摘 要：隨著信息技術(shù)的不斷進(jìn)步，現(xiàn)在各單位都建立了自己的網(wǎng)站和局域網(wǎng)，各單位為保證其自身網(wǎng)絡(luò)安全，將服務(wù)器的安全維護(hù)工作作為單位的重要工作。在實(shí)際的維護(hù)工作中本人作為一名信息管理員也碰到過(guò)很多的問(wèn)題，對(duì)服務(wù)器安全有一定認(rèn)識(shí)，同時(shí)也積累了部分經(jīng)驗(yàn)，本文將從硬件維護(hù)和軟件維護(hù)兩個(gè)方面對(duì)服務(wù)器安全維護(hù)進(jìn)行論述。

關(guān)鍵詞：硬件 補(bǔ)丁 漏洞 日志 服務(wù) 備份

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2012）12（c）-0017-02

1 硬件維護(hù)

硬件維護(hù)與軟件的維護(hù)同樣具體很重的地位。同時(shí)作為管理員的我們還要對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境以及服務(wù)器中的硬件系統(tǒng)都要很清楚和了解，這樣在維護(hù)工作中才會(huì)心里有數(shù)。硬件維護(hù)一般都更換設(shè)備，設(shè)備除塵和防火防潮以及增加和卸載設(shè)備這方面的工作，它維護(hù)起來(lái)就會(huì)相當(dāng)?shù)暮?jiǎn)單。

1.1 內(nèi)存和硬盤容量增容

當(dāng)服務(wù)器的安裝出現(xiàn)網(wǎng)絡(luò)應(yīng)用多元化、應(yīng)用程序增加以及網(wǎng)絡(luò)資源相對(duì)提升時(shí)，而且還要保證服務(wù)器在運(yùn)行時(shí)的工作效率和速度時(shí)，就需要對(duì)服務(wù)器的內(nèi)存進(jìn)行擴(kuò)充，這樣才會(huì)適應(yīng)工作中所需要的不斷發(fā)展。需要注意的是加內(nèi)存時(shí)應(yīng)該選擇與原內(nèi)存同廠商、同型號(hào)的內(nèi)存條為宜，增加硬盤時(shí)也要選擇與原接口相匹配的，不這樣的話就會(huì)使系統(tǒng)出現(xiàn)錯(cuò)誤，并且無(wú)法啟動(dòng)。

1.2 服務(wù)器的拆卸必須小心

服務(wù)器在拆卸的時(shí)候，內(nèi)部的問(wèn)題倒不是很大，但是要注意的是在開機(jī)箱時(shí)才是關(guān)鍵，主要是因?yàn)楹芏嗟姆?wù)器機(jī)箱中藏有很多的玄機(jī)，這些都要很仔細(xì)的閱讀說(shuō)明書之后再進(jìn)行才妥當(dāng)。

1.3 做好防塵除塵工作防

很多莫名其妙的故障都是塵土“惹的禍”，一般來(lái)說(shuō)每個(gè)月都應(yīng)定期的拆機(jī)除塵一次。

1.4 優(yōu)化功能，避免資源浪費(fèi)

服務(wù)器一般都提供磁盤陣列功能，目前不少的機(jī)房服務(wù)器都只有一塊硬盤，這樣沒(méi)有數(shù)據(jù)冗余的保障，也就沒(méi)有了對(duì)于存儲(chǔ)方面的安全保障和性能優(yōu)化。另外不少管理員只認(rèn)為某些組件最重要，集中投入維護(hù)，從而忽略了其它組件的優(yōu)化工維護(hù)，使得這些組件的功能、性能都得不到很好的發(fā)揮，造成了資源浪費(fèi)。

2 軟件維護(hù)

軟件系統(tǒng)方面的維護(hù)是服務(wù)器維護(hù)量最大的一部分，一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、用戶數(shù)據(jù)等各方面的維護(hù)。目前，惡意的網(wǎng)絡(luò)攻擊行為包括兩類：一是惡意的攻擊行為，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等，這些行為消耗大量的服務(wù)器資源，影響服務(wù)器的運(yùn)行速度和正常工作，甚至使服務(wù)器所在的網(wǎng)絡(luò)癱瘓；另外一類是惡意的入侵行為，這種行為會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。要保障網(wǎng)絡(luò)服務(wù)器的安全就要盡量使網(wǎng)絡(luò)服務(wù)器避免受這兩種行為的影響。

2.1 操作系統(tǒng)的維護(hù)

操作系統(tǒng)是服務(wù)器運(yùn)行的軟件基礎(chǔ)，其重要性不言自明?，F(xiàn)在多數(shù)服務(wù)器操作系統(tǒng)使用Windows NT或Windows 2003 Server作為操作系統(tǒng)，維護(hù)起來(lái)比較容易。在Windows NT或Windows 2000 Server中，應(yīng)經(jīng)常打開事件查看器，在系統(tǒng)日志、安全日志和應(yīng)用程序日志中查看有沒(méi)有特別異常的記錄。

2.2 掃描系統(tǒng)漏洞

使用漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描，來(lái)發(fā)現(xiàn)潛在的安全問(wèn)題，并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來(lái)安全問(wèn)題。微軟有專門人力檢查并修補(bǔ)安全漏洞，這些修補(bǔ)程序有時(shí)會(huì)被收集成service pack（服務(wù)包）發(fā)布。服務(wù)包通常有兩種版本：一個(gè)任何人都可以使用的40位的版本；另一個(gè)是只能在美國(guó)和加拿大發(fā)行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。一個(gè)服務(wù)包有時(shí)得等上好幾個(gè)月才發(fā)行一次，好在微軟會(huì)定期將重要的修補(bǔ)程序發(fā)布在它的FTP站上，這些最新修補(bǔ)程序都尚未收錄到最新一版的服務(wù)包里，我們可以經(jīng)常去看看最新修補(bǔ)程序，但要切記，修補(bǔ)程序一定要按一定順序來(lái)使用，若安裝順序錯(cuò)亂的話，可能會(huì)導(dǎo)致一些文件的版本錯(cuò)誤，也可能造成Windows當(dāng)機(jī)。

2.3 關(guān)閉不需要的服務(wù)

網(wǎng)絡(luò)服務(wù)有很多，如WWW服務(wù)、DNS服務(wù)、DHCP服務(wù)、SMTP服務(wù)、FTP服務(wù)等，隨著服務(wù)器提供的服務(wù)越來(lái)越多，系統(tǒng)也容易混亂、安全性也將降低，此時(shí)可能需要重新設(shè)定各個(gè)服務(wù)的參數(shù)，打開防火墻，使之安全而正常的運(yùn)行。我們可根據(jù)實(shí)際需要關(guān)閉不必要的服務(wù)，如：WEB服務(wù)器最好是只提供WWW服務(wù)，安裝操作系統(tǒng)的最新補(bǔ)丁，將WWW服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁，合理配置增強(qiáng)WWW服務(wù)器本身的安全。

2.4 合理的權(quán)限管理

大多時(shí)候，為了降低成本，一臺(tái)服務(wù)器不僅運(yùn)行了WEB的應(yīng)用，而且還會(huì)提供諸如FTP和流媒體之類的服務(wù)。在同一臺(tái)服務(wù)器上使用多種網(wǎng)絡(luò)服務(wù)很可能造成服務(wù)之間的相互感染。也就是說(shuō)，攻擊者只要攻擊一種服務(wù)，就可以運(yùn)用相關(guān)的技能攻陷其他使用。因?yàn)楣粽咧恍枰テ破渲幸环N服務(wù)，就可以運(yùn)用這個(gè)服務(wù)平臺(tái)從內(nèi)部攻擊其他服務(wù)，通常來(lái)說(shuō)，從內(nèi)部執(zhí)行攻擊要比外部執(zhí)行攻擊方便得多。

我們通常采用的文件系統(tǒng)是FAT或者FAT32。NTFS是微軟WindowsNT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別針對(duì)網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。在NTFS文件系統(tǒng)里可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問(wèn)權(quán)限，可以把敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣，即使黑客通過(guò)某些方法獲得服務(wù)文件所在磁盤分區(qū)的訪問(wèn)權(quán)限，還需要破解系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問(wèn)保存在其他磁盤上的敏感信息。我們采用Windows2003服務(wù)器，為了實(shí)現(xiàn)這個(gè)安全需求，可把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。一般來(lái)說(shuō)，NTFS分區(qū)比FAT分區(qū)安全性高很多。運(yùn)用NTFS分區(qū)自帶的功能，合理為它們分配相關(guān)的權(quán)限。如為這三個(gè)服務(wù)配置不同的維護(hù)員賬戶，不同的賬戶只能對(duì)特定的分區(qū)與目錄進(jìn)行訪問(wèn)。這樣一來(lái)，即使某個(gè)維護(hù)員賬戶失竊，攻擊者也只能訪問(wèn)該服務(wù)的存儲(chǔ)空間，而不能訪問(wèn)其他服務(wù)的。

2.5 安裝網(wǎng)絡(luò)殺毒軟件

安裝必要的防火墻，阻止各種掃描工具的試探及信息收集，根據(jù)一些安全報(bào)告來(lái)阻止來(lái)自某些特定IP地址范圍的機(jī)器連接，給服務(wù)器增加一個(gè)防護(hù)層，同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。

2.6 定期數(shù)據(jù)備份

定期對(duì)服務(wù)器進(jìn)行備份，防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作。作好服務(wù)器系統(tǒng)備份，在系統(tǒng)遭破壞的時(shí)候可以及時(shí)恢復(fù)。

2.7 監(jiān)測(cè)系統(tǒng)日志

通過(guò)運(yùn)行系統(tǒng)日志程序，定期檢查最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，分析是否存在異?，F(xiàn)象。

3 結(jié)語(yǔ)

總之，服務(wù)器安全重在預(yù)防，通過(guò)使用以上策略，可以大大提高服務(wù)器的安全性，換句話說(shuō)，只有做到軟件和硬件的合理配合，才可以盡最大限度地保證服務(wù)器系統(tǒng)的安全和完整。

參考文獻(xiàn)

[1]鄭齊，方思行.通用多線程服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2003，16：146-147.

[2]邵芬，于國(guó)防，張寧.基于多線程的HTTP服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)[J].工礦自動(dòng)化，2007，8：134-136.

[3]孫霞.基于java的高效多線程HTTP服務(wù)器的研究及實(shí)現(xiàn)[J].福建電腦，2003，11：38-39.

[4]李磊.嵌入式WEB服務(wù)器軟件的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2003（10）.

[5]劉菊.網(wǎng)站服務(wù)器構(gòu)建[M].湖北電子工業(yè)出版社，2009，5.

[6]高陽(yáng).Web站點(diǎn)優(yōu)化與安全[J].計(jì)算機(jī)工程，2010，32（4）：94-97.

[7]王堂全.服務(wù)器管理與配置[J].計(jì)算機(jī)原理，2008，11.