企業如何提高內網服務器安全

 

    提高內網服務器安全建議一：利用虛擬化技術來避免多個應用程序之間的干擾

 

    企業內部可能會有多個信息化應用。如辦公自動化系統、費用報銷系統等等。不過出于管理方便、節省項目成本等角度考慮，我們往往會將多個應用程序部署在一臺服務器上。不過在這種情況下，可能會出現一定的安全隱患。如OA辦公自動化系統如果受到病毒、木馬等攻擊的話，就有可能會波及到同一服務器上的費用報銷等其他的信息化管理系統。所以在這里就有一個安全與成本之間均衡的問題。

 

    筆者這里建議，大家可以通過虛擬化技術來避免多個應用程序之間的干擾。如可以通過使用虛擬CPU技術。在服務器CPU上劃分幾塊獨立的空間，分別給多個信息化系統使用。此時即使辦公自動化系統受到病毒的攻擊，導致CPU負荷過載，也不會影響到同一臺服務器上的其它信息化管理系統。這主要是因為虛擬化技術將某個應用程序可以使用的資源進行了限制。各個應用程序都只能夠在某個特定的范圍內使用服務器的資源。如此的話，就可以給同一臺服務器上的各個應用程序提供相對獨立的環境，以確保它們之間不會彼此干擾。

 

 

    企業內部服務器上采用的比較多的是微軟的操作系統。而Windows操作系統現在支持的文件格式有FAT32與NTFS兩種。筆者這里建議大家使用NTFS文件系統。因為相比FAT32文件系統而言，NTFS文件系統能夠提供額外的安全性能。如NTFS文件系統提供了磁盤配額的機制。通過這個功能可以給服務器上的各個應用程序進行磁盤配額的限制，從而防止某個應用程序占用了多大的磁盤空間而影響到其它應用程序的運行。

 

    再如NTFS文件系統還可以為任何一個磁盤分區單獨設置訪問權限。如此的話，用戶可以將敏感信息和服務器信息分別防止在不同的磁盤分區。如現在有一個文件服務器，那么通過NTFS文件系統，管理員就可以為不同的用戶設置不同的權限。

 

    如其它部門的用戶不能夠查看自己部門的文件，或者說只可以閱讀，而不能夠進行更改、刪除等操作。從而最大程度保障企業文件的安全。

 

    而且還可以將操作系統的文件與應用程序的數據文件做單獨的權限限制。如有些企業OA系統有OA系統管理員、操作系統有系統管理員。各個IT技術人員分工合作。在這種情況下，就需要為他們設置不同的權限。以防止各自的工作在無意中影響了其它系統的配置。此時采用NTFS系統也可以很好的保障各個系統的獨立性。

 

 

    默認情況下，服務器操作系統部署完成后，其會打開很多端口。如21端口、80端口等等。但是需要注意的是，在實際工作中這些端口有些根本用不著。如果將這些端口開著，就好像房子的門沒關，會造成比較大的安全隱患。為此提高服務器安全時，需要關閉不必要的端口與服務器。

 

    無論是Windows操作系統還是Linux操作系統，其實有很多服務與端口都用不著。如在Windows操作系統中要部署一個文件服務器的話，那么21號端口就沒有什么用處。安全人員需要對這些不必要的端口引起重視。不要認為系統默認打開的端口不會有安全隱患。這是一個非常嚴重的錯誤認識。那些看似沒什么用的端口，可以給攻擊者提供許多敏感的信息。如所選擇使用的操作系統類型、所部署的應用程序等等。舉一個簡單的例子。如果攻擊者知道服務器開啟了69號端口，那么就可以判斷這個服務器很有可能使用的是Linux等類似的操作系統。這主要是因為這個端口默認情況下是被TFTP服務所使用的。而這個服務默認情況下Windows操作系統時不會啟用的，而Linux等到作系統則會安裝這個服務并啟動。在攻擊服務器時，了解操作系統的信息是攻擊的第一步。而現在就是因為這個不起眼的端口信息，向攻擊者提供了操作系統的相關信息。