淺談服務器之安全策略

摘要：隨著計算機技術的飛速發展，服務器的應用已經深入到社會的各個領域，可以說任何網絡的核心都在于服務器，包括Web服務器、數據庫服務器、文件和打印服務器、DNS服務器等等。我們的許多重要信息都存儲在這些服務器上，當然這些服務器也成為了黑客們攻擊的重點。各種服務器的安全問題、敏感數據的防竊取和防篡改問題已經越來越被大家所重視。如何有效地保證服務器的安全，實現信息的保密性、完整性和有效性，已經成為研究的重要課題之一。

關鍵詞：服務器 安全策略

1 服務器安全的誤區

現在很多人對于自己的數據和網絡有一種虛假的安全感，他們安裝了防火墻、防病毒和防間諜軟件工具；使用了加密技術發送和保存數據；微軟及各大安全公司不斷增強安全工具和補丁程序……這些措施是不是真的讓我們的服務器安全了呢？下面我們看看服務器安全的誤區：

1.1 防火墻會讓系統固若金湯 Mindspeed科技公司的工程師SteveThornburg這樣說到，雖然很多人裝有防火墻。但防火墻功能再好，經過它們的IP數據痕跡照樣能夠被讀取。黑客只要跟蹤內含系統網絡地址的IP痕跡，就能知道服務器及與它們相連的計算機的詳細信息，然后充分利用這些信息攻破網絡安全防線。

所以說僅有防火墻和加密顯然不夠。網絡管理員不僅要確保自己運行的是最新最安全的軟件，還要時刻關注操作系統的漏洞報告，時時密切關注網絡，尋找可疑活動的跡象。此外，他們還要對使用網絡的最終用戶給出明確的指導，告訴他們不要安裝沒有經過測試的新軟件，打開電子郵件的可執行附件，訪問文件共享站點、運行對等軟件，配置自己的遠程訪問程序和不安全的無線接入點等。

1.2 黑客不攻擊老的軟件 有些人認為，如果始終運行老的系統，就不會成為黑客的攻擊目標，在他們眼里黑客只會盯住使用較為廣泛的軟件。只有那些廣泛使用的軟件以及最新最熱門的軟件才會成為黑客攻擊的目標。

其實不然，對黑客來說最近沒有更新或者沒有打上補丁的Web服務器是一個常見的攻擊點。就像許多舊版本的Apache和IIS會遭到緩沖器溢出攻擊。

如果存儲空間處理不了太多信息，就會發生緩沖器溢出問題。額外的信息就會溢出到某個地方，這樣黑客就可以利用系統的漏洞，讓額外的信息進入到本來不應該進入的地方。雖然微軟和Apache在幾年前都發布了解決緩沖器溢出問題的補丁，但仍然有許多舊系統沒打上補丁。

1.3 加密確保了數據得到保護 對數據進行加密處理是保護數據一個行之有效的方法，但這個方法并不是萬無一失。如今黑客可以采用嗅探器截獲SSL和SSL交易信號，竊取經過加密的數據，并且所使用的嗅探器越來越完善。加上目前的加密標準存在著些許漏洞，黑客只要使用一些恰當的工具，攻破這些漏洞是完全沒有問題的。

1.4 安全工具和軟件補丁讓每個人更安全 雖然微軟可以通過其Windows Update服務發布補丁，但黑客可以使用一些工具對其進行“逆向工程”(reverse-engineer)。通過比較補丁出現的變化，黑客就能知道補丁是如何解決某個漏洞的，然后知曉如何利用這些補丁。

如今開發的新工具幾乎都是掃描然后尋找漏洞這樣的思路。對因特網進行掃描，詳細列出容易遭受攻擊的機器。所開發的工具是假定每臺機器都容易遭到某個漏洞的攻擊，然后運行工具就可以了。

黑客普遍使用的工具當中就有Google，它能夠搜索并找到諸多網站的漏洞，比如默認狀態下的服務器登錄頁面。有人利用Google尋找網絡漏洞評估報告、口令、信用卡賬戶、不安全的網絡攝像頭及其他敏感信息。甚至已經開始涌現出了一些網站提供鏈接到介紹越來越多的Google黑客手法的地方，如Johnny.IhackStuff.com。

1.5 只要沒有突破企業網絡的安全，黑客就對你沒辦法 有些IT企業專注于防護企業網絡，卻不知道由于用戶把公司的便攜式電腦接到家里或者Wi-Fi熱點地區等未受保護的網絡連接，結果導致企業網安全遭到威脅。黑客甚至可以在熱點地區附近未授權的Wi-Fi接入點，誘騙用戶登錄到網絡。一旦惡意用戶控制了某臺計算機，就可以植入擊鍵記錄程序，竊取企業VPN軟件的口令，然后利用竊取的口令隨意訪問網絡。

2 服務器安全維護技巧

服務器的惡意網絡行為主要包括兩方面: 一是惡意的入侵行為，這種行為會導致服務器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務器。另一個是惡意的攻擊行為，如拒絕服務攻擊，網絡病毒等等，這些行為的主要目的在于消耗服務器資源，影響服務器的正常運作，甚至使服務器所在的網絡癱瘓。所以我們要保證網絡服務器的安全就必須盡量減少網絡服務器受這兩種行為的影響。那么，具體我們應該怎么做呢？

首先要構建好你的硬件安全防御系統。選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件:防火墻、入侵檢測系統、路由系統等。

防火墻在安全系統中扮演一個保安的角色，可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊，如拒絕服務攻擊等；入侵檢測系統則是扮演一個監視器的角色，監視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。

其次盡量選用英文的操作系統。因為windows是微軟的東西，中文版的Bug要比英文版多得多，而中文版的補丁又比英文版出的晚，換句話說，如果你的服務器上裝的是中文版的windows系統，微軟漏洞公布之后你還需要等上一段時間才能打好補丁，黑客或者病毒可能就利用這段時間入侵了你的系統。

3 服務器安全防護措施

絕對安全的系統是沒有的，但我們可以采取一些必要的措施盡量減少服務器的安全受到威脅。

3.1 做好系統備份 雖然誰都不希望系統突然遭到破壞，但是不怕一萬，就怕萬一，作好服務器系統備份，當遭到破壞的時候也可以及時恢復。

3.2 關閉不必要的服務，只開該開的端口 關閉那些不必要開的服務，做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的，甚至可以說是危險的，比如:默認的共享遠程注冊表訪問，系統很多敏感的信息如pcanywhere的加密密碼都是寫在注冊表里的。

關閉那些不必要的端口。一些看似不必要的端口，卻可以向黑客透露許多操作系統的敏感信息，如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69端口告訴黑客你的操作系統極有可能是linux或者unix系統，因為69是這些操作系統下默認的tftp服務使用的端口。對端口的進一步訪問，還可以返回該服務器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。此外，開啟的端口更有可能成為黑客進入服務器的門戶。

3.3 采用NTFS文件系統格式 我們通常采用的文件系統是FAT或者FAT32，NTFS是微軟Windows NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統里你可以為任何一個磁盤分區單獨設置訪問權限。把你自己的敏感信息和服務信息分別放在不同的磁盤分區。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區的訪問權限，還需要想方設法突破系統的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息。

3.4 軟件防火墻、殺毒軟件 雖然我們已經有了一套硬件的防御系統，但是安裝一些殺毒軟件也不是壞事。

3.5 開啟你的事件日志 開啟日志服務雖然說對阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分析入侵者在我們的系統上到底做過什么手腳，給我們的系統到底造成了哪些破壞及隱患，黑客到底在我們的系統上留了什么樣的后門，我們的服務器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設置密罐，等待黑客來入侵，在他入侵的時候把他逮個正著。

綜上所述，我們的服務器并不是像我們所想象的那樣安全，它無時無刻不存在著安全隱患，我們需要采取必要的措施來防止服務器的受到不必要的攻擊，只有這樣，我們的重要信息才不至于那么容易的被黑客所竊取，對我們造成重大的損失。

作者簡介：李亭升（1983-），男，四川成都人，講師，碩士研究生，研究方向：P2P網絡及其安全技術。周旭東（1980-），女，甘肅白銀人，講師，碩士在讀，研究方向：項目管理和信息管理。倪鉉珣（1983-），女，四川自貢人，助教，本科學士，研究方向：項目管理和信息管理。