摘 要：隨著信息技術(shù)的不斷進(jìn)步，現(xiàn)在各單位都建立了自己的網(wǎng)站和局域網(wǎng)，各單位為保證其自身網(wǎng)絡(luò)安全，將服務(wù)器的安全維護(hù)工作作為單位的重要工作。在實際的維護(hù)工作中本人作為一名信息管理員也碰到過很多的問題，對服務(wù)器安全有一定認(rèn)識，同時也積累了部分經(jīng)驗，本文將從硬件維護(hù)和軟件維護(hù)兩個方面對服務(wù)器安全維護(hù)進(jìn)行論述。

關(guān)鍵詞：硬件 補丁 漏洞 日志 服務(wù) 備份

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2012）12（c）-0017-02

1 硬件維護(hù)

硬件維護(hù)與軟件的維護(hù)同樣具體很重的地位。同時作為管理員的我們還要對整個網(wǎng)絡(luò)環(huán)境以及服務(wù)器中的硬件系統(tǒng)都要很清楚和了解，這樣在維護(hù)工作中才會心里有數(shù)。硬件維護(hù)一般都更換設(shè)備，設(shè)備除塵和防火防潮以及增加和卸載設(shè)備這方面的工作，它維護(hù)起來就會相當(dāng)?shù)暮唵巍?/p>

1.1 內(nèi)存和硬盤容量增容

當(dāng)服務(wù)器的安裝出現(xiàn)網(wǎng)絡(luò)應(yīng)用多元化、應(yīng)用程序增加以及網(wǎng)絡(luò)資源相對提升時，而且還要保證服務(wù)器在運行時的工作效率和速度時，就需要對服務(wù)器的內(nèi)存進(jìn)行擴充，這樣才會適應(yīng)工作中所需要的不斷發(fā)展。需要注意的是加內(nèi)存時應(yīng)該選擇與原內(nèi)存同廠商、同型號的內(nèi)存條為宜，增加硬盤時也要選擇與原接口相匹配的，不這樣的話就會使系統(tǒng)出現(xiàn)錯誤，并且無法啟動。

1.2 服務(wù)器的拆卸必須小心

服務(wù)器在拆卸的時候，內(nèi)部的問題倒不是很大，但是要注意的是在開機箱時才是關(guān)鍵，主要是因為很多的服務(wù)器機箱中藏有很多的玄機，這些都要很仔細(xì)的閱讀說明書之后再進(jìn)行才妥當(dāng)。

1.3 做好防塵除塵工作防

很多莫名其妙的故障都是塵土“惹的禍”，一般來說每個月都應(yīng)定期的拆機除塵一次。

1.4 優(yōu)化功能，避免資源浪費

服務(wù)器一般都提供磁盤陣列功能，目前不少的機房服務(wù)器都只有一塊硬盤，這樣沒有數(shù)據(jù)冗余的保障，也就沒有了對于存儲方面的安全保障和性能優(yōu)化。另外不少管理員只認(rèn)為某些組件最重要，集中投入維護(hù)，從而忽略了其它組件的優(yōu)化工維護(hù)，使得這些組件的功能、性能都得不到很好的發(fā)揮，造成了資源浪費。

2 軟件維護(hù)

軟件系統(tǒng)方面的維護(hù)是服務(wù)器維護(hù)量最大的一部分，一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)庫服務(wù)、用戶數(shù)據(jù)等各方面的維護(hù)。目前，惡意的網(wǎng)絡(luò)攻擊行為包括兩類：一是惡意的攻擊行為，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等，這些行為消耗大量的服務(wù)器資源，影響服務(wù)器的運行速度和正常工作，甚至使服務(wù)器所在的網(wǎng)絡(luò)癱瘓；另外一類是惡意的入侵行為，這種行為會導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。要保障網(wǎng)絡(luò)服務(wù)器的安全就要盡量使網(wǎng)絡(luò)服務(wù)器避免受這兩種行為的影響。

2.1 操作系統(tǒng)的維護(hù)

操作系統(tǒng)是服務(wù)器運行的軟件基礎(chǔ)，其重要性不言自明?，F(xiàn)在多數(shù)服務(wù)器操作系統(tǒng)使用Windows NT或Windows 2003 Server作為操作系統(tǒng)，維護(hù)起來比較容易。在Windows NT或Windows 2000 Server中，應(yīng)經(jīng)常打開事件查看器，在系統(tǒng)日志、安全日志和應(yīng)用程序日志中查看有沒有特別異常的記錄。

2.2 掃描系統(tǒng)漏洞

使用漏洞掃描和風(fēng)險評估工具定期對服務(wù)器進(jìn)行掃描，來發(fā)現(xiàn)潛在的安全問題，并確保由于升級或修改配置等正常的維護(hù)工作不會帶來安全問題。微軟有專門人力檢查并修補安全漏洞，這些修補程序有時會被收集成service pack（服務(wù)包）發(fā)布。服務(wù)包通常有兩種版本：一個任何人都可以使用的40位的版本；另一個是只能在美國和加拿大發(fā)行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。一個服務(wù)包有時得等上好幾個月才發(fā)行一次，好在微軟會定期將重要的修補程序發(fā)布在它的FTP站上，這些最新修補程序都尚未收錄到最新一版的服務(wù)包里，我們可以經(jīng)常去看看最新修補程序，但要切記，修補程序一定要按一定順序來使用，若安裝順序錯亂的話，可能會導(dǎo)致一些文件的版本錯誤，也可能造成Windows當(dāng)機。

2.3 關(guān)閉不需要的服務(wù)

網(wǎng)絡(luò)服務(wù)有很多，如WWW服務(wù)、DNS服務(wù)、DHCP服務(wù)、SMTP服務(wù)、FTP服務(wù)等，隨著服務(wù)器提供的服務(wù)越來越多，系統(tǒng)也容易混亂、安全性也將降低，此時可能需要重新設(shè)定各個服務(wù)的參數(shù)，打開防火墻，使之安全而正常的運行。我們可根據(jù)實際需要關(guān)閉不必要的服務(wù)，如：WEB服務(wù)器最好是只提供WWW服務(wù)，安裝操作系統(tǒng)的最新補丁，將WWW服務(wù)升級到最新版本并安裝所有補丁，合理配置增強WWW服務(wù)器本身的安全。

2.4 合理的權(quán)限管理

大多時候，為了降低成本，一臺服務(wù)器不僅運行了WEB的應(yīng)用，而且還會提供諸如FTP和流媒體之類的服務(wù)。在同一臺服務(wù)器上使用多種網(wǎng)絡(luò)服務(wù)很可能造成服務(wù)之間的相互感染。也就是說，攻擊者只要攻擊一種服務(wù)，就可以運用相關(guān)的技能攻陷其他使用。因為攻擊者只需要攻破其中一種服務(wù)，就可以運用這個服務(wù)平臺從內(nèi)部攻擊其他服務(wù)，通常來說，從內(nèi)部執(zhí)行攻擊要比外部執(zhí)行攻擊方便得多。

我們通常采用的文件系統(tǒng)是FAT或者FAT32。NTFS是微軟WindowsNT內(nèi)核的系列操作系統(tǒng)支持的、一個特別針對網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式。在NTFS文件系統(tǒng)里可以為任何一個磁盤分區(qū)單獨設(shè)置訪問權(quán)限，可以把敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣，即使黑客通過某些方法獲得服務(wù)文件所在磁盤分區(qū)的訪問權(quán)限，還需要破解系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問保存在其他磁盤上的敏感信息。我們采用Windows2003服務(wù)器，為了實現(xiàn)這個安全需求，可把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。一般來說，NTFS分區(qū)比FAT分區(qū)安全性高很多。運用NTFS分區(qū)自帶的功能，合理為它們分配相關(guān)的權(quán)限。如為這三個服務(wù)配置不同的維護(hù)員賬戶，不同的賬戶只能對特定的分區(qū)與目錄進(jìn)行訪問。這樣一來，即使某個維護(hù)員賬戶失竊，攻擊者也只能訪問該服務(wù)的存儲空間，而不能訪問其他服務(wù)的。

2.5 安裝網(wǎng)絡(luò)殺毒軟件

安裝必要的防火墻，阻止各種掃描工具的試探及信息收集，根據(jù)一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給服務(wù)器增加一個防護(hù)層，同時需要對防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。

2.6 定期數(shù)據(jù)備份

定期對服務(wù)器進(jìn)行備份，防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作。作好服務(wù)器系統(tǒng)備份，在系統(tǒng)遭破壞的時候可以及時恢復(fù)。

2.7 監(jiān)測系統(tǒng)日志

通過運行系統(tǒng)日志程序，定期檢查最近登錄時間、使用的賬號、進(jìn)行的活動等。定期生成報表，通過對報表進(jìn)行分析，分析是否存在異?，F(xiàn)象。

3 結(jié)語

總之，服務(wù)器安全重在預(yù)防，通過使用以上策略，可以大大提高服務(wù)器的安全性，換句話說，只有做到軟件和硬件的合理配合，才可以盡最大限度地保證服務(wù)器系統(tǒng)的安全和完整。

參考文獻(xiàn)

[1]鄭齊，方思行.通用多線程服務(wù)器的設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用，2003，16：146-147.

[2]邵芬，于國防，張寧.基于多線程的HTTP服務(wù)器的設(shè)計與實現(xiàn)[J].工礦自動化，2007，8：134-136.

[3]孫霞.基于java的高效多線程HTTP服務(wù)器的研究及實現(xiàn)[J].福建電腦，2003，11：38-39.

[4]李磊.嵌入式WEB服務(wù)器軟件的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計，2003（10）.

[5]劉菊.網(wǎng)站服務(wù)器構(gòu)建[M].湖北電子工業(yè)出版社，2009，5.

[6]高陽.Web站點優(yōu)化與安全[J].計算機工程，2010，32（4）：94-97.

[7]王堂全.服務(wù)器管理與配置[J].計算機原理，2008，11.