一 引言

　　在企業(yè)信息系統(tǒng)中，服務器是信息系統(tǒng)的鶯要組成部分，眾多的關鍵應用都在服務器上運行，它以操作系統(tǒng)和硬件系統(tǒng)為基礎，擔負著對信息和數(shù)據(jù)存儲、傳輸、處理和發(fā)布的重要任務。例如在開灤信控中心共有服務器138臺，運行的系統(tǒng)有該集團內部網(wǎng)站、各個專業(yè)化公司網(wǎng)站、財務系統(tǒng)、物流系統(tǒng)、OA系統(tǒng)、設備系統(tǒng)、住房公積金、集團商務網(wǎng)站、電子郵局等。這些系統(tǒng)都是該集團重要的業(yè)務系統(tǒng)，保證業(yè)務系統(tǒng)安全穩(wěn)定運行是信控中心廣大科技人員的重要責任，鑒于此，服務器安全問題就提到了議事口程上來。越來越多的病毒，心懷不軌的黑客都將服務器作為了他們的攻擊目標。下面介紹一下服務器常見的惡意行為：

　　(1)惡意的攻擊行為，比如拒絕服務攻擊，網(wǎng)絡病毒等。這樣的行為目的就是消耗服務器資源，進而影響服務器的正常運作，甚至造成服務器所在網(wǎng)絡的癱瘓；

　　(2)惡意的入侵行為，這種行為更是會導致服務器敏感信息泄露，入侵者可以為所欲為，肆意破壞服務器。

二 保證服務器系統(tǒng)安全的方法

　　(一)構建硬件安全防御體系 防火墻、入侵檢測系統(tǒng)、路由系統(tǒng)等是一套完善的安全模型需要的組件。防火墻在安全系統(tǒng)中扮演的是一個保安的角色，他可以在很大程度上保證來自網(wǎng)絡的非法訪問以及數(shù)據(jù)流量攻擊；入侵檢測系統(tǒng)扮演的是一個監(jiān)視器的角色，監(jiān)視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。目前我們的硬件安全防御系統(tǒng)是在互聯(lián)網(wǎng)出口部署了思科公司的防火墻，在防火墻中設置了過濾規(guī)則，防止非法入侵。

　　(二)服務器內網(wǎng)、外網(wǎng)隔離 服務器系統(tǒng)安全的實現(xiàn)，與網(wǎng)絡系統(tǒng)的安全策略緊密相關。該集團網(wǎng)絡系統(tǒng)分為內網(wǎng)和外網(wǎng)，采用防火墻隔離，內網(wǎng)、外網(wǎng)不能直接互相訪問。內網(wǎng)、外網(wǎng)之間設置非軍事區(qū)，所有內網(wǎng)、外網(wǎng)之問的訪問全部通過防火墻實現(xiàn)�；�于以上原則，集團公司內部的網(wǎng)絡應用系統(tǒng)服務器應處于軍事區(qū)，以保證其安全。集團公司商務網(wǎng)站、電子郵局等服務器設置在非軍事區(qū)，以實現(xiàn)內網(wǎng)、外網(wǎng)的訪問。

　　(三)采用NTFS文件系統(tǒng)格式 通常采用的文件系統(tǒng)是FAT或者FAT32，NTFS是微軟Windows NT內核的系列操作系統(tǒng)支持的一個特別為網(wǎng)絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統(tǒng)罩可以為任何一個磁盤分區(qū)單獨設置訪問權限。把敏感信息和服務信息分別放在不同的磁盤分區(qū)。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區(qū)的訪問權限，還需要想方設法突破系統(tǒng)的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息。只要是Windows操作系統(tǒng)的服務器，在安裝系統(tǒng)時都是采用NTFS格式對分區(qū)進行格式化。

　　(四)做好系統(tǒng)備份和數(shù)據(jù)備份 做好服務器系統(tǒng)備份，一旦遭到破壞可以及時恢復。做好數(shù)據(jù)備份，每天采取本地備份和異地備份兩種方式，確保數(shù)據(jù)安全。對于服務器操作系統(tǒng)備份，在安裝完操作系統(tǒng)后，馬上利用ghost工具進行系統(tǒng)備份：對于數(shù)據(jù)備份，在內部網(wǎng)絡中部署專門的備份服務器，利用Veritas備份軟件進行數(shù)據(jù)備份。

　　(五)關閉服務 關掉不必要開的服務，做好本地管理和組管理。Windows系統(tǒng)默認的那些服務不用開的。比如：默認的共享遠程注冊表訪問，系統(tǒng)很多敏感的信息都是寫在注冊表里的，類似的這些服務需要全部關閉。

　　(六)關閉端口 一些默認的不必要端口，應該全部關閉，用到時再開啟，不用時立刻關閉。如windows 2000 server默認開啟的IIS服務就顯示本身的操作系統(tǒng)是windows 2000 server。69端口給侵入者的信息是你在用的操作系統(tǒng)人概就是linux系統(tǒng)或者unix系統(tǒng)。此外，開啟的端口更有可能成為黑客進入服務器的門戶，應該關閉不必要的端口。

　　(七)安裝軟件防火墻、正版殺毒軟件 安裝正版的殺毒軟件，及時升級殺毒軟件病毒庫。目前開灤構建了安全的病毒防御體系，部署了趨勢科技的產(chǎn)品，所有服務器目前都安裝了網(wǎng)絡版的趨勢殺毒軟件。

　　(八)下載安裝操作系統(tǒng)最新的安全漏洞補救程序 微軟在網(wǎng)站上會定期的發(fā)布系統(tǒng)安全漏洞補丁程序。要經(jīng)常查看補丁程序，不定時的上網(wǎng)下載升級操作系統(tǒng)補丁程序，一定要按邏輯順序使用這些補丁程序。如果以錯誤的順序使用它們，結果可能導致一些文件的版本錯誤，系統(tǒng)也可能無法啟動。

　　(九)下載安裝數(shù)據(jù)庫補丁程序 數(shù)據(jù)庫系統(tǒng)有漏洞，也會給服務器帶來安全隱患。例如微軟數(shù)據(jù)庫SQL SERVER 2000，系統(tǒng)補丁必須打到SP3以上。

　　(十)服務器地址綁定 目前，在局域網(wǎng)絡中ARP病毒十分猖狂，嚴重時可使整個網(wǎng)絡全面癱瘓。arp病毒并不是某一種病毒的名稱，而是對利用arp協(xié)議的漏洞進行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個協(xié)議，用于進行把網(wǎng)絡地址翻譯成物理地址(又稱MAC地址)。通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關欺騙。是一種入侵電腦的木馬病毒。我們的解決方案是，在交換機上做服務器的IP地址和MAC地址綁定。在網(wǎng)管服務器上安裝抓包工具，確定攻擊源，立刻斷網(wǎng)并對其全面殺毒，確認沒有問題后，方可接入網(wǎng)絡。

　　(十一)開啟服務器事件日志 嚴格意義上說，開啟日志服務對阻止黑客的入侵沒有直接作用，可是能通過開啟日志服務記錄到黑客的行蹤，通過記錄的行蹤分析入侵黑客在系統(tǒng)上到底做過什么，給系統(tǒng)造成了哪些破壞及隱患，黑客到底在系統(tǒng)上留了什么樣的后門，服務器上還存在什么樣的安全漏洞等。

三 結語

　　通過采取以上的措施，服務器安全性有了很大的提升，但一些不法攻擊者會不斷尋找新的方法來攻擊服務器系統(tǒng)，所以一定要及時跟蹤服務器安全方面的信息，并不斷提高服務器管理人員的技術水平，確保企業(yè)的應用服務器有一個安全、穩(wěn)定、高效的運行環(huán)境。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：企業(yè)服務器系統(tǒng)安全研究與應用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112153857.html