淺談服務(wù)器安全維護
2012-12-31 00:00:00魏九玲
【摘 要】隨著信息技術(shù)的不斷進步,現(xiàn)在各單位都建立了自己的網(wǎng)站和局域網(wǎng),各單位為保證其自身網(wǎng)絡(luò)安全,將服務(wù)器的安全維護作為本單位信息工作的重中之重。本人作為信息管理的一員,在實際維護工作中碰到過不少問題,對服務(wù)器安全有一定認識,同時也積累了部分經(jīng)驗,本文將從硬件維護和軟件維護兩個方面對服務(wù)器安全維護進行論述。
【關(guān)鍵詞】硬件;補丁;漏洞;日志;服務(wù);備份
1.硬件維護
硬件維護同軟件具有同等重要的地位。各位管理員一定要在對服務(wù)器乃至整個網(wǎng)絡(luò)環(huán)境的硬件系統(tǒng)有個清楚的了解,這才能做到心中有數(shù)。硬件方面的維護相對簡單,不外乎就是一些增加和卸載設(shè)備、更換設(shè)備以及設(shè)備除塵、防火防潮等工作。
1.1內(nèi)存和硬盤容量增容
當(dāng)服務(wù)器安裝的應(yīng)用程序增多、網(wǎng)絡(luò)資源提升時、網(wǎng)絡(luò)應(yīng)用多元化時,為保證服務(wù)器運行速度與工作效率,需要對服務(wù)器內(nèi)存進行擴充以適應(yīng)不斷發(fā)展的需要。需要注意的是加內(nèi)存時應(yīng)該選擇與原內(nèi)存同廠商、同型號的內(nèi)存條為宜,增加硬盤時也要選擇與原接口相匹配的,否則可能會導(dǎo)致系統(tǒng)出錯無法啟動。
1.2服務(wù)器的拆卸必須小心
拆服務(wù)器時里面倒不是大問題,關(guān)鍵是在開機箱時一定要注意,不少的服務(wù)器機箱暗藏玄機,一定要事先仔細閱讀說明書后再下手。
1.3做好防塵除塵工作防
很多莫名其妙的故障都是塵土“惹的禍”,一般來說每個月都應(yīng)定期的拆機除塵一次。
1.4優(yōu)化功能,避免資源浪費
服務(wù)器一般都提供磁盤陣列功能,目前不少的機房服務(wù)器都只有一塊硬盤,這樣沒有數(shù)據(jù)冗余的保障,也就沒有了對于存儲方面的安全保障和性能優(yōu)化。另外不少管理員只認為某些組件最重要,集中投入維護,從而忽略了其它組件的優(yōu)化工維護,使得這些組件的功能、性能都得不到很好的發(fā)揮,造成了資源浪費。
2.軟件維護
軟件系統(tǒng)方面的維護是服務(wù)器維護量最大的一部分,一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)庫服務(wù)、用戶數(shù)據(jù)等各方面的維護。目前,惡意的網(wǎng)絡(luò)攻擊行為包括兩類:一是惡意的攻擊行為,如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等,這些行為消耗大量的服務(wù)器資源,影響服務(wù)器的運行速度和正常工作,甚至使服務(wù)器所在的網(wǎng)絡(luò)癱瘓;另外一類是惡意的入侵行為,這種行為會導(dǎo)致服務(wù)器敏感信息泄露,入侵者更是可以為所欲為,肆意破壞服務(wù)器。要保障網(wǎng)絡(luò)服務(wù)器的安全就要盡量使網(wǎng)絡(luò)服務(wù)器避免受這兩種行為的影響。
2.1操作系統(tǒng)的維護
操作系統(tǒng)是服務(wù)器運行的軟件基礎(chǔ),其重要性不言自明。現(xiàn)在多數(shù)服務(wù)器操作系統(tǒng)使用Windows NT或Windows 2003 Server作為操作系統(tǒng),維護起來比較容易。在Windows NT或Windows 2000 Server中,應(yīng)經(jīng)常打開事件查看器,在系統(tǒng)日志、安全日志和應(yīng)用程序日志中查看有沒有特別異常的記錄。
2.2掃描系統(tǒng)漏洞
使用漏洞掃描和風(fēng)險評估工具定期對服務(wù)器進行掃描,來發(fā)現(xiàn)潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。微軟有專門人力檢查并修補安全漏洞,這些修補程序有時會被收集成service pack(服務(wù)包)發(fā)布。服務(wù)包通常有兩種版本:一個任何人都可以使用的40位的版本,另一個是只能在美國和加拿大發(fā)行的128位版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。一個服務(wù)包有時得等上好幾個月才發(fā)行一次,好在微軟會定期將重要的修補程序發(fā)布在它的FTP站上,這些最新修補程序都尚未收錄到最新一版的服務(wù)包里,我們可以經(jīng)常去看看最新修補程序,但要切記,修補程序一定要按一定順序來使用,若安裝順序錯亂的話,可能會導(dǎo)致一些文件的版本錯誤,也可能造成Windows當(dāng)機。
2.3關(guān)閉不需要的服務(wù)
網(wǎng)絡(luò)服務(wù)有很多,如WWW服務(wù)、DNS服務(wù)、DHCP服務(wù)、SMTP服務(wù)、FTP服務(wù)等,隨著服務(wù)器提供的服務(wù)越來越多,系統(tǒng)也容易混亂、安全性也將降低,此時可能需要重新設(shè)定各個服務(wù)的參數(shù),打開防火墻,使之安全而正常的運行。我們可根據(jù)實際需要關(guān)閉不必要的服務(wù),如:WEB服務(wù)器最好是只提供WWW服務(wù),安裝操作系統(tǒng)的最新補丁,將WWW服務(wù)升級到最新版本并安裝所有補丁,合理配置增強WWW服務(wù)器本身的安全。
2.4合理的權(quán)限管理
大多時候,為了降低成本,一臺服務(wù)器不僅運行了WEB的應(yīng)用,而且還會提供諸如FTP和流媒體之類的服務(wù)。在同一臺服務(wù)器上使用多種網(wǎng)絡(luò)服務(wù)很可能造成服務(wù)之間的相互感染。也就是說,攻擊者只要攻擊一種服務(wù),就可以運用相關(guān)的技能攻陷其他使用。因為攻擊者只需要攻破其中一種服務(wù),就可以運用這個服務(wù)平臺從內(nèi)部攻擊其他服務(wù),通常來說,從內(nèi)部執(zhí)行攻擊要比外部執(zhí)行攻擊方便得多。
我們通常采用的文件系統(tǒng)是FAT或者FAT32。NTFS是微軟WindowsNT內(nèi)核的系列操作系統(tǒng)支持的、一個特別針對網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式。在NTFS文件系統(tǒng)里可以為任何一個磁盤分區(qū)單獨設(shè)置訪問權(quán)限,可以把敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣,即使黑客通過某些方法獲得服務(wù)文件所在磁盤分區(qū)的訪問權(quán)限,還需要破解系統(tǒng)的安全設(shè)置才能進一步訪問保存在其他磁盤上的敏感信息。我們采用Windows2003服務(wù)器,為了實現(xiàn)這個安全需求,可把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。一般來說,NTFS分區(qū)比FAT分區(qū)安全性高很多。運用NTFS分區(qū)自帶的功能,合理為它們分配相關(guān)的權(quán)限。如為這三個服務(wù)配置不同的維護員賬戶,不同的賬戶只能對特定的分區(qū)與目錄進行訪問。這樣一來,即使某個維護員賬戶失竊,攻擊者也只能訪問該服務(wù)的存儲空間,而不能訪問其他服務(wù)的。
2.5安裝網(wǎng)絡(luò)殺毒軟件
安裝必要的防火墻,阻止各種掃描工具的試探及信息收集,根據(jù)一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給服務(wù)器增加一個防護層,同時需要對防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進行調(diào)整,消除內(nèi)部網(wǎng)絡(luò)的安全隱患。
2.6定期數(shù)據(jù)備份
定期對服務(wù)器進行備份,防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作。作好服務(wù)器系統(tǒng)備份,在系統(tǒng)遭破壞的時候可以及時恢復(fù)。
2.7監(jiān)測系統(tǒng)日志
通過運行系統(tǒng)日志程序,定期檢查最近登錄時間、使用的賬號、進行的活動等。定期生成報表,通過對報表進行分析,分析是否存在異常現(xiàn)象。 [科]
【參考文獻】
[1]JAMES F.KUROSE,KEITH W.ROSS.計算機網(wǎng)絡(luò)——自頂向下方法與Internet特色.北京:機械工業(yè)出版社,2005.
[2]W.RICHARD STEVENS,BILL FENNER,ANDREW M.RUDOFF. UNIX網(wǎng)絡(luò)編程第1卷套接口API(第3版).北京:清華大學(xué)出版社,2006,6.
[3]W.RICHARD STEVENS,STEPHEN A.RAGO. UNIX環(huán)境高級編程(第2版).北京:人民郵電出版社,2006.
[4]鄭齊,方思行.通用多線程服務(wù)器的設(shè)計與實現(xiàn).計算機工程與應(yīng)用,2003.16:146-147.
[5]邵芬,于國防,張寧.基于多線程的HTTP服務(wù)器的設(shè)計與實現(xiàn).工礦自動化,2007.8:134-136.
[6]孫霞.基于java的高效多線程HTTP服務(wù)器的研究及實現(xiàn).福建電腦,2003.11:38-39.
[7]李磊.嵌入式WEB服務(wù)器軟件的設(shè)計與實現(xiàn).計算機工程與設(shè)計2003(10).
