1、机房设备风险管控服务器维护及安全:关闭 无用的端口 :网络连接都是通过开放的应用端口来实现的。尽可能少地开放端口,就会大大减少了攻击者成功的机会。关闭掉不会用到的服 务。 telnet 使用更为 安全的 ssh 来代替。下载端口扫描程序扫描系统,如果发现有未知的开放端口,马上找到正使用它的 进程,从而判断是否关闭。Windows 主机可采用定义安全策略的方法关 闭隐患端口;也可采用筛选 tcp 端口添加允许的端口,其余端口就被自动 排除。删除不用的软件包将不需要的服务一律去掉,如果服 务器运行了很多的服务 。但有 许多服务是不需要的,很容易引起安全风险;同时可以腾出空间运行必要的服务,既节省资
2、源又能保证服务器安全。不设 置缺省路由在服务器中,应该严格禁止设 置缺省路由,建 议为每一个子网或网段 设置一个路由,否则其它机器就可能通过一定方式访问该服务器而造成安全隐患。口令管理 服务器登陆口令的长度一般不少于 8 个字符,口令的 组成 应以无规则的大小写字母、数字和符号相结合,严格避免用英 语单词或词组等设置口令,定期更换。Windows 主机可以通过组策略中的密 码策略强制使用强密码并要求定期修改,还需要为 administrator 账号改名。分区管理 潜在的攻击首先就会尝试缓冲区溢出。以 缓冲区溢出为类 型的安全漏洞是最为常见的一种形式。更为严重的是,缓冲区溢出漏洞占了远程网络攻
3、 击的绝大多数,这种攻击可以轻易使得一个匿名的 Internet 用 户有机会获得一台主机的部分或全部的控制权。 Windows 主机分区格式采用 ntfs 文件格式,对不同的文件夹设置不同的权限。为防止缓冲区溢出类型的网络攻击,安装相 应的溢出漏洞补丁;日志文件放在非系 统分区上。防范网 络嗅探: 嗅探器能够造成很大的安全危害,主要是因为它们不容易被 发现。可使用安全的拓扑 结构、会话加密、使用静态的 ARP 地址来防范。完整的日志管理 日志文件记录着系统运行情况,攻 击者往往在攻击时修改日志文件,来隐藏踪迹;因此需要对日志文件及目录设置严格的访问权限,禁止其他用户的读取和写入权限。Wind
4、ows 主机开启审核策略,对账户管理、登录事件、对象访问、策略更改、特权使用、系统事件、目 录服务访问、 账户登录事件的成功 失败进行审核,产生日志文件,同时只有系统管理员对日志文件有 访问权限。使用安全工具软件:Windows 主机可部署防病毒软 件,安装微软基线安全分析器 MBSA 扫描服务器操作系统漏洞,及时下载 server pack 和漏洞补丁。部署主机 IDS(入侵检测系统);如免费的轻量级网络入侵检测系统 snort,网络设备安全交换 机的安全 启用 VLAN 技术:在交换机的端口上定义 VLAN ,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网 络可以支持多个 V
5、LAN。VLAN 通过建立网络防火墙使不必要的数据流量减至最少,隔离各个 VLAN 间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。 这样一来有效的实现了数据的保密工作,而且配置起来并不麻烦,管理员可以逻辑上重新配置网 络,迅速、简单、有效地平衡负载流量,增加、删除和修改用户,而不必从物理上调 整网络配置。路由器的安全: a 堵住安全漏洞 限制系统物理访问是确保路由器安全的最有效方法,将控制台和 终端会话配置成在较短闲置时间后自动退出系统。避免将 调制解调器连接至路由器的 辅助端口也很重要。一旦限制了路由器的物理访问,则一定要确保路由器的安全 补丁是最新的。 b 避免身份危机 入侵者常常利用弱口令或默认口令进行攻击。加 长口令、 选 用 30 到 60 天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的 IT 员工辞 职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能。
