探討網絡及服務器安全維護

摘 要：隨著信息技術的不斷進步，現在各單位都建立了自己的網站和局域網，各單位為保證其自身網絡安全，將服務器的安全維護工作作為單位的重要工作。在實際的維護工作中本人作為一名信息管理員也碰到過很多的問題，對服務器安全有一定認識，同時也積累了部分經驗，本文將從硬件維護和軟件維護兩個方面對服務器安全維護進行論述。

關鍵詞：硬件 補丁 漏洞 日志 服務 備份

中圖分類號：TP39 文獻標識碼：A 文章編號：1672-3791（2012）12（c）-0017-02

1 硬件維護

硬件維護與軟件的維護同樣具體很重的地位。同時作為管理員的我們還要對整個網絡環境以及服務器中的硬件系統都要很清楚和了解，這樣在維護工作中才會心里有數。硬件維護一般都更換設備，設備除塵和防火防潮以及增加和卸載設備這方面的工作，它維護起來就會相當的簡單。

1.1 內存和硬盤容量增容

當服務器的安裝出現網絡應用多元化、應用程序增加以及網絡資源相對提升時，而且還要保證服務器在運行時的工作效率和速度時，就需要對服務器的內存進行擴充，這樣才會適應工作中所需要的不斷發展。需要注意的是加內存時應該選擇與原內存同廠商、同型號的內存條為宜，增加硬盤時也要選擇與原接口相匹配的，不這樣的話就會使系統出現錯誤，并且無法啟動。

1.2 服務器的拆卸必須小心

服務器在拆卸的時候，內部的問題倒不是很大，但是要注意的是在開機箱時才是關鍵，主要是因為很多的服務器機箱中藏有很多的玄機，這些都要很仔細的閱讀說明書之后再進行才妥當。

1.3 做好防塵除塵工作防

很多莫名其妙的故障都是塵土“惹的禍”，一般來說每個月都應定期的拆機除塵一次。

1.4 優化功能，避免資源浪費

服務器一般都提供磁盤陣列功能，目前不少的機房服務器都只有一塊硬盤，這樣沒有數據冗余的保障，也就沒有了對于存儲方面的安全保障和性能優化。另外不少管理員只認為某些組件最重要，集中投入維護，從而忽略了其它組件的優化工維護，使得這些組件的功能、性能都得不到很好的發揮，造成了資源浪費。

2 軟件維護

軟件系統方面的維護是服務器維護量最大的一部分，一般包括操作系統、網絡服務、數據庫服務、用戶數據等各方面的維護。目前，惡意的網絡攻擊行為包括兩類：一是惡意的攻擊行為，如拒絕服務攻擊、網絡病毒等，這些行為消耗大量的服務器資源，影響服務器的運行速度和正常工作，甚至使服務器所在的網絡癱瘓；另外一類是惡意的入侵行為，這種行為會導致服務器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務器。要保障網絡服務器的安全就要盡量使網絡服務器避免受這兩種行為的影響。

2.1 操作系統的維護

操作系統是服務器運行的軟件基礎，其重要性不言自明。現在多數服務器操作系統使用Windows NT或Windows 2003 Server作為操作系統，維護起來比較容易。在Windows NT或Windows 2000 Server中，應經常打開事件查看器，在系統日志、安全日志和應用程序日志中查看有沒有特別異常的記錄。

2.2 掃描系統漏洞

使用漏洞掃描和風險評估工具定期對服務器進行掃描，來發現潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。微軟有專門人力檢查并修補安全漏洞，這些修補程序有時會被收集成service pack（服務包）發布。服務包通常有兩種版本：一個任何人都可以使用的40位的版本；另一個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。一個服務包有時得等上好幾個月才發行一次，好在微軟會定期將重要的修補程序發布在它的FTP站上，這些最新修補程序都尚未收錄到最新一版的服務包里，我們可以經常去看看最新修補程序，但要切記，修補程序一定要按一定順序來使用，若安裝順序錯亂的話，可能會導致一些文件的版本錯誤，也可能造成Windows當機。

2.3 關閉不需要的服務

網絡服務有很多，如WWW服務、DNS服務、DHCP服務、SMTP服務、FTP服務等，隨著服務器提供的服務越來越多，系統也容易混亂、安全性也將降低，此時可能需要重新設定各個服務的參數，打開防火墻，使之安全而正常的運行。我們可根據實際需要關閉不必要的服務，如：WEB服務器最好是只提供WWW服務，安裝操作系統的最新補丁，將WWW服務升級到最新版本并安裝所有補丁，合理配置增強WWW服務器本身的安全。

2.4 合理的權限管理

大多時候，為了降低成本，一臺服務器不僅運行了WEB的應用，而且還會提供諸如FTP和流媒體之類的服務。在同一臺服務器上使用多種網絡服務很可能造成服務之間的相互感染。也就是說，攻擊者只要攻擊一種服務，就可以運用相關的技能攻陷其他使用。因為攻擊者只需要攻破其中一種服務，就可以運用這個服務平臺從內部攻擊其他服務，通常來說，從內部執行攻擊要比外部執行攻擊方便得多。

我們通常采用的文件系統是FAT或者FAT32。NTFS是微軟WindowsNT內核的系列操作系統支持的、一個特別針對網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。在NTFS文件系統里可以為任何一個磁盤分區單獨設置訪問權限，可以把敏感信息和服務信息分別放在不同的磁盤分區。這樣，即使黑客通過某些方法獲得服務文件所在磁盤分區的訪問權限，還需要破解系統的安全設置才能進一步訪問保存在其他磁盤上的敏感信息。我們采用Windows2003服務器，為了實現這個安全需求，可把服務器中所有的硬盤都轉換為NTFS分區。一般來說，NTFS分區比FAT分區安全性高很多。運用NTFS分區自帶的功能，合理為它們分配相關的權限。如為這三個服務配置不同的維護員賬戶，不同的賬戶只能對特定的分區與目錄進行訪問。這樣一來，即使某個維護員賬戶失竊，攻擊者也只能訪問該服務的存儲空間，而不能訪問其他服務的。

2.5 安裝網絡殺毒軟件

安裝必要的防火墻，阻止各種掃描工具的試探及信息收集，根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給服務器增加一個防護層，同時需要對防火墻內的網絡環境進行調整，消除內部網絡的安全隱患。

2.6 定期數據備份

定期對服務器進行備份，防止不能預料的系統故障或用戶不小心的非法操作。作好服務器系統備份，在系統遭破壞的時候可以及時恢復。

2.7 監測系統日志

通過運行系統日志程序，定期檢查最近登錄時間、使用的賬號、進行的活動等。定期生成報表，通過對報表進行分析，分析是否存在異常現象。

3 結語

總之，服務器安全重在預防，通過使用以上策略，可以大大提高服務器的安全性，換句話說，只有做到軟件和硬件的合理配合，才可以盡最大限度地保證服務器系統的安全和完整。

參考文獻

[1]鄭齊，方思行.通用多線程服務器的設計與實現[J].計算機工程與應用，2003，16：146-147.

[2]邵芬，于國防，張寧.基于多線程的HTTP服務器的設計與實現[J].工礦自動化，2007，8：134-136.

[3]孫霞.基于java的高效多線程HTTP服務器的研究及實現[J].福建電腦，2003，11：38-39.

[4]李磊.嵌入式WEB服務器軟件的設計與實現[J].計算機工程與設計，2003（10）.

[5]劉菊.網站服務器構建[M].湖北電子工業出版社，2009，5.

[6]高陽.Web站點優化與安全[J].計算機工程，2010，32（4）：94-97.

[7]王堂全.服務器管理與配置[J].計算機原理，2008，11.