- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
企業服務器安全防護的七個切入點 |
| 發布時間: 2012/9/8 18:11:43 |
|
作為一名網絡工程師,確保企業服務器的安全,保證其正常的運行,是網絡管理工作中的首要問題。那么如何才能切實有效的保護服務器的安全呢?根據筆者十年來的工作經驗,大體從以下七點來建立防護體系。 切入點一:確立強有力的網絡安全體系 要將企業的服務器不能孤立開來,一個個體的加以“保護”,作為網絡中的核心部件,應當將它與周圍的其他設備合為一個整體,統籌規劃安排,才能全面解決安全問題,更好地確保服務器安全。 因此,必須建立一個整體的、完善的、強有力的計算機網絡安全體系。只有對整個網絡制定并實施統一地安全體系,才能有效地保護網絡中涉及到的服務器等各部件。同時要求企業中的每一個員工都清楚并熟知這個安全體系,并知道它是強行執行的。 一個完整地安全體系包括兩部分:安全管理和安全技術。安全管理從管理角度出發,利用規章、制度等書面形式規范、約束各種計算機網絡行為,如各種網絡設備的操作規范;安全技術顧名思義是從技術角度出發,利用各種軟件(比如殺毒軟件、防火墻軟件等)和硬件(如硬件防火墻)、各種技巧和方法來管理整個計算機網絡。 具體到服務器,一方面需要嚴格規范對服務器地操作,禁止一切可能有害于服務器及其數據的行為,特別是針對“寫”、“刪除”這類行為;加強中心機房的管理,禁止除網絡管理人員以外人士隨便操作服務器。另一面,藥盡可能地利用現有地各種安全技術來保障服務器地安全。例如,可利用 windows2000/2003Sever提供的“用戶權限”功能根據每個工作人員的業務特點單獨地為其制定訪問服務器地特殊使用權限,從而避免因使用統一的訪問服務器權限而帶來的安全隱患。 切入點二:建立必要的防護基礎 因為漏洞的存在,導致了相應的安全問題。對于每一次對網絡的攻擊都是從安全方面的漏洞開始的。因此為了服務器的安全,必須建立必要的防護基礎,盡可能的采用現有的安全技術(如系統文件格式、操作系統等方面)來構建服務器,直至整個計算機網絡。這樣從根本上確保服務器的安全。 比如對于非法入侵者(包括黑客在內的所有未經許可的非法訪問者)而言,存儲在FAT格式下磁盤數據要比在NTFS格式下更加容易訪問及破壞。所以,對于服務器而言,將它的磁盤分區設定為FAT格式是不安全的做法。要從基礎做起,盡可能地將服務器上所有地磁盤分區都轉換為NTFS格式,特別是那些有敏感特性的數據所在的磁盤分區。 作為一個企業,購買一款正宗地網絡監測軟件對整個網絡運行全天候地不間斷監視應當不成問題,特別是對“非法入侵”和“對服務器的操作”兩個方面的實時監控報告,能及時的通知網絡維護人員快速響應,將損失減少到最低限度。同時,針對當前日益增長的木馬、病毒數量,企業花錢買款網絡版的殺毒軟件也是首要的,必須的。 切入點三:定期做好備份數據工作 前面的工作做好了,也有可能出現或多或少的損失,但天災人禍是不可避免的,為了盡量的避免它,我們還要利用現有技術定期備份數據(比如企業 ERP數據等記錄公司日常業務的數據)并妥善地保存好,是網絡管理人員日常管理中必須完成的,也是優秀網絡管理員必須養成的良好的工作習慣。 備份好數據就萬無一失了嗎?還存在偷竊地行為。所以,在備份數據時應當考慮通過采取鎖進保險柜,進行“密碼保護”等方式進行第二次、第三次保護您的備份介質(如磁盤、磁帶)。最好在做備份時同步地對企業數據進行加密處理,這樣地話,最大限度保證數據即使被偷竊也不會解密。 切入點四:加強客戶端的管理 在網絡中除了服務器外,客戶端就是使用頻繁地網絡設備了,也是通向服務器的一個個端口。所以盡量將其更換為穩定的操作系統 Windows2000/Xp,甚至是Windows2003等其他更安全地系統。這樣您就可以用“權限管理”功能來鎖定客戶端,使得那些沒有安全訪問權限地人很難甚至不可能獲得網絡配置信息。 當然也可以采用另一種方式,將客戶端的功能限定為一個“靈活而單純”的終端,即讓程序和數據統一駐留在網絡中的服務器上,卻在客戶端上運行,所有安裝在客戶端上的是一份操作系統的拷貝及指向駐留在服務器上地應用程序的快捷鍵圖標。當雙擊快捷鍵圖標運行程序時,這個程序將使用客戶端本地地資源來運行,而不是直接消耗服務器資源。這種方法能夠減輕客戶端被破壞帶來地對服務器的損傷,當出現了故障排查起來會增加點難度。 切入點五:對遠程訪問的管理 計算機網絡的一個優點是借助必要工具,利用網絡實現對計算機網絡的遠程訪問(RAS)。Windows操作系統從NT開始就內置了這種功能。但也同時打開了安全隱患的大門,他們只需要知道能夠進行RAS的電話號碼就可以輕松實現入侵。因此,如果您存在遠程訪問的需求,就必須對遠程用戶進行強化管理,監管您的遠程用戶如何使用RAS。如果您的遠程用戶經常是從家里或不經常變動的地方遠程訪問,就建議您使用其中的“回叫”功能。這個功能允許在遠程用戶從遠程登錄計算機網絡后立即切斷連接,然后由RAS服務器撥打一個預先設定的電話號碼來再次接通該用戶,此后再由該用戶進行RAS。如此設置就切斷非法入侵者的入侵,因為非法入侵者一般沒有機會知曉RAS服務器回叫的號碼,也就無法實現非法入侵。 另外還可用其他方法,就是利用“防火區”的原理將所有的遠程訪問都限定在一臺單一的服務器上,這臺服務器與整個計算機網絡的聯系是通過人工手動完成的。這樣即使非法入侵者闖入,也會被隔離在一臺單一的機器上,對服務器的攻擊也就限定在一臺機器上。另外,還可用一些非常用的協議技術和方法(如蜜罐)來迷惑非法入侵者。這樣也就增加了技術成本,技術程度要求較高。 切入點六:及時升級補丁 軟件不可能都是完美的,隨著運行會逐漸發現它的漏洞,這是很正常的。而且其隱含的漏洞與軟件規模是成比例的。發現漏洞就必須彌補,否則漏洞就會變成一扇非法入侵者敞開的大門,任其出入。軟件開發商們都自己組件或雇傭了專門的人員來檢測已經推廣應用的軟件隱含的漏洞隱患,一旦發現漏洞,會以服務包的形式發布相應的補丁程序。所以定期查看下載、安裝最新公布的補丁是非常必要的。但需要按照相應的邏輯順序使用這些補丁包,避免導致一些文件運行的錯誤。另外,也要對網絡中安裝的防毒軟件定期升級,有效的防止新病毒對網絡的破壞。 切入點七:實時檢查安全設備及端口 企業與外部網絡進行通信,安裝防火墻等安全設備是必須的。防火墻等安全設備既能將您公司的計算機與來自外部網絡的非法入侵者隔離開來,實現物理隔離,又能保證與外部通訊的通暢。 為了保護企業內網的安全,應當確定防火墻等安全設備不會向外界開放任何IP地址,特別是服務器及客戶端的IP地址必須隱藏起來。IP地址開放的越多,網絡受到攻擊的可能性就越大,服務器就越會危險。當然,至少要有一個IP地址對外進行通訊,如果有Web服務器或郵件服務器,它們的IP也是要公開的。 一個IP地址與外界的通訊是通過端口來實現的,而端口有很多很多,因此通過軟件來查看端口,排查您不必要開放的端口,將其屏蔽掉,盡可能的減少由于操作系統或其他軟件漏洞而帶來的危機。 本文出自:億恩科技【www.zuiquanben.com】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
