狭义的服务器安全,是指服务器所依托的操作系统的安全;广义的服务器安全,除了操作系统安全,还包括硬件安全、应用安全和数据安全等——的确,作为存储数据、处理需求的核心,服务器安全涉及太多环节。
“操作系统并不是绝对安全的”.据说,有80%的服务器应用问题和操作系统接口有关。缺省安装”就是一个表现 .缺省安装,意味着默认操作系统所有的额外服务和开放端口,为攻击者接管计算机铺平了道路。因为一般说来,系统打开的端口越少,攻击者用来侵入计算机的途径就越少。而很多用户的应用开发又是建立在“缺省安装”基础上的,这样就整体构架了一个极不安全的系统。 鉴于这种事实,可以考虑购买服务器安全加固软件;如果没有投资的话,采用一些免费工具或者经常打补丁也可有效提升系统的安全等级。
.
目前用户最通用的服务器安全问题分为两类:一是黑客攻击与密码泄露;一是漏洞。用户往往做不到及时监控漏洞、下载补丁,尤其是在内部网管理方面。他说,微软推出自动补丁升级服务后,在一定程度上减轻了管理员的工作量。对于金融、电信等关键行业用户来说,补丁虽好,但绝对不是可以随便打的——因为补丁可能与正在运行的业务冲突,而导致业务中断。招商银行总行设有“系统安全室”,统一负责补丁的测试和管理,每一次补丁都要经过慎重的论证测试。
“我们给用户做渗透测试时,往往发现系统问题不大,而应用或多或少都存在 问题”。这是因为随着大家对安全的重视,很多管理员采用了安全产品进行防护,同时也不断打补丁,因此攻击转而呈现从应用环节入手的新迹象。在所有的应用开发中,都要考虑到安全问题。很多企业或者软件开发商在应用开发的过程当中只注重应用的实现,而忽略应用的安全性和应用软件对操作系统一些默认服务调用的安全隐患,这就导致了许多用户在关键系统投入使用后发现致命的安全问题,却又无能为力。
管理体系之所以重要,首先因为安全是一个环环相扣的环境。比如说我们可以看到,“震荡波”、“冲击波”攻击的是Windows服务器,但因为造成网络阻塞,最后影响到整个网络上的主机和其他所有设备。再比如,很多大企业内网的设备非常多,但是管理却没有外网那么严密有力,结果对整个系统形成大的安全隐患.信息规划最初就要考虑到安全,否则很难从根本上保证安全,在买产品之前,会先做风险评估,然后根据轻重缓急制订安全策略和体系。
从广义上来说,服务器的安全除了操作系统、应用安全以外,还包括主机的硬件设备安全,涉及到机房和物理环境的建设(包括空调、温度、湿度、消防、电源、机架、服务器硬件的维护等诸多方面)。?大家在这方面谈论得不多,信心来自于服务器产业的成熟。比如说“冗余”以及“热插拔”等设计普遍应用在服务器内存、硬盘、CPU、网卡、电源、风扇等各部件上,还有服务器厂商的服务与可靠性、可用性一样越来越让人放心。狭义的服务器安全理解为可靠性。可靠性是用户选购时首要考虑的因素,招行每年都会对IBM、HP、Sun等几大厂商的服务器出一份故障报告,供下一年采购参考。他的感受是“硬件不容易损坏,并且厂商的服务比较到位。”
针对服务器系统安全,需要在建立完善的服务器安全管理制度前提下,由系统管理员针对最可能带来严重安全隐患的安全漏洞采取相关的修复措施。针对服务器的安全管理制度可以包括建立服务器安全加固的机制、加强系统账号和口令管理、关闭不必要的系统端口、过滤不正确的数据包、建立系统日志审查制度、使用加密的方式进行远程管理、及时更新系统安全补丁等。树立安全意识、制订信息安全规划是最为重要的。 |