关于服务器平台运维安全见解.docVIP

服务器安全之个人见解 2011-1-2 服务器作为网络系统的中心，向网络客户端和用户提供应用服务和数据的存储，在网络系统中处于核心的地位，因而，服务器不仅性能上或者安全上与普通计算机相比均需较高的要求。下面本人就个人见解并参考其他资料就服务器安全这一议题进行描述。描述分为四个章节，分别为硬件篇，系统篇，数据库安全与备份篇和日常维护篇。由于知识水平、经验有限，不全或有漏之处，请不吝指正，并谅解，谢谢！ 硬件篇 首先，服务器作为数据流量的中心，承受着大量用户的访问，因此应把服务器架设在网络带宽大的位置，通常设置与核心交换机相连，并且必要时借助链路汇聚实现服务器与交换机之间的冗余连接，以实现网络连接上安全。另外，可以为服务器设置多块网卡，这样不仅能够增加服务器网络的通信处理的吞吐量而且还能实现网卡的冗余，这样可以确保部分网卡故障时，网络仍然能通信，达到网卡的多重保障。 其次，服务器作为网络的核心，应能持续为网络提供服务。这样就要求服务器具备长期工作的能力，甚至新采购回来的设备须一直用到报废才能停止。因此服务器的配置，特别是主板、硬盘、内存条、中央处理器、电源等零部件一定要确保质量可靠，最好应该选择国内、外知名服务器专用产品，比如IBM、DELL、惠普、浪潮等，同时需要为服务器配置不间断电源（UPS），确保电源电压的稳定，保证服务器机房的安全，确保机房的环境、温度适宜。 再者，在存储方面，服务器内部应该采取磁盘阵列方式，根据不同应用选择不同的RAID阵列，其中Raid5的应用较为普遍，被广泛应用到银行、证券、保险、政府以及航空等领域，另外，Raid1作为双重的备份，而且具备优秀的数据读取能力，因此被应用到访问量和访问频率高的地方，如图书管、大型门户网站等领域。在这个基础上，为了更进一步确保服务器数据的安装，规避大灾难和事故造成的数据丢失，应该实现数据的异地存储以及灾难备份等等。 总之，从硬件的层面上去实现服务器的安全，主要是抓住产品的质量和设计应用的方案，把好设备质量关口，为服务器的安全打下基础。 二、系统篇 操作系统是服务器应用服务的主要载体，操作系统稳定与软件的合理搭配对服务器的安全上起到至关重要的作用。下面主要以Windows 2003为例，讲述服务器操作系统的安全策略。 初步总结有七个策略，具体如下所述： Windows2003服务器安全策略总结 策略一：关闭windows2003不必要的服务 　　·Computer Browser 维护网络上计算机的最新列表以及提供这个列表 　　·Task scheduler 允许程序在指定时间运行 　　·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 　　·Removable storage 管理可移动媒体、驱动程序和库 　　·Remote Registry Service 允许远程注册表操作 　　·Print Spooler 将文件加载到内存中以便以后打印。 　　·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序 　　·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 　　·Com+ Event System 提供事件的自动发布到订阅COM组件 　　·Alerter 通知选定的用户和计算机管理警报 　　·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 　　·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 　　·Telnet 允许远程用户登录到此计算机并运行程序 策略二：磁盘权限设置 C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。 　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。 策略三：禁止 Windows 系统进行空连接 在注册表中找到相应的键值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Cont