护卫服务器安全从生手变老司机,浅析公司服务器安全堤防的四个切入点

从基本上防范,有效保护备份

如今,对于重要数据的保护越来越受到关注,近些年来,服务器遭受安全的风险也相对增加。无论是越来越多的病毒,心怀不轨的黑客,还是商业行为的盗窃都将服务器作为获取信息的主要攻击目标。很显然,服务器的安全问题是不容忽视的。

作为一名网络工程师,确保企业服务器的安全,保证其正常的运行,是网络管理工作中的首要问题。那么如何才能切实有效的保护服务器的安全呢?根据笔者十年来的工作经验,大体从以下七点来建立防护体系。

下面简单介绍五个维护服务器安全的技巧。

  切入点一:确立强有力的网络安全体系

技巧一:从基本做起

  要将企业的服务器不能孤立开来,一个个体的加以“保护”,作为网络中的核心部件,应当将它与周围的其他设备合为一个整体,统筹规划安排,才能全面解决安全问题,更好地确保服务器安全。

当谈论网络服务器的安全的时候,特别是黑客对网络发起攻击的时候,首先会检查是否存在一般的安全漏洞,然后才会考虑难度更加高一点的突破安全系统的手段。因此,当服务器上的数据都存在于一个FAT的磁盘分区的时候,即使安装上安全软件也不会对数据保护有很大帮助。所以,服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的,同时需要将所有的反病毒软件及时更新。

  因此,必须建立一个整体的、完善的、强有力的计算机网络安全体系。只有对整个网络制定并实施统一地安全体系,才能有效地保护网络中涉及到的服务器等各部件。同时要求企业中的每一个员工都清楚并熟知这个安全体系,并知道它是强行执行的。

另一个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间。比如,一个通常在白天工作的临时员工不应该被允许在临晨三点的时候访问网络,除非那个员工的主管告诉你那是出于一个特殊项目的需要。而最主要的是记住用户在访问整个网络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母,数字和特殊字符组成的密码。

  一个完整地安全体系包括两部分:安全管理和安全技术。安全管理从管理角度出发,利用规章、制度等书面形式规范、约束各种计算机网络行为,如各种网络设备的操作规范;安全技术顾名思义是从技术角度出发,利用各种软件(比如杀毒软件、防火墙软件等)和硬件(如硬件防火墙)、各种技巧和方法来管理整个计算机网络。

技巧二:保护你的备份

  具体到服务器,一方面需要严格规范对服务器地操作,禁止一切可能有害于服务器及其数据的行为,特别是针对“写”、“删除”这类行为;加强中心机房的管理,禁止除网络管理人员以外人士随便操作服务器。另一面,药尽可能地利用现有地各种安全技术来保障服务器地安全。例如,可利用windows
2000/2003
Sever提供的“用户权限”功能根据每个工作人员的业务特点单独地为其制定访问服务器地特殊使用权限,从而避免因使用统一的访问服务器权限而带来的安全隐患。

每一个好的网络管理员每天都备份网络服务器并将记录远离现场进行保护以防意外灾害。但是,安全的问题远不止是备份那么简单。大多数人都没有意识到,你的备份实际上就是一个巨大的安全漏洞。

  切入点二:建立必要的防护基础

但是,人为的因素很难控制,如何能够阻止一些人偷走你磁带记录上的数据并将它们从一台服务器上恢复数据是安全的重要考验?

  因为漏洞的存在,导致了相应的安全问题。对于每一次对网络的攻击都是从安全方面的漏洞开始的。因此为了服务器的安全,必须建立必要的防护基础,尽可能的采用现有的安全技术(如系统文件格式、操作系统等方面)来构建服务器,直至整个计算机网络。这样从根本上确保服务器的安全。

而有效保护备份,通过密码保护磁带并且如果备份程序支持加密功能,可以加密这些数据。其次,将备份程序完成工作的时间更改。这样的话,即使有人想要偷走磁带的话,也会因为磁带正在使用而强行带走也毫无意义。

  比如对于非法入侵者(包括黑客在内的所有未经许可的非法访问者)而言,存储在FAT格式下磁盘数据要比在NTFS格式下更加容易访问及破坏。所以,对于服务器而言,将它的磁盘分区设定为FAT格式是不安全的做法。要从基础做起,尽可能地将服务器上所有地磁盘分区都转换为NTFS格式,特别是那些有敏感特性的数据所在的磁盘分区。

设置防火墙 制定安全政策

  作为一个企业,购买一款正宗地网络监测软件对整个网络运行全天候地不间断监视应当不成问题,特别是对“非法入侵”和“对服务器的操作”两个方面的实时监控报告,能及时的通知网络维护人员快速响应,将损失减少到最低限度。同时,针对当前日益增长的木马、病毒数量,企业花钱买款网络版的杀毒软件也是首要的,必须的。

技巧三:对RAS使用回叫功能

  切入点三:定期做好备份数据工作

对于服务器上Windows
NT系统功能之一就是进行远程访问RAS)的支持。而一个RAS服务器对一个企图进入系统的黑客来说也同样是一个方面快捷的工具。远程用户如何使用RAS是关键,如果远程用户经常是从固定的地方呼叫主机,使用回叫功能可以很好保证远程用户登录以后切断连接。然后RAS服务器拨通一个预先定义的电话号码再次接通用户。

  前面的工作做好了,也有可能出现或多或少的损失,但天灾人祸是不可避免的,为了尽量的避免它,我们还要利用现有技术定期备份数据(比如企业ERP数据等记录公司日常业务的数据)并妥善地保存好,是网络管理人员日常管理中必须完成的,也是优秀网络管理员必须养成的良好的工作习惯。

另一个可选的办法是限定所有的远程用户都访问单一的服务器。将用户通常访问的数据放置在RAS服务器的一个特殊的共享点上。可以将远程用户的访问限制在一台服务器上,而不是整个网络。这样,即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上,在这里,他们造成的破坏被减少到了最小。

  备份好数据就万无一失了吗?还存在偷窃地行为。所以,在备份数据时应当考虑通过采取锁进保险柜,进行“密码保护”等方式进行第二次、第三次保护您的备份介质(如磁盘、磁带)。最好在做备份时同步地对企业数据进行加密处理,这样地话,最大限度保证数据即使被偷窃也不会解密。

最后还有一个技巧就是在你的RAS服务器上利用协议变化。考虑到TCP/IP协议本身的性质和典型的用途,RAS还支持IPX/SPX和NetBEUI协议。如果你使用NetBEUI作为你RAS的协议可以很好防范。

  切入点四:加强客户端的管理

技巧四:使用一个强有力的安全政策

银河国际手机版最新,  在网络中除了服务器外,客户端就是使用频繁地网络设备了,也是通向服务器的一个个端口。所以尽量将其更换为稳定的操作系统Windows
2000/Xp,甚至是Windows2003等其他更安全地系统。这样您就可以用“权限管理”功能来锁定客户端,使得那些没有安全访问权限地人很难甚至不可能获得网络配置信息。

要提高安全性,可以做的工作就是制定一个好的,强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚。

  当然也可以采用另一种方式,将客户端的功能限定为一个“灵活而单纯”的终端,即让程序和数据统一驻留在网络中的服务器上,却在客户端上运行,所有安装在客户端上的是一份操作系统的拷贝及指向驻留在服务器上地应用程序的快捷键图标。当双击快捷键图标运行程序时,这个程序将使用客户端本地地资源来运行,而不是直接消耗服务器资源。这种方法能够减轻客户端被破坏带来地对服务器的损伤,当出现了故障排查起来会增加点难度。

如果你使用Windows 2000
Server,指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这样,人力资源部就可以在一个即将离职的员工被解雇以前就删除或是禁用他的用户帐号。同时,使用特殊用户权限,你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。

  切入点五:对远程访问的管理

技巧五:检查防火墙设置

  计算机网络的一个优点是借助必要工具,利用网络实现对计算机网络的远程访问(RAS)。Windows
操作系统从NT开始就内置了这种功能。但也同时打开了安全隐患的大门,他们只需要知道能够进行RAS的电话号码就可以轻松实现入侵。因此,如果您存在远程访问的需求,就必须对远程用户进行强化管理,监管您的远程用户如何使用RAS。如果您的远程用户经常是从家里或不经常变动的地方远程访问,就建议您使用其中的“回叫”功能。这个功能允许在远程用户从远程登录计算机网络后立即切断连接,然后由RAS服务器拨打一个预先设定的电话号码来再次接通该用户,此后再由该用户进行RAS。如此设置就切断非法入侵者的入侵,因为非法入侵者一般没有机会知晓RAS服务器回叫的号码,也就无法实现非法入侵。

最后一个技巧包括仔细检查防火墙的设置。防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的程序隔离开来。

  另外还可用其他方法,就是利用“防火区”的原理将所有的远程访问都限定在一台单一的服务器上,这台服务器与整个计算机网络的联系是通过人工手动完成的。这样即使非法入侵者闯入,也会被隔离在一台单一的机器上,对服务器的攻击也就限定在一台机器上。另外,还可用一些非常用的协议技术和方法(如蜜罐)来迷惑非法入侵者。这样也就增加了技术成本,技术程度要求较高。

首先,确保防火墙不会向外界开放超过必要的任何IP地址。至少要让一个IP地址对外被使用来进行所有的互联网通讯。如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见。

  切入点六:及时升级补丁

其次可以查看端口列表验证你已经关闭了所有并不常用的端口地址。例如,TCP/IP端口80用于HTTP通讯,但是,也许永远都不会用端口81因此它应该被关掉。

  软件不可能都是完美的,随着运行会逐渐发现它的漏洞,这是很正常的。而且其隐含的漏洞与软件规模是成比例的。发现漏洞就必须弥补,否则漏洞就会变成一扇非法入侵者敞开的大门,任其出入。软件开发商们都自己组件或雇佣了专门的人员来检测已经推广应用的软件隐含的漏洞隐患,一旦发现漏洞,会以服务包的形式发布相应的补丁程序。所以定期查看下载、安装最新公布的补丁是非常必要的。但需要按照相应的逻辑顺序使用这些补丁包,避免导致一些文件运行的错误。另外,也要对网络中安装的防毒软件定期升级,有效的防止新病毒对网络的破坏。

如今,对于重要数据的保护越来越受到关注,近些年来,服务器遭受安全的风险也相对增加。无论是越来越多…

  切入点七:实时检查安全设备及端口

  企业与外部网络进行通信,安装防火墙等安全设备是必须的。防火墙等安全设备既能将您公司的计算机与来自外部网络的非法入侵者隔离开来,实现物理隔离,又能保证与外部通讯的通畅。

  为了保护企业内网的安全,应当确定防火墙等安全设备不会向外界开放任何IP地址,特别是服务器及客户端的IP地址必须隐藏起来。IP地址开放的越多,网络受到攻击的可能性就越大,服务器就越会危险。当然,至少要有一个IP地址对外进行通讯,如果有Web服务器或邮件服务器,它们的IP也是要公开的。

  一个IP地址与外界的通讯是通过端口来实现的,而端口有很多很多,因此通过软件来查看端口,排查您不必要开放的端口,将其屏蔽掉,尽可能的减少由于操作系统或其他软件漏洞而带来的危机。

发表评论

电子邮件地址不会被公开。 必填项已用*标注