服務器系統維護與安全配置
硬件系統的安全防護
硬件的安全問題也可以分為兩種,一種是物理安全,一種是設置安全。
1、物理安全
物理安全是指防止意外事件或人為破壞具體的物理設備,如服務器、交換機、路由器、機柜、線路等。機房和機柜的鑰匙一定要管理好,不要讓無關人員隨意進入機房,尤其是網絡中心機房,防止人為的蓄意破壞。
2、設置安全
設置安全是指在設備上進行必要的設置(如服務器、交換機的密碼等),防止黑客取得硬件設備的遠程控制權。比如許多網管往往沒有在服務器或可網管的交換機上設置必要的密碼,懂網絡設備管理技術的人可以通過網絡來取得服務器或交換機的控制權,這是非常危險的。因為路由器屬于接入設備,必然要暴露在互聯網黑客攻擊的視野之中,因此需要采取更為嚴格的安全管理措施,比如口令加密、加載嚴格的訪問列表等。
軟件系統的安全防護
同硬件系統相比,軟件系統的安全問題是最多的,也是最復雜的。下面我們就重點談一下軟件系統的安全問題。
現在TCP/IP協議廣泛用于各種網絡。但是TCP/IP協議起源于Internet,而Internet在其早期是一個開放的為研究人員服務的網際網,是完全非贏利性的信息共享載體,所以幾乎所有的Internet協議都沒有考慮安全機制。網絡不安全的另一個因素是因為人們很容易從Internet上獲得相關的核心技術資料,特別是有關Internet自身的技術資料及各類黑客軟件,很容易造成網絡安全問題。
安全防護的措施
面對層出不窮的網絡安全問題我們也并非無計可施,可從以下幾個方面著手,就能夠做到防患于未然。
1、安裝補丁程序
任何操作系統都有漏洞,作為網絡系統管理員就有責任及時地將“補丁”(Patch)打上。大部分中小企業服務器使用的是微軟的Windows NT/2000/2003操作系統,因為使用的人特別多,所以發現的Bug也特別多,同時,蓄意攻擊它們的人也特別多。微軟公司為了彌補操作系統的安全漏洞,在其網站上提供了許多補丁,可以到網上下載并安裝相關升級包。對于Windows2003,至少要升級到SP1,對于Windows 2000,至少要升級至Service Pack 2,對于Windows NT 4.0,至少要升級至Service Pack 6。
2、安裝和設置防火墻
現在有許多基于硬件或軟件的防火墻,如華為、神州數碼、聯想、瑞星等廠商的產品。對于企業內部網來說,安裝防火墻是非常必要的。防火墻對于非法訪問具有很好的預防作用,但是并不是安裝了防火墻之后就萬事大吉了,而是需要進行適當的設置才能起作用。如果對防火墻的設置不了解,需要請技術支持人員協助設置。
3、安裝網絡殺毒軟件
現在網絡上的病毒非常猖獗,想必大家都嘗到了“尼姆達”病毒的厲害。這就需要在網絡服務器上安裝網絡版的殺毒軟件來控制病毒的傳播,目前,大多數反病毒廠商(如瑞星、冠群金辰、趨勢、賽門鐵克、熊貓等)都已經推出了網絡版的殺毒軟件;同時,在網絡版的殺毒軟件使用中,必須要定期或及時升級殺毒軟件。
4、賬號和密碼保護
賬號和密碼保護可以說是系統的第一道防線,目前網上的大部分對系統的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統,那么前面的防衛措施幾乎就沒有作用,所以對服務器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。
系統管理員密碼的位數一定要多,至少應該在8位以上,而且不要設置成容易猜測的密碼,如自己的名字、出生日期等。對于普通用戶,設置一定的賬號管理策略,如強制用戶每個月更改一次密碼。對于一些不常用的賬戶要關閉,比如匿名登錄賬號。
5、監測系統日志
通過運行系統日志程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
6、關閉不需要的服務和端口
服務器操作系統在安裝的時候,會啟動一些不需要的服務,這樣會占用系統的資源,而且也增加了系統的安全隱患。對于假期期間完全不用的服務器,可以完全關閉;對于假期期間要使用的服務器,應關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP端口。
7、定期對服務器進行備份
為防止不能預料的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同時,應該將修改過的重要系統文件存放在不同的服務器上,以便出現系統崩潰時(通常是硬盤出錯),可及時地將系統恢復到正常狀態。
【編輯推薦】
