數字化檔案館網絡安全策略淺談

文/魯忠宇

數字化檔案館網絡安全策略淺談

文/魯忠宇

數字檔案館依托網絡環境傳輸數字化信息。因此對網絡黑客防范和服務器安全管理必不可少，在數字檔案館建設初期，根據實際情況考慮將前端與數據庫分離，避免在IIS服務與數據庫并置的情況下，由于IIS漏洞引起數據庫數據丟失。前端與數據庫采用獨立安全體系，啟用不同的安全策略

數字檔案館是大數據時代傳統檔案館發展的方向。數字檔案館是以處理信息、存儲信息和傳輸信息三大技術為基礎構成的。由于使用這種新技術伴隨著諸多安全隱患，易受網絡黑客和病毒的攻擊，這種新技術主要是新的信息資源形態（數字化）和新的信息資源使用方式（網絡傳輸）。

目前大部分數字檔案館的信息服務器主要采用Web界面和基于TCP/IP協議的信息技術系統。其程序的基本構架基于B/S（瀏覽器/服務器模式）結構，服務器端一般用Windows Server2008R2或者Windows Server2012R2（前者居多）操作系統，并且多數系統要求安裝使用IIS服務（Internet Information Servers）。眾所周知，Windows系列是Mic rosoft公司的產品，具有優秀的圖形化界面和易操作性，但是系統安全漏洞眾多，針對Windows系統的病毒木馬泛濫。

數字檔案館購置的數字化文獻數據庫大都要求在Windows 2008R2環境下運行，如果相關系統實施人員安裝時操作不當未進行專業安裝選擇，且不進行正確的安全配置的話，其安全性幾乎得不到保證。因此，筆者依據的個人工作經驗，對數字檔案館服務器端的基本配置提出七點建議。

1　按需定制安裝Windows組件

Windows 2008R2在初始安裝時會安裝一些默認組件，但是這些默認組件本身可能存在很多安全漏洞，不必要的組件建議全部卸載。如果公司環境允許建議安裝Windows server core版本，利用命令行進行基本網絡服務部署及管理。筆者個人認為在部署數字化檔案管前應該細致了解系統數據庫與提供的業務服務基本功能。然后按照實際情況安裝需要的Windows服務，不需要的默認服務全部卸載。根據系統安全原則：最少的服務+最小的權限=最大的安全，一般Web服務僅需安裝IIS服務的Common Files，IIS Snap-In，WWW Server組件?，F在大部分數字化檔案館的檢索系統僅需安裝IIS服務。

如果確實需要安裝其它組件，應該詳細了解組件各部分功能然后根據需求安裝。

2　服務器規劃配置

在數字檔案館建設初期，根據實際情況考慮將前端與數據庫分離，避免在IIS服務與數據庫并置的情況下，由于IIS漏洞引起數據庫數據丟失。前端與數據庫采用獨立安全體系，啟用不同的安全策略。

在購置硬件服務器時，必需購置陣列卡，系統盤采用RAID1或RAID10，數據盤采用RAID5或安裝HBA卡連接專業存儲服務器（RAID5），從而保證操作系統及數據區的穩定性，避免由于硬盤損壞引起數字檔案館系統崩潰，數據丟失等問題。

3　磁盤分區規劃

在安裝系統時，絕對禁止將硬盤僅做一個邏輯分區，所有的程序和文檔資料都裝在C驅上，這種做法既不科學也不安全。微軟操作系統的IIS服務存在bug較多，即使用戶及時更新補丁也難以避免由于IIS漏洞導致黑客外部入侵，獲取系統盤權限，從而致使黑客遠程獲取管理員權限。

安全的做法是是建立三個分區：第一個不小于100GB，用來裝Windows server操作系統及存放系統日志文件；第二個分區作為IIS根目錄，第三個分區用于作為FTP目錄。

這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。IIS和FTP是支持對外服務的，把它們分開可以防止了入侵者通過FTP上傳危險代碼或可執行程序在IIS中非法運行，從而入侵數字檔案館系統。

4　專人適時安裝系統補丁

由于微軟系統的本身存在的各種各樣的安全隱患，所以適時的安裝系統補丁是至關重要的。一般補丁更新可以通過以下三個途徑：

1）如果服務器可以直接訪問互聯網的情況下可以w indows update搜索更新系統補丁。

2)通過企業的wsus服務器更新系統補丁。

3)通過第三方軟件更新例如360衛士、騰訊管家等軟件。

個人建議為了數字檔案館安全考慮選擇第二種辦法，由于第一和第三種都需要服務器訪問互聯網，這樣服務器更容易受到外部威脅。

多數病毒都是根據系統安全漏洞攻擊應用服務器的，例如早些年的尼姆達病毒、“紅色代碼”等都是利用系統安全漏洞進行攻擊并造成了巨大的破壞的。所以系統補丁應適時安裝，保證更新到半月或一月之前，突發病毒補丁關注微軟官網實時更新。

當然系統補丁不是說微軟出一個，我們就更新一個。因為補丁本身可能存在新的的漏洞或者補丁更新后會影響系統穩定，所以一般在一至兩周后更新本周補丁，確保補丁穩定可靠再去更新。

5　系統端口控制

系統端口是內外網絡連接的邏輯接口。系統端口是直接暴露給內網用戶及互聯網用戶的，所以如何合理控制系統端口的開放情況是至關重要的。

一般端口控制采用一下方案：

1）對內網用戶端口控制

在服務器安裝防火墻軟件，僅開放此服務器訪問域或者其它服務器必須端口，其它端口通過防火墻軟件關閉。

2）對互聯網用戶端口控制

在單位防火墻設備設置訪問策略，并對外服務器僅做必須端口映射。盡量避免全IP映射。

6　Windows IIS服務優化方案

IIS服務是Windows服務組件中安全漏洞最多的一個，一般兩至三個月就會出現新的漏洞。而IIS服務默認安裝危險較大，所以對IIS服務的配置做以下優化：

1）把C盤下默認目錄（c：Inetpub）徹底刪掉，在D盤重新一個目錄。建議不要采用初始名稱和中文名稱，然后將主目錄指向新建目錄。

2）刪除默認虛擬目錄，如果需要自行新建，并且根據系統需求設置目錄訪問權限。目錄寫權限需要嚴格控制，如果可以盡量不開放此權限。

3）禁用匿名用戶登錄。

7賬號管理

帳號管理應做到以下幾點：

1)禁用或更名系統內置帳號adm inistrator

內置帳號adm inistrator密碼容易被黑客暴力破解所以為了安全起見建議將此帳號停用過改名。

停用adm inistrator操作步驟：

系統管理員帳號登錄后打開計算機管理-〉本地用戶和組-〉用戶，右鍵adm inistrator屬性-〉停用此賬戶。

Adm inistrator賬戶更名操作步驟：

系統管理員帳號登錄后打開計算機管理-〉本地用戶和組-〉用戶，右鍵單擊adm inistrator，單擊重命名。如果不停用僅重名此帳號，須定期更改具有一定復雜度的密碼。密碼復雜度最低要去8位以上密碼由大小寫字母、數字、特殊字符。

2)禁止顯示上次用戶登錄名

啟用Windows安全策略禁止顯示上次用戶登錄名，避免黑客通過暴露的上次登錄用戶名暴力破解用戶密碼。

使用系統管理員登錄后，打開組策略編輯器-〉計算機策略-〉Windows設置-〉安全設置-〉本地策略-〉安全選項-〉禁用“交互式登錄：不顯示最后的用戶名”。

3）將其它管理人員賬號設置最低工作需求用戶權限。

4）開啟本地賬號密碼策略和賬號鎖定策略，避免弱口令及暴力破解密碼。使用系統管理員登錄后，打開組策略編輯器-〉計算機策略-〉Windows設置-〉安全設置，再根據實際情況啟用并設置賬戶策略和賬戶鎖定策略，達到保護服務器帳號的目的。

綜上所述，數字化檔案館是依托網絡環境進行數字化文獻的檢索和傳輸，數字化檔案館的重點工作是做好服務器及網絡的安全防護。由于目前流行的Windows server操作系統存在重多安全漏洞、系統服務配置不夠細致、密碼設置簡單，補丁更新不及時等等問題造成很多業務系統都處于高危狀態。黑客很容易通過掃描程序發現有系統漏洞對服務器發動攻擊。筆者認為，為使數字化檔案館的網絡安全得到有力保障，必須認真執行上述的七點建議，這樣就能大大提高數字化檔案館系統的安全性和可靠性。

（作者單位：西北電力設計院）