提高內網伺服器安全

  現在我們用的網際網路的時間越來越多,需要掌握的網路技能也很多,那麼你知道的方法嗎?下面是小編整理的一些關於子網劃分方法的相關資料,供你參考。

  一

  做好資料的備份

  天有不測風雲。即使伺服器的安全系統設計的最好,也難免會有漏洞。筆者認為,提高伺服器的安全,做好相關的資料備份這非常的重要。雖然這一招比較老套,但是卻非常實用。即使發生了伺服器被偷、硬碟物理損壞等原因,只要認真做好備份的工作,一切都還可以重頭再來。

  二

  提防內部使用者的破壞

  大部分企業在設計內部伺服器安全時會有盲點。他們過多關注與外部的安全,而忽視了企業內部使用者的威脅。其實根據筆者的經驗,很多安全威脅都是企業內部使用者在無意之中造成的。舉一個簡單的例子。使用者通過U盤等裝置將一個檔案從自己家裡的主機上或者酒店的電腦上覆制到檔案伺服器上。而這個檔案很可能帶有病毒。此時這個檔案由於是直接從企業內部複製到檔案伺服器上,為此沒有經過防火牆的檢測。當其他使用者開啟這個檔案時,病毒就可以在企業內部網路中進行傳播。

  三

  利用虛擬化技術來避免多個應用程式之間的干擾

  企業內部可能會有多個資訊化應用。如辦公自動化系統、費用報銷系統等等。不過出於管理方便、節省專案成本等角度考慮,我們往往會將多個應用程式部署在一臺伺服器上。不過在這種情況下,可能會出現一定的安全隱患。如OA辦公自動化系統如果受到病毒、木馬等攻擊的話,就有可能會波及到同一伺服器上的費用報銷等其他的資訊化管理系統。所以在這裡就有一個安全與成本之間均衡的問題。

  筆者這裡建議,大家可以通過虛擬化技術來避免多個應用程式之間的干擾。如可以通過使用虛擬CPU技術。在伺服器CPU上劃分幾塊獨立的空間,分別給多個資訊化系統使用。此時即使辦公自動化系統受到病毒的攻擊,導致CPU負荷過載,也不會影響到同一臺伺服器上的其它資訊化管理系統。這主要是因為虛擬化技術將某個應用程式可以使用的資源進行了限制。各個應用程式都只能夠在某個特定的範圍內使用伺服器的資源。如此的話,就可以給同一臺伺服器上的各個應用程式提供相對獨立的環境,以確保它們之間不會彼此干擾。

  四

  利用NTFS檔案系統提供檔案級別的安全性

  企業內部伺服器上採用的比較多的是微軟的作業系統。而Windows作業系統現在支援的檔案格式有FAT32與NTFS兩種。筆者這裡建議大家使用NTFS檔案系統。因為相比FAT32檔案系統而言,NTFS檔案系統能夠提供額外的安全效能。如NTFS檔案系統提供了磁碟配額的機制。通過這個功能可以給伺服器上的各個應用程式進行磁碟配額的限制,從而防止某個應用程式佔用了多大的磁碟空間而影響到其它應用程式的執行。

  再如NTFS檔案系統還可以為任何一個磁碟分割槽單獨設定訪問許可權。如此的話,使用者可以將敏感資訊和伺服器資訊分別防止在不同的磁碟分割槽。如現在有一個檔案伺服器,那麼通過NTFS檔案系統,管理員就可以為不同的使用者設定不同的許可權。如其它部門的使用者不能夠檢視自己部門的檔案,或者說只可以閱讀,而不能夠進行更改、刪除等操作。從而最大程度保障企業檔案的安全。

  而且還可以將作業系統的檔案與應用程式的資料檔案做單獨的許可權限制。如有些企業OA系統有OA系統管理員、作業系統有系統管理員。各個IT技術人員分工合作。在這種情況下,就需要為他們設定不同的許可權。以防止各自的工作在無意中影響了其它系統的配置。此時採用NTFS系統也可以很好的保障各個系統的獨立性。

  五

  關閉不使用的服務與埠

  預設情況下,伺服器作業系統部署完成後,其會開啟很多埠。如21埠、80埠等等。但是需要注意的是,在實際工作中這些埠有些根本用不著。如果將這些埠開著,就好像房子的門沒關,會造成比較大的安全隱患。為此提高伺服器安全時,需要關閉不必要的埠與伺服器。

  無論是Windows作業系統還是Linux作業系統,其實有很多服務與埠都用不著。如在Windows作業系統中要部署一個檔案伺服器的話,那麼21號埠就沒有什麼用處。安全人員需要對這些不必要的埠引起重視。不要認為系統預設開啟的埠不會有安全隱患。這是一個非常嚴重的錯誤認識。那些看似沒什麼用的埠,可以給攻擊者提供許多敏感的資訊。如所選擇使用的作業系統型別、所部署的應用程式等等。舉一個簡單的例子。如果攻擊者知道伺服器開啟了69號埠,那麼就可以判斷這個伺服器很有可能使用的是Linux等類似的作業系統。這主要是因為這個埠預設情況下是被TFTP服務所使用的。而這個服務預設情況下Windows作業系統時不會啟用的,而Linux等到作系統則會安裝這個服務並啟動。在攻擊伺服器時,瞭解作業系統的資訊是攻擊的第一步。而現在就是因為這個不起眼的埠資訊,向攻擊者提供了作業系統的相關資訊。

  類似的案例還有很多。如Telent服務等等,很多時候都用不著。管理員在江伺服器投入到生產環境之前,需要先評估一下系統開啟的埠與服務。最好將那些不需要使用的埠與服務關閉掉。等到需要使用的時候再開啟即可。

 

 

  看過文章“

  1.網路安全知識

  2.企業網路安全解決方案

  3.資訊網路安全

  4.網路安全縱深防禦

  5.計算機網路安全

  6.關於計算機網路安全學習心得有哪些

  7.關於網路安全的心得推薦

  8.關於淺談網路安全論文有哪些

  9.關於網路安全管理

  10.關於網路安全發展趨勢的介紹