng)沒有崩潰但里面存儲的數(shù)據(jù)發(fā)生了丟失,這種情況所造成的損失會更大�,特別對于數(shù)據(jù)庫服務(wù)器來說也許存儲的是幾年的珍貴數(shù)據(jù)。如何有效的保護數(shù)據(jù)呢�?備份是唯一的選擇。以往對于數(shù)據(jù)的備份都是采取在服務(wù)器上另外一個區(qū)建立備份文件夾甚至是建立一個備份區(qū)���。不過這樣備份方法有一個非常大的弊端���,那就是一旦服務(wù)器的硬盤出現(xiàn)問題所有分區(qū)的數(shù)據(jù)都將丟失�����,從而備份沒有了保證����。按照“不要把所有雞蛋放到同一個籃子”的理論我們應(yīng)該使用單獨的專門設(shè)備保存這些珍貴數(shù)據(jù)����。
使用B服務(wù)器保存A服務(wù)器的數(shù)據(jù),同時用A服務(wù)器保存B服務(wù)器的文件�����,這種交叉?zhèn)浞莸姆椒ㄔ谝欢螘r間非常流行�。另外還有一個有效的方法就是使用磁帶來保存珍貴數(shù)據(jù),不過這樣的開銷會比較大���。
目前筆者所在公司所采用的備份方式是通過網(wǎng)絡(luò)存儲設(shè)備NAS來保存的����,將單獨的NAS設(shè)備連接到網(wǎng)絡(luò)中���,定期通過工具將珍貴數(shù)據(jù)寫入到NAS的硬盤中�����,由于NAS設(shè)備自身使用了RAID方式進行數(shù)據(jù)的冗余��,所以數(shù)據(jù)得到了最好的保證��。
但是數(shù)據(jù)備份也存在巨大的安全漏洞����,因為備份好的數(shù)據(jù)也有可能被盜竊�,所以在備份時應(yīng)該對備份介質(zhì)進行有效的密碼保護,必要時還需要使用加密軟件對這些數(shù)據(jù)進行加密����,這樣即使數(shù)據(jù)被盜也不會出現(xiàn)數(shù)據(jù)泄露的問題。
第四步:員工機的防護不容忽視
上面我們也提到過服務(wù)器的安全不光局限在服務(wù)器本身��,整個網(wǎng)絡(luò)都需要加強安全性��,因此員工機的防護也是不容忽視的�,很多網(wǎng)絡(luò)故障都是由一臺感染蠕蟲病毒的計算機所引起的。因此在員工機上做好防病毒防黑客的工作也是必要的�����。不過筆者所在的公司采用的是域的方式進行管理,將用戶的配置文件都保存在域服務(wù)器上���,這樣能夠最大限度的降低員工機染毒的概率�����,將殺毒工作放在服務(wù)器上執(zhí)行����。
總結(jié):
我們講解了服務(wù)器安全八步走的前四步�,主要講解了通過宏觀方面提高其安全性,不過服務(wù)器自身的安全也是不容忽視的����。下篇文章我們就將對如何提高服務(wù)器自身安全進行介紹。
