服务器安全策略经验总结

1.服务器安全概述

随着计算机网路技术的发展，网络安全面临的威胁日益加剧，各类应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒和恶意代码网上肆虐，和篡改网站的安全事件时有发生。作为网络的核心部分，服务器处于互联网这个相对开放的环境中，越来越多的服务器、服务器安全漏洞，以及商业间谍隐患时刻威胁着服务器安全。服务器的安全问题越来越受到关注。区分危害服务器安全的因素，是构建服务器安全环境的首要任务，根据威胁的性质划分，对服务器安全的威胁可以分为两大类：一类是对服务器的恶意攻。击，另一类是对服务器的恶意入、侵。

服务器恶意入，侵包含诸如拒绝服务攻.击，网络病毒，等等在内的黑.客行为，这类型的行为旨在消耗服务器资源，影响服务器的正常运作，甚至致使服务器所在网络的瘫痪；服务器恶意入.侵包括脚本注入、域名旁注、IP旁注、ARP欺骗、IP欺骗等一系列的黑.客.入.侵方式。这类型的入.侵更是会导致服务器敏感信息泄露，入.侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种类型的攻.击影响。

2．服务器安全环境构建策略

目前大多数中小型网站都是以虚拟主机的形式托管的，要提高网站安全性，降低黑.客风险，避免或者减少恶意服务器攻.击、恶意服务器入.侵的关键在于构建安全的服务器环境。对于新手来讲，如何具体的去构建安全的服务器环境来抵御黑.客.攻.击，其涉及的知识层面很广，需要很丰富的服务器安全管理经验。但是服务器安全环境构建的基本策略适用于所有的服务器安全工作者。服务器安全环境构建大致可从硬件、软件、安全管理策略三个方面来进行。

2.1 硬件层面

硬件层面的安全策略设计两个部分，一个是硬件安全，另外一个是硬件设置

1）硬件安全

硬件安全是指选用一套完善的硬件安全系统模型，并且保证这套系统的物理安全不受破坏。在日常的维护中，应当防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等，更应当注意服务器本身的除尘以及电源除尘等危害服务器设备的细节因素。随着处理的数据量增多必须升级服务器或者存储介质的，在升级的过程中应该注意硬件的兼容性以及稳定性。

2）硬件设置

硬件设置是指在设备上进行必要的设置(如服务器、交换机的密码等)，防止黑.客取得硬件设备的远程控制权。比如服务器或交换机上设置必要的密码，将服务器硬盘格式从FAT转换成NTFC。如果没有对硬件进行必要的设置，恶意入.侵者可以通过网络来取得服务器或交换机的控制权，这是非常危险的。诸如路由器，交换机属于接入设备，必然要暴露在互联网黑.客.攻.击的视野之中，所以必须采取更为严格的安全管理措施，比如口令加密、加载严格的访问列表等。

2.2 软件层面

网络协议的安全缺陷、网络应用软件漏洞、服务器系统漏洞等一系列复杂的网络安全隐患导致软件层面的服务器安全问题最为复杂。但是面对层出不穷的软件层面服务器安全问题我们可从以下几个方面着手，就能够做到防范未然、减小影响。

1）及时安装系统补丁

不论是windows还是linux，任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻.击利用，是服务器安全最重要的保证之一。

2）安装和设置防火墙

现在有许多基于硬件或软件的防火墙，诸如如华为、思科、瑞星等厂商的产品。对服务器安全说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了，而是需要在安装之后根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。

3）安装网络杀毒软件

现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、安全狗等)都已经推出了网络杀毒软件；同时，在网络杀毒软件使用中，必须要定期或及时升级杀毒软件，并且每天自动更新病毒库。

4）关闭不需要的服务和端口

服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭；对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

2.3 安全管理策略

服务器安全环境构建中，日常管理策略是最重要的也最容易被忽视的一环。对于服务器日常维护，应该建立合理的，安全有效的机制。

1）定期对服务器进行备份

为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同的服务器上，以便出现系统崩溃时(通常是硬盘出错)，可及时地将系统恢复到正常状态。

2）账号和密码保护

账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的入.侵都是从截获或猜测密码开始的。一旦入.侵进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

系统管理员密码的位数一定要多，至少应该在8位以上，而且不要设置成容易猜测的密码，如自己的名字、出生日期等。对于普通用户，设置一定的账号管理策略，如强制用户每个月更改一次密码。对于一些不常用的账户要关闭，比如匿名登录账号。

3）监测系统日志

通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

4）硬件管理

机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为的蓄意破坏。

3．中小网站网络、服务器安全基本策略

中小网站建立自己的网站的时候，结构上可以采用软硬件防火墙、杀毒软件、网页防篡改系统来建立一个结构上较完善的网络服务器环境; 服务方面，进行网络拓扑分析;建立中心机房管理制度;建立操作系统以及防病毒软件定期升级机制;对重要服务器的访问日志进行备份，通过这些服务，增强网络的抗干扰性; 支持方面，要求服务商提供故障排除服务，以提高网络的可靠性。