每年都會出現(xiàn)個人隱私、企業(yè)機密信息泄露事件����,電商、銀行�、社交網(wǎng)等都出現(xiàn)過泄露案,因此�����,不管是個人還是企業(yè)對于數(shù)據(jù)的安全越來越重視���,特別是近年頻繁發(fā)生的服務器遭受安全的風險相對增加��。無論是越來越多的病毒�,心懷不軌的黑客,還是商業(yè)行為的盜竊都將服務器作為獲取信息的主要攻擊目標��。由此���,服務器的安全問題是不容忽視的�。
如何能夠有效維護系統(tǒng)安全是一個重要的工作�,下面簡單介紹維護服務器安全五個技巧。
技巧一:加強網(wǎng)絡規(guī)范
針對網(wǎng)絡服務器的安全����,特別是黑客對網(wǎng)絡發(fā)起攻擊情況,首先會檢查是否存在一般的安全漏洞���,然后考慮難度更高的突破安全系統(tǒng)的手段。因此�����,當服務器上的數(shù)據(jù)都存儲在一個fat磁盤分區(qū)時����,即使安裝上安全軟件也不會對數(shù)據(jù)保護有很大幫助����。所以�����,服務器上所有包含了敏感數(shù)據(jù)的磁盤分區(qū)都轉(zhuǎn)換成ntfs格式的�,同時需要將所有的反病毒軟件及時更新。
另一個保護網(wǎng)絡的好方法是以用戶辦公時段為基礎限定訪問網(wǎng)絡的時間�����。比如��,一個通常在白天工作的員工不應該被允許在工作以外時間訪問網(wǎng)絡�,除非出于一個特殊項目的需要并通過流程申請權(quán)限。而最主要的是記住用戶在訪問整個網(wǎng)絡上的任何東西的時候都需要密碼��,密碼設置要求由大小寫字母��,數(shù)字和特殊字符組成的高強度密碼�。
技巧二:保護備份安全
一個好的網(wǎng)絡管理員每天都備份網(wǎng)絡服務器并將記錄遠離現(xiàn)場進行保護以防意外災害。但是�����,安全的問題遠不止是備份那么簡單。大多數(shù)人都沒有意識到����,備份實際上就是一個巨大的安全漏洞。特別人為的因素很難控制��,如何能夠阻止一些人偷走磁帶記錄上的數(shù)據(jù)并將它們從一臺服務器上恢復數(shù)據(jù)是安全的重要考驗?
而有效保護備份����,通過密碼保護磁帶并且如果備份程序支持加密功能,可以加密這些數(shù)據(jù)���。其次�����,將備份程序完成工作的時間更改�����。這即使有人想要偷走磁帶的話,也會因為磁帶正在使用而強行帶走也毫無意義����。
技巧三:遠程訪問回叫功能
對于服務器上windows系統(tǒng)功能之一就是進行遠程訪問(ras)的支持��。而一個ras服務器對一個企圖進入系統(tǒng)的黑客來說也同樣是一個方面快捷的工具����。遠程用戶如何使用ras是關(guān)鍵�,如果遠程用戶經(jīng)常是從固定的地方呼叫主機,使用回叫功能可以很好保證遠程用戶登錄以后切斷連接�。然后ras服務器撥通一個預先定義的電話號碼再次接通用戶。
另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器�。將用戶通常訪問的數(shù)據(jù)在ras服務器的一個特殊的共享點上����?梢詫⑦h程用戶的訪問限制在一臺服務器上,而不是整個網(wǎng)絡��。即使黑客進入主機����,也會被隔離在單一的一臺服務器上將破壞降低到最小。
此外�,在ras服務器上利用協(xié)議變化����?紤]到tcp/ip協(xié)議本身的性質(zhì)和典型的用途��,ras還支持ipx/spx和netbeui協(xié)議��。如果你使用netbeui作為你ras的協(xié)議可以很好防范�。
技巧四:制定安全策略
要提高安全性��,可以做的工作就是制定一個好的�����,強有力的安全策略�����。確保每一個人都知道它并強制執(zhí)行的����。這樣的一個政策需要包括對一個在公司服務器上下載未授權(quán)的軟件嚴厲懲罰。
如果你使用windows 2000 server����,指定用戶特殊的使用權(quán)限來使用你的服務器而不需要交出管理員的控制權(quán)。一個好的用法就是授權(quán)人力資源部來刪除和禁用一個帳號����。人力資源部就可以在一個即將離職的員工被解雇以前就刪除或是禁用他的用戶帳號。同時���,使用特殊用戶權(quán)限����,授予這種刪除和禁用帳號權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動的權(quán)限了��。
技巧五:檢查防火墻設置
而對于防護之一的防火墻����,是網(wǎng)絡的一個重要部分因為它將你計算機同互聯(lián)網(wǎng)上可能對它們造成損壞的程序隔離開來,應該仔細檢查防火墻的設置�����。
首先�,確保防火墻不會向外界開放超過必要的任何ip地址。至少要讓一個ip地址對外被使用來進行所有的互聯(lián)網(wǎng)通訊�。如果你還有dns注冊的web服務器或是電子郵件服務器,它們的ip地址也許也要通過防火墻對外界可見��。
其次可以查看端口列表驗證你已經(jīng)關(guān)閉了所有并不常用的端口地址�����。例如,tcp/ip端口80用于http通訊��,但對于端口81并不常用的應該被關(guān)掉���。
