|
|
|
服務器安全有狹義和廣義之分,狹義的服務器安全,是指服務器所依托的操作系統的安全;廣義的服務器安全,除了操作系統安全,還包括硬件安全、應用安全和數據安全等——的確,作為存儲數據、處理需求的核心,服務器安全涉及太多環節。 最無奈的操作系統 「操作系統並不是絕對安全的」.據說,有80%的服務器應用問題和操作系統接口有關。缺省安裝」就是一個表現 .缺省安裝,意味著默認操作系統所有的額外服務和開放端口,為攻擊者接管計算機鋪平了道路。因為一般說來,系統打開的端口越少,攻擊者用來侵入計算機的途徑就越少。而很多用戶的應用開發又是建立在「缺省安裝」基礎上的,這樣就整體構架了一個極不安全的系統。 鑒於這種事實,可以考慮購買服務器安全加固軟件;如果沒有投資的話,採用一些免費工具或者經常打補丁也可有效提升系統的安全等級。 最緊急的補丁/病毒 目前用戶最通用的服務器安全問題分為兩類:一是黑客攻擊與密碼洩露;一是漏洞。用戶往往做不到及時監控漏洞、下載補丁,尤其是在內部網管理方面。他說,微軟推出自動補丁升級服務後,在一定程度上減輕了管理員的工作量。對於金融、電信等關鍵行業用戶來說,補丁雖好,但絕對不是可以隨便打的——因為補丁可能與正在運行的業務衝突,而導致業務中斷。招商銀行總行設有「系統安全室」,統一負責補丁的測試和管理,每一次補丁都要經過慎重的論證測試。 最忽視的應用開發 「我們給用戶做滲透測試時,往往發現系統問題不大,而應用或多或少都存在 問題」。這是因為隨著大家對安全的重視,很多管理員採用了安全產品進行防護,同時也不斷打補丁,因此攻擊轉而呈現從應用環節入手的新跡象。在所有的應用開發中,都要考慮到安全問題。很多企業或者軟件開發商在應用開發的過程當中只注重應用的實現,而忽略應用的安全性和應用軟件對操作系統一些默認服務調用的安全隱患,這就導致了許多用戶在關鍵系統投入使用後發現致命的安全問題,卻又無能為力。 最重要的管理體系 管理體系之所以重要,首先因為安全是一個環環相扣的環境。比如說我們可以看到,「震盪波」、「衝擊波」攻擊的是Windows服務器,但因為造成網絡阻塞,最後影響到整個網絡上的主機和其他所有設備。再比如,很多大企業內網的設備非常多,但是管理卻沒有外網那麼嚴密有力,結果對整個系統形成大的安全隱患.信息規劃最初就要考慮到安全,否則很難從根本上保證安全,在買產品之前,會先做風險評估,然後根據輕重緩急制訂安全策略和體系。 最放心的硬件系統 從廣義上來說,服務器的安全除了操作系統、應用安全以外,還包括主機的硬件設備安全,涉及到機房和物理環境的建設(包括空調、溫度、濕度、消防、電源、機架、服務器硬件的維護等諸多方面)。?大家在這方面談論得不多,信心來自於服務器產業的成熟。比如說「冗余」以及「熱插拔」等設計普遍應用在服務器內存、硬盤、CPU、網卡、電源、風扇等各部件上,還有服務器廠商的服務與可靠性、可用性一樣越來越讓人放心。狹義的服務器安全理解為可靠性。可靠性是用戶選購時首要考慮的因素,招行每年都會對IBM、HP、Sun等幾大廠商的服務器出一份故障報告,供下一年採購參考。他的感受是「硬件不容易損壞,並且廠商的服務比較到位。」 服務器安全總結 針對服務器系統安全,需要在建立完善的服務器安全管理制度前提下,由系統管理員針對最可能帶來嚴重安全隱患的安全漏洞採取相關的修復措施。針對服務器的安全管理制度可以包括建立服務器安全加固的機制、加強系統賬號和口令管理、關閉不必要的系統端口、過濾不正確的數據包、建立系統日誌審查制度、使用加密的方式進行遠程管理、及時更新系統安全補丁等。樹立安全意識、制訂信息安全規劃是最為重要的。
簡單地說,支持FTP協議的服務器就是FTP服務器,下面介紹一下什麼是FTP協議(文件傳輸協議)。 一般來說,用戶聯網的首要目的就是實現信息共享,文件傳輸是信息共享非常重要的一個內容之一。Internet上早期實現傳輸文件,並不是一件容易的事,我們知道 Internet是一個非常複雜的計算機環境,有PC,有工作站,有MAC,有大型機,據統計連接在Internet上的計算機已有上千萬台,而這些計算機可能運行不同的操作系統,有運行Unix的服務器,也有運行Dos、Windows的PC機和運行MacOS的蘋果機等等,而各種操作系統之間的文件交流問題,需要建立一個統一的文件傳輸協議,這就是所謂的FTP。基於不同的操作系統有不同的FTP應用程序,而所有這些應用程序都遵守同一種協議,這樣用戶就可以把自己的文件傳送給別人,或者從其它的用戶環境中獲得文件。 與大多數Internet服務一樣,FTP也是一個客戶機/服務器系統。用戶通過一個支持FTP協議的客戶機程序,連接到在遠程主機上的FTP服務器程序。用戶通過客戶機程序向服務器程序發出命令,服務器程序執行用戶所發出的命令,並將執行的結果返回到客戶機。比如說,用戶發出一條命令,要求服務器向用戶傳送某一個文件的一份拷貝,服務器會響應這條命令,將指定文件送至用戶的機器上。客戶機程序代表用戶接收到這個文件,將其存放在用戶目錄中。 在FTP的使用當中,用戶經常遇到兩個概念:”下載”(Download)和”上載”(Upload)。”下載”文件就是從遠程主機拷貝文件至自己的計算機上;”上載”文件就是將文件從自己的計算機中拷貝至遠程主機上。用Internet語言來說,用戶可通過客戶機程序向(從)遠程主機上載(下載)文件。 使用FTP時必須首先登錄,在遠程主機上獲得相應的權限以後,方可上載或下載文件。也就是說,要想同哪一台計算機傳送文件,就必須具有哪一台計算機的適當授權。換言之,除非有用戶ID和口令,否則便無法傳送文件。這種情況違背了Internet的開放性,Internet上的FTP主機何止千萬,不可能要求每個用戶在每一台主機上都擁有帳號。匿名FTP就是為解決這個問題而產生的。 匿名FTP是這樣一種機制,用戶可通過它連接到遠程主機上,並從其下載文件,而無需成為其註冊用戶。系統管理員建立了一個特殊的用戶ID,名為anonymous, Internet上的任何人在任何地方都可使用該用戶ID。 通過FTP程序連接匿名FTP主機的方式同連接普通FTP主機的方式差不多,只是在要求提供用戶標識ID時必須輸入anonymous,該用戶ID的口令可以是任意的字符串。習慣上,用自己的E-mail地址作為口令,使系統維護程序能夠記錄下來誰在存取這些文件。 值得注意的是,匿名FTP不適用於所有Internet主機,它只適用於那些提供了這項服務的主機。 |