《网站托管服务器安全运行策略实践_终端和服务器_基础信息化_5097》由会员分享,可在线阅读,更多相关《网站托管服务器安全运行策略实践_终端和服务器_基础信息化_5097(3页珍藏版)》请在金锄头文库上搜索。
1、网站托管服务器安全运行策略实践_终端和服务器_基础信息化1 1引言引言国家核技术工业应用工程技术研究中心(以下简称为“中心”)经国家科学 技术部批准组建,其主要任务是要建成核无损检测技术研发平台、核仪器仪表 技术研发平台和放射性废液处理技术研发平台,并在核无损检测、核仪器仪表、 辐射加工、核污染环境治理和核技术材料改性等五个领域建成国内一流的核技 术工业应用工程化开发能力和产业化发展基地,通过向工业行业提供产品、技 术服务和技术转让,带动相关工业领域的经济与技术发展。中心网站是中心进行自我宣传的主要窗口和与其他相关企业及单位进行交 流的重要平台。为保障中心网站的正常运行,关键是建立一个安全可靠
2、、高效 稳定的网站服务器。随着中心的日益发展,网站访问量与日俱增,一些网络攻 击者开始通过各种途径攻击网站服务器,对操作系统、Web 应用服务器都造成 了不小的危害。为了有效地对网站服务器进行安全加固,保证其安全持续稳定 运行,从服务器的运行环境安全、服务器本身安全及 Web 应用服务器安全三个 方面,对中心网站托管服务器进行了安全策略搭建。2 2运行环境安全运行环境安全为提高网站运行效率和响应速度,中心网站服务器托管于绵阳电信数据交 换中心机房(以下简称“IDC 机房”),并接入电信主干光纤网。IDC 机房的安全 直接关系到整个网络应用的可靠性和数据保密性,也是托管服务器安全运行的 基础保障
3、。机房安全涉及多个环节,如机房的扩容性,机房电磁干扰屏蔽,提 供 UPS 冗余供电系统,拒绝服务攻击,实行漏洞扫描,安装负载均衡系统等一 系列加强机房安全运行的措施及硬件设备。虽然应用了以上安全措施保障机房安全,但是,由于机房内放置了不同企 业及单位且不同应用的服务器,并且一个网段内也有不少服务器同时运行,若 其中一台服务器被攻击,则很有可能影响其他服务器的正常运行。因此,在 IDC 机房安全管理的基础上,还应从服务器的操作系统本身出发,查找安全漏 洞,分析并排除存在的安全隐患,不只依靠第三方软件对服务器进行安全加固, 根据隐患,对症下药,才能更高效地管理服务器,保障服务器安全。3 3服务器安
4、全加固策略服务器安全加固策略服务器安全是中心网站得以顺利运行的根本保证,而构建一个安全性能高, 不易受病毒感染、被木马攻击的服务器,是要对服务器进行多方面,多层次地 安全加固才能实现的目标。中心网站从 2006 年建成至今,已经运行了近三年的时间。在运行初期,由 于只安装了软件防火墙、杀毒软件,以及去掉系统默认分区共享目录等安全措 施,攻击者及病毒能快速发现系统漏洞并实现入侵。在中心网站服务器遭受攻 击最严重的时候,攻击者能够获取服务器登录用户账号,破译密码,甚至能够 新增管理员权限的用户账号,并以此账号修改服务器本身文件系统,在硬盘分 区上生成大量可执行文件,这种攻击的结果,即可以造成网站长
5、期无法正常启 动运行,服务器的网络时通时断,无法通过网络远程控制服务器,并且 lDC 机 房管理人员也无法实现服务器的重启,整个服务器陷入瘫痪状态。当遭受了这 样的惨痛经历之后,管理人员认识到,服务器要能在互联网这样一个环境复杂, 病毒繁多的空间中安全稳定运行下去,不能只单单在服务器的操作系统外壳加 上第三方的软件来加固整个服务器安全,必须从根本上进行安全防护,从操作 系统级别的安全开始进行安全加固,为操作系统本身填补漏洞,才能有效地减 低被攻击的危险。因此,服务器从最基本的磁盘分区格式开始重新配置了安全 策略,进行了一次彻底的安全检查和策略搭建。其中账户管理、注册表管理和 目录权限管理是对服
6、务器操作系统进行安全加固策略中最重要的三个方面。3 31 1 账户管理账户管理账户的安全管理是保证服务器安全的重要环节。攻击者能够成功实现对服 务器的攻击,首先必须突破的即是服务器的账号和密码,掌握了这个信息,攻 击者既可以在服务器上大肆篡改数据及文件,使得服务器变成攻击者的傀儡主 机,进而实现对网络其他主机及服务器的攻击。而且,由于中心服务器托管于 电信机房,管理人员只能通过网络远程访问的方式管理服务器,在通讯过程中, 更容易被攻击者捕获密码,因此,首先对服务器账号加强管理。3 32 2 注册表管理注册表管理根据服务器应用需求,管理人员可修改注册表的默认配置,如禁止 139 空 链接、修改数
7、据包的生存时间、防止 SYN 洪水攻击、防止 ICMP 重定向报文攻击 等,可进一步加强服务器的安全性能。根据以往中心网站服务器遭受病毒攻击 的情况,以下两点是管理人员应首要修改的注册表配置。其一,修改 3389 默认 端口。在远程管理服务器时,还应选用安全加密的方式连接,以增强安全性。 其二,设置 ARP 缓存老化时间。中心网站遭受过 ARP 病毒的攻击。此病毒会修 改交换机中正确的 ARP 地址映射表,当交换机进行寻址时,会因为找不到目标 地址而造成服务器网络连接中断。设置了 ARP 病毒老化时间后,交换机会在设 置时间期限后重新进行 ARP 寻址,这样保证服务器就算遭到此病毒攻击,也能
8、通过重新寻址而重新建立网络连接。这是 ARP 病毒攻击防护的必要措施。3 33 3 目录权限管理目录权限管理目录权限管理是保证服务器文件系统安全的重要手段。由于磁盘分区均采 用了 NTFS 格式,所以在对文件目录进行权限分配时,可设置只读、可写、可修 改、完全控制等权限,并且可为文件夹及其子目录分别配置不同的使用权限。 特别是用这样的管理方式对系统分区中的文件夹,如 SYSTEM32 文件夹及Documents and Settings 文件夹,进行权限的合理分配,可以有效地限制攻击 者篡改文件,实现文件系统的安全存储。4 4WebWeb 服务器安全设置服务器安全设置IIS 由于其方便性和易用
9、性是 Web 服务器中最受欢迎的软件之一,中心网 站也是通过 IIS 程序来运行的,虽然 IIS 在运行过程中也会出现安全漏洞,但 是通过安全配置,仍然能建立一个安全性较高的 Web 服务器。IIS 的安全性是 建立在操作系统安全性的基础上的,因为 IIS 用户也是操作系统的用户,而 IIS 目录的权限也依赖于操作系统的 NTFS 文件系统的权限控制。因此,在做 IIS 安全配置之前,必须首先保障操作系统的安全。5 5结语结语在搭建了以上各项安全策略配置后,国家核技术工业应用工程技术研究中 心网站已成功连续运行一年多时间,其中未出现攻击信息及病毒文件,说明以 上的安全策略确实保证了中心网站高效、安全、稳定地运行。综上所述,托管服务器的安全是一个系统工程,不是一个软件或一条配置 命令就能够实现和保障的,它涉及到 IDC 机房的安全配置,操作系统的安全性, Web 服务器的安全性等方方面面相关联的环节。只有从里至外,一层一层实施 安全加固,在填补好自身漏洞的基础上,利用先进的软件技术实现外部安全防 护,才能保障服务器在运行时能抵御外来攻击和病毒入侵。
