服務(wù)器版的信息化系統(tǒng)雖然給員工之間的協(xié)作提供了很好的平臺(tái)��,但是也帶來了一定的負(fù)面影響��,如安全隱患等等��。針對(duì)這塊內(nèi)容����,筆者就給大家提供五個(gè)建議�。
企業(yè)信息化建設(shè)進(jìn)程中,服務(wù)器是一個(gè)必不可少的組建��。無論是ERP系統(tǒng)還是OA系統(tǒng)���,都需要服務(wù)器的支持。隨著信息化的普及,單機(jī)版的信息化管理系統(tǒng)會(huì)被逐漸的淘汰����,而會(huì)被服務(wù)器版的管理系統(tǒng)所代替。不過服務(wù)器版的信息化系統(tǒng)雖然給員工之間的協(xié)作提供了很好的平臺(tái)��,但是也帶來了一定的負(fù)面影響����,如安全隱患等等。針對(duì)這塊內(nèi)容�,筆者就給大家提供五個(gè)建議。
建議一:利用虛擬化技術(shù)來避免多個(gè)應(yīng)用程序之間的干擾
企業(yè)內(nèi)部可能會(huì)有多個(gè)信息化應(yīng)用���。如辦公自動(dòng)化系統(tǒng)��、費(fèi)用報(bào)銷系統(tǒng)等等����。不過出于管理方便�、節(jié)省項(xiàng)目成本等角度考慮,我們往往會(huì)將多個(gè)應(yīng)用程序部署在一臺(tái)服務(wù)器上���。不過在這種情況下��,可能會(huì)出現(xiàn)一定的安全隱患�。如OA辦公自動(dòng)化系統(tǒng)如果受到病毒、木馬等攻擊的話���,就有可能會(huì)波及到同一服務(wù)器上的費(fèi)用報(bào)銷等其他的信息化管理系統(tǒng)�����。所以在這里就有一個(gè)安全與成本之間均衡的問題����。
筆者這里建議��,大家可以通過虛擬化技術(shù)來避免多個(gè)應(yīng)用程序之間的干擾��。如可以通過使用虛擬CPU技術(shù)��。在服務(wù)器CPU上劃分幾塊獨(dú)立的空間�����,分別給多個(gè)信息化系統(tǒng)使用�����。此時(shí)即使辦公自動(dòng)化系統(tǒng)受到病毒的攻擊����,導(dǎo)致CPU負(fù)荷過載,也不會(huì)影響到同一臺(tái)服務(wù)器上的其它信息化管理系統(tǒng)��。這主要是因?yàn)樘摂M化技術(shù)將某個(gè)應(yīng)用程序可以使用的資源進(jìn)行了限制�����。各個(gè)應(yīng)用程序都只能夠在某個(gè)特定的范圍內(nèi)使用服務(wù)器的資源�����。如此的話���,就可以給同一臺(tái)服務(wù)器上的各個(gè)應(yīng)用程序提供相對(duì)獨(dú)立的環(huán)境����,以確保它們之間不會(huì)彼此干擾����。
建議二:利用NTFS文件系統(tǒng)提供文件級(jí)別的安全性
企業(yè)內(nèi)部服務(wù)器上采用的比較多的是微軟的操作系統(tǒng)。而Windows操作系統(tǒng)現(xiàn)在支持的文件格式有FAT32與NTFS兩種����。筆者這里建議大家使用NTFS文件系統(tǒng)�����。因?yàn)橄啾菷AT32文件系統(tǒng)而言�,NTFS文件系統(tǒng)能夠提供額外的安全性能���。如NTFS文件系統(tǒng)提供了磁盤配額的機(jī)制�。通過這個(gè)功能可以給服務(wù)器上的各個(gè)應(yīng)用程序進(jìn)行磁盤配額的限制�����,從而防止某個(gè)應(yīng)用程序占用了多大的磁盤空間而影響到其它應(yīng)用程序的運(yùn)行�。
再如NTFS文件系統(tǒng)還可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問權(quán)限。如此的話����,用戶可以將敏感信息和服務(wù)器信息分別防止在不同的磁盤分區(qū)。如現(xiàn)在有一個(gè)文件服務(wù)器���,那么通過NTFS文件系統(tǒng)����,管理員就可以為不同的用戶設(shè)置不同的權(quán)限。如其它部門的用戶不能夠查看自己部門的文件�,或者說只可以閱讀,而不能夠進(jìn)行更改�、刪除等操作�����。從而最大程度保障企業(yè)文件的安全����。
而且還可以將操作系統(tǒng)的文件與應(yīng)用程序的數(shù)據(jù)文件做單獨(dú)的權(quán)限限制。如有些企業(yè)OA系統(tǒng)有OA系統(tǒng)管理員���、操作系統(tǒng)有系統(tǒng)管理員���。各個(gè)IT技術(shù)人員分工合作。在這種情況下�����,就需要為他們?cè)O(shè)置不同的權(quán)限��。以防止各自的工作在無意中影響了其它系統(tǒng)的配置���。此時(shí)采用NTFS系統(tǒng)也可以很好的保障各個(gè)系統(tǒng)的獨(dú)立性���。
建議三:關(guān)閉不使用的服務(wù)與端口
默認(rèn)情況下���,服務(wù)器操作系統(tǒng)部署完成后,其會(huì)打開很多端口��。如21端口����、80端口等等。但是需要注意的是���,在實(shí)際工作中這些端口有些根本用不著��。如果將這些端口開著��,就好像房子的門沒關(guān)����,會(huì)造成比較大的安全隱患���。為此提高服務(wù)器安全時(shí)���,需要關(guān)閉不必要的端口與服務(wù)器����。
無論是Windows操作系統(tǒng)還是Linux操作系統(tǒng)�����,其實(shí)有很多服務(wù)與端口都用不著�。如在Windows操作系統(tǒng)中要部署一個(gè)文件服務(wù)器的話�����,那么21號(hào)端口就沒有什么用處����。安全人員需要對(duì)這些不必要的端口引起重視。不要認(rèn)為系統(tǒng)默認(rèn)打開的端口不會(huì)有安全隱患����。這是一個(gè)非常嚴(yán)重的錯(cuò)誤認(rèn)識(shí)。那些看似沒什么用的端口����,可以給攻擊者提供許多敏感的信息�。如所選擇使用的操作系統(tǒng)類型�、所部署的應(yīng)用程序等等。舉一個(gè)簡(jiǎn)單的例子���。如果攻擊者知道服務(wù)器開啟了69號(hào)端口��,那么就可以判斷這個(gè)服務(wù)器很有可能使用的是Linux等類似的操作系統(tǒng)��。這主要是因?yàn)檫@個(gè)端口默認(rèn)情況下是被TFTP服務(wù)所使用的��。而這個(gè)服務(wù)默認(rèn)情況下Windows操作系統(tǒng)時(shí)不會(huì)啟用的�����,而Linux等到作系統(tǒng)則會(huì)安裝這個(gè)服務(wù)并啟動(dòng)��。在攻擊服務(wù)器時(shí)�����,了解操作系統(tǒng)的信息是攻擊的第一步���。而現(xiàn)在就是因?yàn)檫@個(gè)不起眼的端口信息,向攻擊者提供了操作系統(tǒng)的相關(guān)信息。
類似的案例還有很多�����。如Telent服務(wù)等等�,很多時(shí)候都用不著。管理員在江服務(wù)器投入到生產(chǎn)環(huán)境之前��,需要先評(píng)估一下系統(tǒng)開啟的端口與服務(wù)��。最好將那些不需要使用的端口與服務(wù)關(guān)閉掉���。等到需要使用的時(shí)候再打開即可。
建議四:做好數(shù)據(jù)的備份
天有不測(cè)風(fēng)云��。即使服務(wù)器的安全系統(tǒng)設(shè)計(jì)的最好�����,也難免會(huì)有漏洞�。筆者認(rèn)為,提高服務(wù)器的安全����,做好相關(guān)的數(shù)據(jù)備份這非常的重要。雖然這一招比較老套,但是卻非常實(shí)用����。即使發(fā)生了服務(wù)器被偷、硬盤物理?yè)p壞等原因���,只要認(rèn)真做好備份的工作�,一切都還可以重頭再來����。
在數(shù)據(jù)備份時(shí),筆者有三個(gè)建議�。
一是數(shù)據(jù)備份包括三個(gè)內(nèi)容。第一個(gè)內(nèi)容是操作系統(tǒng)層面的信息���,如配置信息��、系統(tǒng)策略等等���。第二個(gè)內(nèi)容是應(yīng)用程序的配置信息,如數(shù)據(jù)庫(kù)的優(yōu)化等等���。第三個(gè)內(nèi)容是應(yīng)用程序的數(shù)據(jù)文件����。這三塊內(nèi)容只有第三個(gè)內(nèi)容是需要每天進(jìn)行備份的,可以使用差異備份的策略����。而其它兩塊內(nèi)容,則要求變化之后進(jìn)行即時(shí)的備份����。而沒有必要每天進(jìn)行備份。
二是條件允許的情況下���,需要進(jìn)行異地備份����。如果將數(shù)據(jù)備份在本地硬盤上����,那當(dāng)硬盤出現(xiàn)物理?yè)p壞或者被盜時(shí)���,將無法恢復(fù)數(shù)據(jù)��。為此對(duì)于服務(wù)器上的數(shù)據(jù)�����,在條件允許的情況下需要進(jìn)行異地備份�。一般情況下,都是先將數(shù)據(jù)備份到本地硬盤上��。然后再將數(shù)據(jù)復(fù)制到服務(wù)器之外的其他地方�����。這就好像給服務(wù)器上了一個(gè)雙保險(xiǎn)�����。
三是要對(duì)不同的應(yīng)用程序分別進(jìn)行備份�。如現(xiàn)在在一臺(tái)服務(wù)器上有郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等等�。在備份時(shí),是同時(shí)對(duì)兩個(gè)系統(tǒng)的數(shù)據(jù)進(jìn)行備份��,還是分別針對(duì)不同的應(yīng)用程序分別進(jìn)行備份呢���?筆者這里建議采用后者����。如當(dāng)郵件丟失,而數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)沒有損壞時(shí)�,此時(shí)只需要恢復(fù)郵件系統(tǒng)的數(shù)據(jù)即可,而不需要恢復(fù)數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)����。要實(shí)現(xiàn)這個(gè)需求也比較簡(jiǎn)單。如可以利用應(yīng)用程序自帶的備份功能進(jìn)行備份��?�;蛘哌@采用虛擬化技術(shù)將多個(gè)應(yīng)用程序的數(shù)據(jù)存放在固定的范圍內(nèi)����。然后分別進(jìn)行備份與恢復(fù)。
建議五:提防內(nèi)部用戶的破壞
大部分企業(yè)在設(shè)計(jì)內(nèi)部服務(wù)器安全時(shí)會(huì)有盲點(diǎn)����。他們過多關(guān)注與外部的安全,而忽視了企業(yè)內(nèi)部用戶的威脅��。其實(shí)根據(jù)筆者的經(jīng)驗(yàn)�����,很多安全威脅都是企業(yè)內(nèi)部用戶在無意之中造成的�����。舉一個(gè)簡(jiǎn)單的例子���。用戶通過U盤等設(shè)備將一個(gè)文件從自己家里的主機(jī)上或者酒店的電腦上復(fù)制到文件服務(wù)器上����。而這個(gè)文件很可能帶有病毒��。此時(shí)這個(gè)文件由于是直接從企業(yè)內(nèi)部復(fù)制到文件服務(wù)器上�����,為此沒有經(jīng)過防火墻的檢測(cè)����。當(dāng)其他用戶打開這個(gè)文件時(shí),病毒就可以在企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行傳播�。
所以說在設(shè)計(jì)內(nèi)部服務(wù)器安全時(shí),需要關(guān)注內(nèi)部用戶對(duì)服務(wù)器的安全威脅���。如在適當(dāng)情況下可以禁用這些移動(dòng)設(shè)備��?��;蛘邚?qiáng)制對(duì)新增加的文件進(jìn)行殺毒等作業(yè)�。不讓病毒與木馬有機(jī)可乘����。
關(guān)鍵詞標(biāo)簽:服務(wù)器安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程