网管吐真经:服务器安全宏观篇
2009-11-02 中国IT实验室
随着网络的普及与发展,每个公司都添置了相应的服务器为公司提供应用服务。一方面为员工提供方便的上网条件,另一方面为企业在外面树立形象。服务器的安全是非常重要的,那么如何有效的保证服务器的安全呢?笔者在公司管理服务器并检查其安全性已经有几年了,在实际工作中积累了一些经验,在这里为对此方面感兴趣的读者一一道来,希望通过服务器安全八步走让你所在公司的服务器永远保证正常运行。
第一步,增强网络整体安全
服务器是一台,但谈论到服务器的安全性时就不能单一而论了。网络安全并不是一台计算机或几台计算机的安全问题,他是一个整体安全性的代名词。只对单机进行安全防护不能称之为网络安全,这也是很多网络管理员容易走进的误区。他们经常只对服务器单机打补丁,安装防火墙,升级操作系统但忽视了网络中的其他计算机。要知道很多黑客和病毒并不是直接攻击服务器的,而是通过入侵其他计算机并做为跳板来实现的,因为很多网络都是通过域的方式进行管理的,一旦某一台计算机被入侵而服务器与之又有信任关系的话那么从这台计算机攻击服务器将会变得非常简单。所以我们要保证服务器的安全要通过加强这个网络安全来实现的。
如何才能建立完善的安全网络呢?这就需要对整个网络制定并实施统一的安全体系,这样才能有效的保护好网络中包括服务器在内的每个部件。而且需要确保公司中的每个员工都知道并熟悉这个安全体系,并且明确地知道他是强行执行的。
安全体系如何构建呢?这需要从两方面入手。
(1)安全管理
安全管理是指从管理角度出发,利用规章制度等文字性的材料规范,约束各种针对计算机网络的行为,例如禁止员工随便下载非法程序,禁止网络管理员以外的人员进入中心机房,完善网络管理员的值班制度等等。
(2)安全技术
任何网络的安全都离不开强大的技术支持,安全技术是从技术角度出发,利用各种软件和硬件,各种技巧和方法来管理整个计算机网络,杀毒软件与防火墙双管齐下力保网络的安全。
以上提到的两方面缺一不可,试想如果只有安全技术的支持而在规章制度上没有进行任何约束,即使刚开始安全做的很到位但员工随意下载非法软件,随便关闭杀毒软件的保护的话,整个网络安全很快就会报警的。而只有严格的规章没有技术作为支持的话病毒和黑客也会通过网络漏洞轻松入侵的。因此安全管理与安全技术两方面是相辅相成的,作为网络管理员来说这两方面都要抓,力度都要硬。
第二步:加强服务器本地文件格式安全级别
大家都知道目前服务器都采用的是windows2000以上版本,所以在加强安全级别上需要利用windows2000server提供的用户权限功能,根据每个用户的特点单独地为其制定访问服务器的特殊使用权限,从而避免因使用统一的访问服务器权限而带来的安全隐患。
为了确保服务器的安全首先要在本地文件格式上做文章,即将FAT格式转换为安全系数更高的NTFS文件格式。毕竟对于黑客来说存储在FAT格式的磁盘分区里的数据要比存储在NTFS格式的磁盘分区的数据更容易访问,也更容易破坏,另外目前所有安全软件及加密软件也都是针对NTFS格式来说的,对FAT格式的保护非常薄弱。
另外最好使用专门的网络检测软件对整个网络的运行情况进行7*24小时的不间断监视,尤其要关注“非法入侵”和“对服务器的操作”两方面的报告,笔者做在的公司就使用IISLOCK来监视网页服务器的正常运行和MRTG来检测整个网络的流量。
第三步:定期备份数据
数据的保护是一个非常重要的问题,也许服务器的系统没有崩溃但里面存储的数据发生了丢失,这种情况所造成的损失会更大,特别对于数据库服务器来说也许存储的是几年的珍贵数据。如何有效的保护数据呢?备份是唯一的选择。以往对于数据的备份都是采取在服务器上另外一个区建立备份文件夹甚至是建立一个备份区。不过这样备份方法有一个非常大的弊端,那就是一旦服务器的硬盘出现问题所有分区的数据都将丢失,从而备份没有了保证。按照“不要把所有鸡蛋放到同一个篮子”的理论我们应该使用单独的专门设备保存这些珍贵数据。
使用B服务器保存A服务器的数据,同时用A服务器保存B服务器的文件,这种交叉备份的方法在一段时间非常流行。另外还有一个有效的方法就是使用磁带来保存珍贵数据,不过这样的开销会比较大。
目前笔者所在公司所采用的备份方式是通过网络存储设备NAS来保存的,将单独的NAS设备连接到网络中,定期通过工具将珍贵数据写入到NAS的硬盘中,由于NAS设备自身使用了RAID方式进行数据的冗余,所以数据得到了最好的保证。
但是数据备份也存在巨大的安全漏洞,因为备份好的数据也有可能被盗窃,所以在备份时应该对备份介质进行有效的密码保护,必要时还需要使用加密软件对这些数据进行加密,这样即使数据被盗也不会出现数据泄露的问题。
第四步:员工机的防护不容忽视
上面我们也提到过服务器的安全不光局限在服务器本身,整个网络都需要加强安全性,因此员工机的防护也是不容忽视的,很多网络故障都是由一台感染蠕虫病毒的计算机所引起的。因此在员工机上做好防病毒防黑客的工作也是必要的。不过笔者所在的公司采用的是域的方式进行管理,将用户的配置文件都保存在域服务器上,这样能够最大限度的降低员工机染毒的概率,将杀毒工作放在服务器上执行。
总结:
我们讲解了服务器安全八步走的前四步,主要讲解了通过宏观方面提高其安全性,不过服务器自身的安全也是不容忽视的。下篇文章我们就将对如何提高服务器自身安全进行介绍。