对如何建立服务器安全防护体系的探讨

摘　要：计算机的诞生为人民的生活添加了很多乐趣和方便，也为各行各业提高了工作效率和安全保障，但是，同时也有很多问题一直在困扰着我们。首先，计算机在方便的同时，也存在着威胁，黑客和病毒的存在，也给很多机关和企业带来很大的烦恼。本文则在此基础上对如何建立服务器安全防护体系作出一番探讨。

关键词：计算机；服务器；安全防护
1、确立强有力的网络安全体系
  不能将服务器孤立开来，个别的加以“保护”，作为网络中的核心部件，应当将它与周围的其他设备合为一个整体，统筹规划安排，才能全面解决安全问题，更好地确保服务器安全。因此，必须建立一个整体的、完善的、强有力的计算机网络安全体系。只有对整个网络制定并实施统一地安全体系，才能有效地保护网络中涉及到的服务器等各部件。同时要求企业中的每一个教职员工都清楚并熟知这个安全体系，并知道它是强行执行的。一个完整的安全体系包括两部分：安全管理和安全技术。安全管理从管理角度出发，利用规章、制度等书面形式规范、约束各种计算机网络行为，如各种网络设备的操作规范；安全技术顾名思义是从技术角度出发，利用各种软件(比如杀毒软件、防火墙软件等)和硬件(如硬件防火墙)、各种技巧和方法来管理整个计算机网络。具体到服务器，一方面需要严格规范对服务器地操作，禁止一切可能有害于服务器及其数据的行为，特别是针对“写”、“删除”这类行为；加强中心机房的管理，禁止除网络管理人员以外人士随便操作服务器。另一面，要尽可能的利用现有的各种安全技术来保障服务器地安全。例如，可利用windows2000/2003Sever提供的“用户权限”功能根据每个工作人员的业务特点单独的为其制定访问服务器特殊使用权限，从而避免因使用统一的访问服务器权限而带来的安全隐患。
2、建立必要的防护基础
  因为漏洞的存在，导致了相应的安全问题。对于每一次对网络的攻击都是从安全方面的漏洞开始的。因此为了服务器的安全，必须建立必要的防护基础，尽可能的采用现有的安全技术(如系统文件格式、操作系统等方面)来构建服务器，直至整个计算机网络。这样从根本上确保服务器的安全。比如对于非法入侵者(包括黑客在内的所有未经许可的非法访问者)而言，存储在FAT格式下磁盘数据要比在NTFS格式下更加容易被访问及破坏。所以，对于服务器而言，将它的磁盘分区设定为FAT格式是不安全的做法。要从基础做起，尽可能地将服务器上所有地磁盘分区都转换为NTFS格式，特别是那些有敏感特性的数据所在的磁盘分区。购买一款正版的网络监测软件对整个网络运行全天候地不间断监视是非常重要的，特别是对“非法入侵”和“对服务器的操作”两个方面的实时监控报告，能及时的通知网络维护人员快速响应，将损失减少到最低限度。同时，针对当前日益增长的木马、病毒数量，花钱买款网络版的杀毒软件也是首要的，必须的。
3、定期做好备份数据工作
  前面的工作做好了，也有可能出现或多或少的损失，但天灾人祸是不可避免的，为了尽量的避免它，我们还要利用现有技术定期备份数据(比如财务数据等或记录日常业务的数据)并妥善的保存好，是网络管理人员日常管理中必须完成的，也是优秀网络管理员必须养成的良好的工作习惯。备份好数据就万无一失了吗？还存在偷窃地行为。所以，在备份数据时应当考虑通过采取锁进保险柜，进行“密码保护”等方式进行第二次、第三次保护备份介质(如磁盘、磁带)。最好在做备份时同步的对企业数据进行加密处理，这样的话，最大限度保证数据即使被偷窃也不会解密。
4、加强客户端的管理
  在网络中除了服务器外，客户端就是使用频繁地网络设备了，也是通向服务器的一个个端口。所以尽量将其更换为稳定的操作系统Windows Server2000/Windows Xp，甚至是Windows Server 2003/Windows Server 2008等其他更安全地系统。这样您就可以用“权限管理”功能来锁定客户端，使得那些没有安全访问权限的人很难甚至不可能获得网络配置信息。当然也可以采用另一种方式，将客户端的功能限定为一个“灵活而单纯”的终端，即让程序和数据统一驻留在网络中的服务器上，却在客户端上运行，所有安装在客户端上的是一份操作系统的拷贝及指向驻留在服务器上地应用程序的快捷键图标。当双击快捷键图标运行程序时，这个程序将使用客户端本地的资源来运行，而不是直接消耗服务器资源。这种方法能够减轻客户端被破坏带来的对服务器的损伤，当出现了故障排查起来会增加点难度。
5、对远程访问的管理
  计算机网络的一个优点是借助必要工具，利用网络实现对计算机网络的远程访问(RAS)。Windows操作系统从NT开始就内置了这种功能。但也同时打开了安全隐患的大门，他们只需要知道能够进行RAS的电话号码就可以轻松实现入侵。因此，如果您存在远程访问的需求，就必须对远程用户进行强化管理，监管您的远程用户如何使用RAS。如果您的远程用户经常是从家里或不经常变动的地方远程访问，就建议您使用其中的“回叫”功能。这个功能允许在远程用户从远程登录计算机网络后立即切断连接，然后由RAS服务器拨打一个预先设定的电话号码来再次接通该用户，此后再由该用户进行RAS。如此设置就切断非法入侵者的入侵，因为非法入侵者一般没有机会知晓RAS服务器回叫的号码，也就无法实现非法入侵。另外还可用其他方法，就是利用“防火区”的原理将所有的远程访问都限定在一台单一的服务器上，这台服务器与整个计算机网络的联系是通过人工手动完成的。这样即使非法入侵者闯入，也会被隔离在一台单一的机器上，对服务器的攻击也就限定在一台机器上。另外，还可用一些非常用的协议技术和方法(如蜜罐)来迷惑非法入侵者。这样也就增加了技术成本，技术程度要求较高。
6、实时监测修复漏洞
  软件不可能都是完美的，随着运行会逐渐发现它的漏洞，这是很正常的。而且其隐含的漏洞与软件规模是成比例的。发现漏洞就必须弥补，否则漏洞就会变成一扇非法入侵者敞开的大门，任其出入。软件开发商们都自己组建或雇佣了专门的人员来检测已经推广应用的软件隐含的漏洞隐患，一旦发现漏洞，会以服务包的形式发布相应的补丁程序。所以定期查看下载、安装最新公布的补丁是非常必要的。但需要按照相应的逻辑顺序使用这些补丁包，避免导致一些文件运行的错误。另外，也要对网络中安装的防毒软件定期升级，有效的防止新病毒对网络的破坏。

参考文献：
[1]曾明李建军，《网络技术精要——建网管网500问》，电子工业出版社，2009
[2]邱亮孙亚刚，《网络安全工具及案例分析》，电子工业出版社，2009年4月，
[3]邱玉辉等，《电脑报》合订本，上册，重庆：西南师范大学出版，2009年1月
本文链接：http://www.qk112.com/lwfw/jsjlw/jisuanjiyingyong/241404.html