服務器版的信息化系統(tǒng)雖然給員工之間的協(xié)作提供了很好的平臺�����,但是也帶來了一定的負面影響����,如安全隱患等等。針對這塊內(nèi)容�����,筆者就給大家提供五個建議���。
企業(yè)信息化建設進程中����,服務器是一個必不可少的組建��。無論是ERP系統(tǒng)還是OA系統(tǒng)����,都需要服務器的支持����。隨著信息化的普及��,單機版的信息化管理系統(tǒng)會被逐漸的淘汰��,而會被服務器版的管理系統(tǒng)所代替����。不過服務器版的信息化系統(tǒng)雖然給員工之間的協(xié)作提供了很好的平臺,但是也帶來了一定的負面影響�����,如安全隱患等等��。針對這塊內(nèi)容���,筆者就給大家提供五個建議�����。
建議一:利用虛擬化技術(shù)來避免多個應用程序之間的干擾
企業(yè)內(nèi)部可能會有多個信息化應用����。如辦公自動化系統(tǒng)、費用報銷系統(tǒng)等等�����。不過出于管理方便�����、節(jié)省項目成本等角度考慮���,我們往往會將多個應用程序部署在一臺服務器上。不過在這種情況下���,可能會出現(xiàn)一定的安全隱患���。如OA辦公自動化系統(tǒng)如果受到病毒、木馬等攻擊的話�����,就有可能會波及到同一服務器上的費用報銷等其他的信息化管理系統(tǒng)����。所以在這里就有一個安全與成本之間均衡的問題�。
筆者這里建議�����,大家可以通過虛擬化技術(shù)來避免多個應用程序之間的干擾��。如可以通過使用虛擬CPU技術(shù)�����。在服務器CPU上劃分幾塊獨立的空間�����,分別給多個信息化系統(tǒng)使用���。此時即使辦公自動化系統(tǒng)受到病毒的攻擊�,導致CPU負荷過載�,也不會影響到同一臺服務器上的其它信息化管理系統(tǒng)。這主要是因為虛擬化技術(shù)將某個應用程序可以使用的資源進行了限制�。各個應用程序都只能夠在某個特定的范圍內(nèi)使用服務器的資源。如此的話��,就可以給同一臺服務器上的各個應用程序提供相對獨立的環(huán)境,以確保它們之間不會彼此干擾����。
建議二:利用NTFS文件系統(tǒng)提供文件級別的安全性
企業(yè)內(nèi)部服務器上采用的比較多的是微軟的操作系統(tǒng)。而Windows操作系統(tǒng)現(xiàn)在支持的文件格式有FAT32與NTFS兩種�����。筆者這里建議大家使用NTFS文件系統(tǒng)�。因為相比FAT32文件系統(tǒng)而言,NTFS文件系統(tǒng)能夠提供額外的安全性能��。如NTFS文件系統(tǒng)提供了磁盤配額的機制�。通過這個功能可以給服務器上的各個應用程序進行磁盤配額的限制��,從而防止某個應用程序占用了多大的磁盤空間而影響到其它應用程序的運行���。
再如NTFS文件系統(tǒng)還可以為任何一個磁盤分區(qū)單獨設置訪問權(quán)限����。如此的話����,用戶可以將敏感信息和服務器信息分別防止在不同的磁盤分區(qū)。如現(xiàn)在有一個文件服務器,那么通過NTFS文件系統(tǒng)�����,管理員就可以為不同的用戶設置不同的權(quán)限����。如其它部門的用戶不能夠查看自己部門的文件,或者說只可以閱讀����,而不能夠進行更改、刪除等操作��。從而最大程度保障企業(yè)文件的安全����。
而且還可以將操作系統(tǒng)的文件與應用程序的數(shù)據(jù)文件做單獨的權(quán)限限制。如有些企業(yè)OA系統(tǒng)有OA系統(tǒng)管理員�、操作系統(tǒng)有系統(tǒng)管理員。各個IT技術(shù)人員分工合作��。在這種情況下�����,就需要為他們設置不同的權(quán)限。以防止各自的工作在無意中影響了其它系統(tǒng)的配置����。此時采用NTFS系統(tǒng)也可以很好的保障各個系統(tǒng)的獨立性。
建議三:關閉不使用的服務與端口
默認情況下����,服務器操作系統(tǒng)部署完成后,其會打開很多端口��。如21端口����、80端口等等。但是需要注意的是����,在實際工作中這些端口有些根本用不著�����。如果將這些端口開著����,就好像房子的門沒關�����,會造成比較大的安全隱患�。為此提高服務器安全時����,需要關閉不必要的端口與服務器。
無論是Windows操作系統(tǒng)還是Linux操作系統(tǒng)����,其實有很多服務與端口都用不著。如在Windows操作系統(tǒng)中要部署一個文件服務器的話���,那么21號端口就沒有什么用處����。安全人員需要對這些不必要的端口引起重視����。不要認為系統(tǒng)默認打開的端口不會有安全隱患。這是一個非常嚴重的錯誤認識����。那些看似沒什么用的端口����,可以給攻擊者提供許多敏感的信息���。如所選擇使用的操作系統(tǒng)類型����、所部署的應用程序等等���。舉一個簡單的例子����。如果攻擊者知道服務器開啟了69號端口�����,那么就可以判斷這個服務器很有可能使用的是Linux等類似的操作系統(tǒng)��。這主要是因為這個端口默認情況下是被TFTP服務所使用的�。而這個服務默認情況下Windows操作系統(tǒng)時不會啟用的����,而Linux等到作系統(tǒng)則會安裝這個服務并啟動�。在攻擊服務器時��,了解操作系統(tǒng)的信息是攻擊的第一步��。而現(xiàn)在就是因為這個不起眼的端口信息�,向攻擊者提供了操作系統(tǒng)的相關信息。
類似的案例還有很多�����。如Telent服務等等�,很多時候都用不著。管理員在江服務器投入到生產(chǎn)環(huán)境之前��,需要先評估一下系統(tǒng)開啟的端口與服務����。最好將那些不需要使用的端口與服務關閉掉。等到需要使用的時候再打開即可��。
建議四:做好數(shù)據(jù)的備份
天有不測風云�。即使服務器的安全系統(tǒng)設計的最好,也難免會有漏洞�。筆者認為,提高服務器的安全���,做好相關的數(shù)據(jù)備份這非常的重要���。雖然這一招比較老套����,但是卻非常實用����。即使發(fā)生了服務器被偷、硬盤物理損壞等原因�,只要認真做好備份的工作,一切都還可以重頭再來��。
在數(shù)據(jù)備份時����,筆者有三個建議。
一是數(shù)據(jù)備份包括三個內(nèi)容���。第一個內(nèi)容是操作系統(tǒng)層面的信息�����,如配置信息����、系統(tǒng)策略等等����。第二個內(nèi)容是應用程序的配置信息,如數(shù)據(jù)庫的優(yōu)化等等����。第三個內(nèi)容是應用程序的數(shù)據(jù)文件。這三塊內(nèi)容只有第三個內(nèi)容是需要每天進行備份的�,可以使用差異備份的策略。而其它兩塊內(nèi)容��,則要求變化之后進行即時的備份��。而沒有必要每天進行備份��。
二是條件允許的情況下��,需要進行異地備份����。如果將數(shù)據(jù)備份在本地硬盤上,那當硬盤出現(xiàn)物理損壞或者被盜時,將無法恢復數(shù)據(jù)����。為此對于服務器上的數(shù)據(jù),在條件允許的情況下需要進行異地備份�。一般情況下,都是先將數(shù)據(jù)備份到本地硬盤上����。然后再將數(shù)據(jù)復制到服務器之外的其他地方。這就好像給服務器上了一個雙保險���。
三是要對不同的應用程序分別進行備份�。如現(xiàn)在在一臺服務器上有郵件服務器�、數(shù)據(jù)庫服務器等等。在備份時����,是同時對兩個系統(tǒng)的數(shù)據(jù)進行備份,還是分別針對不同的應用程序分別進行備份呢�����?筆者這里建議采用后者�。如當郵件丟失���,而數(shù)據(jù)庫服務器的數(shù)據(jù)沒有損壞時,此時只需要恢復郵件系統(tǒng)的數(shù)據(jù)即可��,而不需要恢復數(shù)據(jù)庫服務器的數(shù)據(jù)�����。要實現(xiàn)這個需求也比較簡單����。如可以利用應用程序自帶的備份功能進行備份�����?;蛘哌@采用虛擬化技術(shù)將多個應用程序的數(shù)據(jù)存放在固定的范圍內(nèi)。然后分別進行備份與恢復�����。
建議五:提防內(nèi)部用戶的破壞
大部分企業(yè)在設計內(nèi)部服務器安全時會有盲點�。他們過多關注與外部的安全,而忽視了企業(yè)內(nèi)部用戶的威脅����。其實根據(jù)筆者的經(jīng)驗�����,很多安全威脅都是企業(yè)內(nèi)部用戶在無意之中造成的�。舉一個簡單的例子�。用戶通過U盤等設備將一個文件從自己家里的主機上或者酒店的電腦上復制到文件服務器上。而這個文件很可能帶有病毒��。此時這個文件由于是直接從企業(yè)內(nèi)部復制到文件服務器上����,為此沒有經(jīng)過防火墻的檢測。當其他用戶打開這個文件時����,病毒就可以在企業(yè)內(nèi)部網(wǎng)絡中進行傳播。
所以說在設計內(nèi)部服務器安全時����,需要關注內(nèi)部用戶對服務器的安全威脅。如在適當情況下可以禁用這些移動設備�。或者強制對新增加的文件進行殺毒等作業(yè)���。不讓病毒與木馬有機可乘�����。
關鍵詞標簽:服務器安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程