服務器版的信息化系統雖然給員工之間的協作提供了很好的平台,但是也帶來了一定的負面影響,如安全隱患等等。針對這塊內容,筆者就給大家提供五個建議。
企業信息化建設進程中,服務器是一個必不可少的組建。無論是ERP系統還是OA系統,都需要服務器的支持。隨著信息化的普及,單機版的信息化管理系統會被逐漸的淘汰,而會被服務器版的管理系統所代替。不過服務器版的信息化系統雖然給員工之間的協作提供了很好的平台,但是也帶來了一定的負面影響,如安全隱患等等。針對這塊內容,筆者就給大家提供五個建議。
建議一:利用虛擬化技術來避免多個應用程序之間的干擾
企業內部可能會有多個信息化應用。如辦公自動化系統、費用報銷系統等等。不過出於管理方便、節省項目成本等角度考慮,我們往往會將多個應用程序部署在一台服務器上。不過在這種情況下,可能會出現一定的安全隱患。如OA辦公自動化系統如果受到病毒、木馬等攻擊的話,就有可能會波及到同一服務器上的費用報銷等其他的信息化管理系統。所以在這裡就有一個安全與成本之間均衡的問題。
筆者這裡建議,大家可以通過虛擬化技術來避免多個應用程序之間的干擾。如可以通過使用虛擬CPU技術。在服務器CPU上劃分幾塊獨立的空間,分別給多個信息化系統使用。此時即使辦公自動化系統受到病毒的攻擊,導致CPU負荷過載,也不會影響到同一台服務器上的其它信息化管理系統。這主要是因為虛擬化技術將某個應用程序可以使用的資源進行了限制。各個應用程序都只能夠在某個特定的范圍內使用服務器的資源。如此的話,就可以給同一台服務器上的各個應用程序提供相對獨立的環境,以確保它們之間不會彼此干擾。
建議二:利用NTFS文件系統提供文件級別的安全性
企業內部服務器上采用的比較多的是微軟的操作系統。而Windows操作系統現在支持的文件格式有 FAT32與NTFS兩種。筆者這裡建議大家使用NTFS文件系統。因為相比FAT32文件系統而言,NTFS文件系統能夠提供額外的安全性能。如 NTFS文件系統提供了磁盤配額的機制。通過這個功能可以給服務器上的各個應用程序進行磁盤配額的限制,從而防止某個應用程序占用了多大的磁盤空間而影響到其它應用程序的運行。
再如NTFS文件系統還可以為任何一個磁盤分區單獨設置訪問權限。如此的話,用戶可以將敏感信息和服務器信息分別防止在不同的磁盤分區。如現在有一個文件服務器,那麼通過NTFS文件系統,管理員就可以為不同的用戶設置不同的權限。如其它部門的用戶不能夠查看自己部門的文件,或者說只可以閱讀,而不能夠進行更改、刪除等操作。從而最大程度保障企業文件的安全。
而且還可以將操作系統的文件與應用程序的數據文件做單獨的權限限制。如有些企業OA系統有OA系統管理員、操作系統有系統管理員。各個IT技術人員分工合作。在這種情況下,就需要為他們設置不同的權限。以防止各自的工作在無意中影響了其它系統的配置。此時采用NTFS系統也可以很好的保障各個系統的獨立性。
建議三:關閉不使用的服務與端口
默認情況下,服務器操作系統部署完成後,其會打開很多端口。如21端口、80端口等等。但是需要注意的是,在實際工作中這些端口有些根本用不著。如果將這些端口開著,就好像房子的門沒關,會造成比較大的安全隱患。為此提高服務器安全時,需要關閉不必要的端口與服務器。
無論是Windows操作系統還是Linux操作系統,其實有很多服務與端口都用不著。如在 Windows操作系統中要部署一個文件服務器的話,那麼21號端口就沒有什麼用處。安全人員需要對這些不必要的端口引起重視。不要認為系統默認打開的端口不會有安全隱患。這是一個非常嚴重的錯誤認識。那些看似沒什麼用的端口,可以給攻擊者提供許多敏感的信息。如所選擇使用的操作系統類型、所部署的應用程序等等。舉一個簡單的例子。如果攻擊者知道服務器開啟了69號端口,那麼就可以判斷這個服務器很有可能使用的是Linux等類似的操作系統。這主要是因為這個端口默認情況下是被TFTP服務所使用的。而這個服務默認情況下Windows操作系統時不會啟用的,而Linux等到作系統則會安裝這個服務並啟動。在攻擊服務器時,了解操作系統的信息是攻擊的第一步。而現在就是因為這個不起眼的端口信息,向攻擊者提供了操作系統的相關信息。
類似的案例還有很多。如Telent服務等等,很多時候都用不著。管理員在江服務器投入到生產環境之前,需要先評估一下系統開啟的端口與服務。最好將那些不需要使用的端口與服務關閉掉。等到需要使用的時候再打開即可。
建議四:做好數據的備份
天有不測風雲。即使服務器的安全系統設計的最好,也難免會有漏洞。筆者認為,提高服務器的安全,做好相關的數據備份這非常的重要。雖然這一招比較老套,但是卻非常實用。即使發生了服務器被偷、硬盤物理損壞等原因,只要認真做好備份的工作,一切都還可以重頭再來。
在數據備份時,筆者有三個建議。
一是數據備份包括三個內容。第一個內容是操作系統層面的信息,如配置信息、系統策略等等。第二個內容是應用程序的配置信息,如數據庫的優化等等。第三個內容是應用程序的數據文件。這三塊內容只有第三個內容是需要每天進行備份的,可以使用差異備份的策略。而其它兩塊內容,則要求變化之後進行即時的備份。而沒有必要每天進行備份。
二是條件允許的情況下,需要進行異地備份。如果將數據備份在本地硬盤上,那當硬盤出現物理損壞或者被盜時,將無法恢復數據。為此對於服務器上的數據,在條件允許的情況下需要進行異地備份。一般情況下,都是先將數據備份到本地硬盤上。然後再將數據復制到服務器之外的其他地方。這就好像給服務器上了一個雙保險。
三是要對不同的應用程序分別進行備份。如現在在一台服務器上有郵件服務器、數據庫服務器等等。在備份時,是同時對兩個系統的數據進行備份,還是分別針對不同的應用程序分別進行備份呢?筆者這裡建議采用後者。如當郵件丟失,而數據庫服務器的數據沒有損壞時,此時只需要恢復郵件系統的數據即可,而不需要恢復數據庫服務器的數據。要實現這個需求也比較簡單。如可以利用應用程序自帶的備份功能進行備份。或者這采用虛擬化技術將多個應用程序的數據存放在固定的范圍內。然後分別進行備份與恢復。
建議五:提防內部用戶的破壞
大部分企業在設計內部服務器安全時會有盲點。他們過多關注與外部的安全,而忽視了企業內部用戶的威脅。其實根據筆者的經驗,很多安全威脅都是企業內部用戶在無意之中造成的。舉一個簡單的例子。用戶通過U盤等設備將一個文件從自己家裡的主機上或者酒店的電腦上復制到文件服務器上。而這個文件很可能帶有病毒。此時這個文件由於是直接從企業內部復制到文件服務器上,為此沒有經過防火牆的檢測。當其他用戶打開這個文件時,病毒就可以在企業內部網絡中進行傳播。
所以說在設計內部服務器安全時,需要關注內部用戶對服務器的安全威脅。如在適當情況下可以禁用這些移動設備。或者強制對新增加的文件進行殺毒等作業。不讓病毒與木馬有機可乘。