浅谈服务器之安全策略

浅谈服务器之安全策略

作者：李亭升 周旭东 倪铉珣

来源：《中小企业管理与科技·下旬刊》2012年第08期

摘要：随着计算机技术的飞速发展，服务器的应用已经深入到社会的各个领域，可以说任何网络的核心都在于服务器，包括Web服务器、数据库服务器、文件和打印服务器、DNS服务器等等。我们的许多重要信息都存储在这些服务器上，当然这些服务器也成为了黑客们攻击的重点。各种服务器的安全问题、敏感数据的防窃取和防篡改问题已经越来越被大家所重视。如何有效地保证服务器的安全，实现信息的保密性、完整性和有效性，已经成为研究的重要课题之一。

关键词：服务器 安全策略 1 服务器安全的误区

现在很多人对于自己的数据和网络有一种虚假的安全感，他们安装了防火墙、防病毒和防间谍软件工具；使用了加密技术发送和保存数据；微软及各大安全公司不断增强安全工具和补丁程序……这些措施是不是真的让我们的服务器安全了呢？下面我们看看服务器安全的误区： 1.1 防火墙会让系统固若金汤 Mindspeed科技公司的工程师SteveThornburg这样说到，虽然很多人装有防火墙。但防火墙功能再好，经过它们的IP数据痕迹照样能够被读取。黑客只要跟踪内含系统网络地址的IP痕迹，就能知道服务器及与它们相连的计算机的详细信息，然后充分利用这些信息攻破网络安全防线。

所以说仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的是最新最安全的软件，还要时刻关注操作系统的漏洞报告，时时密切关注网络，寻找可疑活动的迹象。此外，他们还要对使用网络的最终用户给出明确的指导，告诉他们不要安装没有经过测试的新软件，打开电子邮件的可执行附件，访问文件共享站点、运行对等软件，配置自己的远程访问程序和不安全的无线接入点等。

1.2 黑客不攻击老的软件 有些人认为，如果始终运行老的系统，就不会成为黑客的攻击目标，在他们眼里黑客只会盯住使用较为广泛的软件。只有那些广泛使用的软件以及最新最热门的软件才会成为黑客攻击的目标。

其实不然，对黑客来说最近没有更新或者没有打上补丁的Web服务器是一个常见的攻击点。就像许多旧版本的Apache和IIS会遭到缓冲器溢出攻击。

如果存储空间处理不了太多信息，就会发生缓冲器溢出问题。额外的信息就会溢出到某个地方，这样黑客就可以利用系统的漏洞，让额外的信息进入到本来不应该进入的地方。虽然微

龙源期刊网 http://www.qikan.com.cn

软和Apache在几年前都发布了解决缓冲器溢出问题的补丁，但仍然有许多旧系统没打上补丁。

1.3 加密确保了数据得到保护 对数据进行加密处理是保护数据一个行之有效的方法，但这个方法并不是万无一失。如今黑客可以采用嗅探器截获SSL和SSL交易信号，窃取经过加密的数据，并且所使用的嗅探器越来越完善。加上目前的加密标准存在着些许漏洞，黑客只要使用一些恰当的工具，攻破这些漏洞是完全没有问题的。

1.4 安全工具和软件补丁让每个人更安全 虽然微软可以通过其Windows Update服务发布补丁，但黑客可以使用一些工具对其进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化，黑客就能知道补丁是如何解决某个漏洞的，然后知晓如何利用这些补丁。

如今开发的新工具几乎都是扫描然后寻找漏洞这样的思路。对因特网进行扫描，详细列出容易遭受攻击的机器。所开发的工具是假定每台机器都容易遭到某个漏洞的攻击，然后运行工具就可以了。

黑客普遍使用的工具当中就有Google，它能够搜索并找到诸多网站的漏洞，比如默认状态下的服务器登录页面。有人利用Google寻找网络漏洞评估报告、口令、信用卡账户、不安全的网络摄像头及其他敏感信息。甚至已经开始涌现出了一些网站提供链接到介绍越来越多的Google黑客手法的地方，如Johnny.IhackStuff.com。

1.5 只要没有突破企业网络的安全，黑客就对你没办法 有些IT企业专注于防护企业网络，却不知道由于用户把公司的便携式电脑接到家里或者Wi-Fi热点地区等未受保护的网络连接，结果导致企业网安全遭到威胁。黑客甚至可以在热点地区附近未授权的Wi-Fi接入点，诱骗用户登录到网络。一旦恶意用户控制了某台计算机，就可以植入击键记录程序，窃取企业VPN软件的口令，然后利用窃取的口令随意访问网络。 2 服务器安全维护技巧

服务器的恶意网络行为主要包括两方面: 一是恶意的入侵行为，这种行为会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。另一个是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为的主要目的在于消耗服务器资源，影响服务器的正常运作，甚至使服务器所在的网络瘫痪。所以我们要保证网络服务器的安全就必须尽量减少网络服务器受这两种行为的影响。那么，具体我们应该怎么做呢？

首先要构建好你的硬件安全防御系统。选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。

防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等；入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

龙源期刊网 http://www.qikan.com.cn

其次尽量选用英文的操作系统。因为windows是微软的东西，中文版的Bug要比英文版多得多，而中文版的补丁又比英文版出的晚，换句话说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，黑客或者病毒可能就利用这段时间入侵了你的系统。 3 服务器安全防护措施

绝对安全的系统是没有的，但我们可以采取一些必要的措施尽量减少服务器的安全受到威胁。

3.1 做好系统备份 虽然谁都不希望系统突然遭到破坏，但是不怕一万，就怕万一，作好服务器系统备份，当遭到破坏的时候也可以及时恢复。

3.2 关闭不必要的服务，只开该开的端口 关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如:默认的共享远程注册表访问，系统很多敏感的信息如pcanywhere的加密密码都是写在注册表里的。 关闭那些不必要的端口。一些看似不必要的端口，却可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。

3.3 采用NTFS文件系统格式 我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。

3.4 软件防火墙、杀毒软件 虽然我们已经有了一套硬件的防御系统，但是安装一些杀毒软件也不是坏事。

3.5 开启你的事件日志 开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过他记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话，你还可以设置密罐，等待黑客来入侵，在他入侵的时候把他逮个正着。

龙源期刊网 http://www.qikan.com.cn

综上所述，我们的服务器并不是像我们所想象的那样安全，它无时无刻不存在着安全隐患，我们需要采取必要的措施来防止服务器的受到不必要的攻击，只有这样，我们的重要信息才不至于那么容易的被黑客所窃取，对我们造成重大的损失。