在企業(yè)信息系統(tǒng)中,服務(wù)器是信息系統(tǒng)的鶯要組成部分,眾多的關(guān)鍵應(yīng)用都在服務(wù)器上運(yùn)行,它以操作系統(tǒng)和硬件系統(tǒng)為基礎(chǔ),擔(dān)負(fù)著對(duì)信息和數(shù)據(jù)存儲(chǔ)、傳輸、處理和發(fā)布的重要任務(wù)。例如在開(kāi)灤信控中心共有服務(wù)器138臺(tái),運(yùn)行的系統(tǒng)有該集團(tuán)內(nèi)部網(wǎng)站、各個(gè)專業(yè)化公司網(wǎng)站、財(cái)務(wù)系統(tǒng)、物流系統(tǒng)、OA系統(tǒng)、設(shè)備系統(tǒng)、住房公積金、集團(tuán)商務(wù)網(wǎng)站、電子郵局等。這些系統(tǒng)都是該集團(tuán)重要的業(yè)務(wù)系統(tǒng),保證業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行是信控中心廣大科技人員的重要責(zé)任,鑒于此,服務(wù)器安全問(wèn)題就提到了議事口程上來(lái)。越來(lái)越多的病毒,心懷不軌的黑客都將服務(wù)器作為了他們的攻擊目標(biāo)。下面介紹一下服務(wù)器常見(jiàn)的惡意行為:
(1)惡意的攻擊行為,比如拒絕服務(wù)攻擊,網(wǎng)絡(luò)病毒等。這樣的行為目的就是消耗服務(wù)器資源,進(jìn)而影響服務(wù)器的正常運(yùn)作,甚至造成服務(wù)器所在網(wǎng)絡(luò)的癱瘓;
(2)惡意的入侵行為,這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息泄露,入侵者可以為所欲為,肆意破壞服務(wù)器。
二 保證服務(wù)器系統(tǒng)安全的方法
(一)構(gòu)建硬件安全防御體系 防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等是一套完善的安全模型需要的組件。防火墻在安全系統(tǒng)中扮演的是一個(gè)保安的角色,他可以在很大程度上保證來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)以及數(shù)據(jù)流量攻擊;入侵檢測(cè)系統(tǒng)扮演的是一個(gè)監(jiān)視器的角色,監(jiān)視你的服務(wù)器出入口,非常智能地過(guò)濾掉那些帶有入侵和攻擊性質(zhì)的訪問(wèn)。目前我們的硬件安全防御系統(tǒng)是在互聯(lián)網(wǎng)出口部署了思科公司的防火墻,在防火墻中設(shè)置了過(guò)濾規(guī)則,防止非法入侵。
(二)服務(wù)器內(nèi)網(wǎng)、外網(wǎng)隔離 服務(wù)器系統(tǒng)安全的實(shí)現(xiàn),與網(wǎng)絡(luò)系統(tǒng)的安全策略緊密相關(guān)。該集團(tuán)網(wǎng)絡(luò)系統(tǒng)分為內(nèi)網(wǎng)和外網(wǎng),采用防火墻隔離,內(nèi)網(wǎng)、外網(wǎng)不能直接互相訪問(wèn)。內(nèi)網(wǎng)、外網(wǎng)之間設(shè)置非軍事區(qū),所有內(nèi)網(wǎng)、外網(wǎng)之問(wèn)的訪問(wèn)全部通過(guò)防火墻實(shí)現(xiàn)。基于以上原則,集團(tuán)公司內(nèi)部的網(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器應(yīng)處于軍事區(qū),以保證其安全。集團(tuán)公司商務(wù)網(wǎng)站、電子郵局等服務(wù)器設(shè)置在非軍事區(qū),以實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)的訪問(wèn)。
(三)采用NTFS文件系統(tǒng)格式 通常采用的文件系統(tǒng)是FAT或者FAT32,NTFS是微軟Windows NT內(nèi)核的系列操作系統(tǒng)支持的一個(gè)特別為網(wǎng)絡(luò)和磁盤(pán)配額、文件加密等管理安全特性設(shè)計(jì)的磁盤(pán)格式。NTFS文件系統(tǒng)罩可以為任何一個(gè)磁盤(pán)分區(qū)單獨(dú)設(shè)置訪問(wèn)權(quán)限。把敏感信息和服務(wù)信息分別放在不同的磁盤(pán)分區(qū)。這樣即使黑客通過(guò)某些方法獲得你的服務(wù)文件所在磁盤(pán)分區(qū)的訪問(wèn)權(quán)限,還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問(wèn)到保存在其他磁盤(pán)上的敏感信息。只要是Windows操作系統(tǒng)的服務(wù)器,在安裝系統(tǒng)時(shí)都是采用NTFS格式對(duì)分區(qū)進(jìn)行格式化。
(四)做好系統(tǒng)備份和數(shù)據(jù)備份 做好服務(wù)器系統(tǒng)備份,一旦遭到破壞可以及時(shí)恢復(fù)。做好數(shù)據(jù)備份,每天采取本地備份和異地備份兩種方式,確保數(shù)據(jù)安全。對(duì)于服務(wù)器操作系統(tǒng)備份,在安裝完操作系統(tǒng)后,馬上利用ghost工具進(jìn)行系統(tǒng)備份:對(duì)于數(shù)據(jù)備份,在內(nèi)部網(wǎng)絡(luò)中部署專門(mén)的備份服務(wù)器,利用Veritas備份軟件進(jìn)行數(shù)據(jù)備份。
(五)關(guān)閉服務(wù) 關(guān)掉不必要開(kāi)的服務(wù),做好本地管理和組管理。Windows系統(tǒng)默認(rèn)的那些服務(wù)不用開(kāi)的。比如:默認(rèn)的共享遠(yuǎn)程注冊(cè)表訪問(wèn),系統(tǒng)很多敏感的信息都是寫(xiě)在注冊(cè)表里的,類似的這些服務(wù)需要全部關(guān)閉。
(六)關(guān)閉端口 一些默認(rèn)的不必要端口,應(yīng)該全部關(guān)閉,用到時(shí)再開(kāi)啟,不用時(shí)立刻關(guān)閉。如windows 2000 server默認(rèn)開(kāi)啟的IIS服務(wù)就顯示本身的操作系統(tǒng)是windows 2000 server。69端口給侵入者的信息是你在用的操作系統(tǒng)人概就是linux系統(tǒng)或者unix系統(tǒng)。此外,開(kāi)啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門(mén)戶,應(yīng)該關(guān)閉不必要的端口。
(七)安裝軟件防火墻、正版殺毒軟件 安裝正版的殺毒軟件,及時(shí)升級(jí)殺毒軟件病毒庫(kù)。目前開(kāi)灤構(gòu)建了安全的病毒防御體系,部署了趨勢(shì)科技的產(chǎn)品,所有服務(wù)器目前都安裝了網(wǎng)絡(luò)版的趨勢(shì)殺毒軟件。
(八)下載安裝操作系統(tǒng)最新的安全漏洞補(bǔ)救程序 微軟在網(wǎng)站上會(huì)定期的發(fā)布系統(tǒng)安全漏洞補(bǔ)丁程序。要經(jīng)常查看補(bǔ)丁程序,不定時(shí)的上網(wǎng)下載升級(jí)操作系統(tǒng)補(bǔ)丁程序,一定要按邏輯順序使用這些補(bǔ)丁程序。如果以錯(cuò)誤的順序使用它們,結(jié)果可能導(dǎo)致一些文件的版本錯(cuò)誤,系統(tǒng)也可能無(wú)法啟動(dòng)。
(九)下載安裝數(shù)據(jù)庫(kù)補(bǔ)丁程序 數(shù)據(jù)庫(kù)系統(tǒng)有漏洞,也會(huì)給服務(wù)器帶來(lái)安全隱患。例如微軟數(shù)據(jù)庫(kù)SQL SERVER 2000,系統(tǒng)補(bǔ)丁必須打到SP3以上。
(十)服務(wù)器地址綁定 目前,在局域網(wǎng)絡(luò)中ARP病毒十分猖狂,嚴(yán)重時(shí)可使整個(gè)網(wǎng)絡(luò)全面癱瘓。arp病毒并不是某一種病毒的名稱,而是對(duì)利用arp協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議,用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址(又稱MAC地址)。通常此類攻擊的手段有兩種:路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。我們的解決方案是,在交換機(jī)上做服務(wù)器的IP地址和MAC地址綁定。在網(wǎng)管服務(wù)器上安裝抓包工具,確定攻擊源,立刻斷網(wǎng)并對(duì)其全面殺毒,確認(rèn)沒(méi)有問(wèn)題后,方可接入網(wǎng)絡(luò)。
京公網(wǎng)安備 11010502049343號(hào)