輕松六步驟 備份服務(wù)器不受黑客攻擊
備份服務(wù)器都是功能很強(qiáng)大的。這種服務(wù)器能夠讀或者覆蓋你的企業(yè)中的任何文件或者數(shù)據(jù)庫(kù)。沒有這種服務(wù)器,企業(yè)就不能備份或者恢復(fù)文件。把這些能力和許多備份軟件要求備份管理員擁有訪問系統(tǒng)的根權(quán)限或者管理員權(quán)限結(jié)合在一起,你就賦予了一個(gè)人在你的環(huán)境中讀取或者覆蓋任何文件和數(shù)據(jù)庫(kù)的權(quán)利。當(dāng)然,這就意味著備份服務(wù)器被攻破是一件非常可怕的事情。因此,你應(yīng)該盡一切努力保護(hù)備份服務(wù)器。下面是保護(hù)你的備份服務(wù)器的六個(gè)小竅門。
1.封閉沒有使用的端口
查看你的備份廠商的說明文件,確定哪一個(gè)端口對(duì)于你的備份系統(tǒng)的正常運(yùn)行是絕對(duì)必要的,然后封鎖所有其它的端口。例如,例如,如果你的備份服務(wù)器不需要成為NFS(網(wǎng)絡(luò)文件系統(tǒng))或者CIFS(通用互聯(lián)網(wǎng)文件系統(tǒng))服務(wù)器,那么,你就要關(guān)閉或者撤銷備份服務(wù)器提供這種服務(wù)的功能。對(duì)于Web、打印、Telnet和其它備份服務(wù)器運(yùn)行不需要的服務(wù)都要采取同樣的封閉措施。
2.要求加密訪問
如果你正在使用明文協(xié)議管理你的備份服務(wù)器,入侵者能夠監(jiān)視你的數(shù)據(jù)包并且確定你的管理口令。創(chuàng)建一個(gè)策略,禁止明文訪問你的備份服務(wù)器并且強(qiáng)制執(zhí)行這個(gè)策略。首先要卸載或者關(guān)閉明文協(xié)議,如Telnet、FTP、HTTP等協(xié)議。然后,要求所有的管理工作都必須通過加密的協(xié)議實(shí)施,如SSH、HTTPS、加密FTP和SCP等協(xié)議。
3.減少擁有全部訪問權(quán)限的人員數(shù)量
如果你的備份服務(wù)器需要根或者管理員訪問權(quán)限來進(jìn)行管理,限制擁有這種權(quán)限的人員數(shù)量。為備份服務(wù)器提供不同的管理口令,并且僅把口令提供給需要訪問備份服務(wù)器的人。一般的管理員可能不喜歡這種做法,因?yàn)樗麄兺ǔ碛性L問整個(gè)系統(tǒng)的權(quán)限。但是,你要向他們解釋這樣做是為了保護(hù)他們。把備份系統(tǒng)的管理口令放在安全的地方,僅允許真正需要的人接觸這個(gè)口令。
4.記錄備份活動(dòng)并盡可能把記錄放到別的服務(wù)器
使用Unix備份服務(wù)器中的系統(tǒng)記錄功能或者第三方的數(shù)據(jù)保護(hù)管理產(chǎn)品來記錄所有的備份活動(dòng),并且把記錄放到另外的服務(wù)器中,防止惡意的管理員覆蓋這些記錄。
5.介質(zhì)管理與備份管理分開
你還可以把介質(zhì)管理和備份管理的權(quán)限讓兩個(gè)人分別承擔(dān),一個(gè)人負(fù)責(zé)裝載磁帶,另一個(gè)人負(fù)責(zé)設(shè)置備份。一般來說,這些任務(wù)都是由一個(gè)人來完成的。但是,把這些工作分開可以避免惡意雇員造成的災(zāi)難。如果一個(gè)惡意雇員有管理權(quán)限,但是,他們有接觸存儲(chǔ)介質(zhì)的權(quán)限,他不能造成任何破壞。如果惡意雇員能夠接觸到存儲(chǔ)介質(zhì),但是,他沒有向介質(zhì)中放入任何東西的權(quán)限,他也不能造成任何破壞。
6.調(diào)研你的備份產(chǎn)品的安全功能
備份軟件產(chǎn)品在過去的幾年里已經(jīng)增加了許多安全功能,包括加密、基于任務(wù)的安全和增強(qiáng)的客戶和管理員身份識(shí)別等。加密功能可以加密備份過程,備份磁帶或者管理過程。基于任務(wù)的安全措施能夠阻止要求以根或者管理員權(quán)限進(jìn)行訪問以便管理系統(tǒng)的過程,并且能夠讓你分開職責(zé)和分散權(quán)力。最后,增強(qiáng)的身份識(shí)別系統(tǒng)放棄了使用IP地址和主機(jī)名識(shí)別系統(tǒng)的老做法。調(diào)研你的產(chǎn)品采用了上述哪一種功能,并且立即使用這些功能。
上述小竅門中有一些做法很難做到。但是,應(yīng)用這些小竅門比沒有任何竅門要好得多。讓我們確保這些備份服務(wù)器的安全吧!
【編輯推薦】
