一 引言

　　在企業信息系統中，服務器是信息系統的鶯要組成部分，眾多的關鍵應用都在服務器上運行，它以操作系統和硬件系統為基礎，擔負著對信息和數據存儲、傳輸、處理和發布的重要任務。例如在開灤信控中心共有服務器138臺，運行的系統有該集團內部網站、各個專業化公司網站、財務系統、物流系統、OA系統、設備系統、住房公積金、集團商務網站、電子郵局等。這些系統都是該集團重要的業務系統，保證業務系統安全穩定運行是信控中心廣大科技人員的重要責任，鑒于此，服務器安全問題就提到了議事口程上來。越來越多的病毒，心懷不軌的黑客都將服務器作為了他們的攻擊目標。下面介紹一下服務器常見的惡意行為：

　　(1)惡意的攻擊行為，比如拒絕服務攻擊，網絡病毒等。這樣的行為目的就是消耗服務器資源，進而影響服務器的正常運作，甚至造成服務器所在網絡的癱瘓；

　　(2)惡意的入侵行為，這種行為更是會導致服務器敏感信息泄露，入侵者可以為所欲為，肆意破壞服務器。

二 保證服務器系統安全的方法

　　(一)構建硬件安全防御體系 防火墻、入侵檢測系統、路由系統等是一套完善的安全模型需要的組件。防火墻在安全系統中扮演的是一個保安的角色，他可以在很大程度上保證來自網絡的非法訪問以及數據流量攻擊；入侵檢測系統扮演的是一個監視器的角色，監視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。目前我們的硬件安全防御系統是在互聯網出口部署了思科公司的防火墻，在防火墻中設置了過濾規則，防止非法入侵。

　　(二)服務器內網、外網隔離 服務器系統安全的實現，與網絡系統的安全策略緊密相關。該集團網絡系統分為內網和外網，采用防火墻隔離，內網、外網不能直接互相訪問。內網、外網之間設置非軍事區，所有內網、外網之問的訪問全部通過防火墻實現。基于以上原則，集團公司內部的網絡應用系統服務器應處于軍事區，以保證其安全。集團公司商務網站、電子郵局等服務器設置在非軍事區，以實現內網、外網的訪問。

　　(三)采用NTFS文件系統格式 通常采用的文件系統是FAT或者FAT32，NTFS是微軟Windows NT內核的系列操作系統支持的一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統罩可以為任何一個磁盤分區單獨設置訪問權限。把敏感信息和服務信息分別放在不同的磁盤分區。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區的訪問權限，還需要想方設法突破系統的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息。只要是Windows操作系統的服務器，在安裝系統時都是采用NTFS格式對分區進行格式化。

　　(四)做好系統備份和數據備份 做好服務器系統備份，一旦遭到破壞可以及時恢復。做好數據備份，每天采取本地備份和異地備份兩種方式，確保數據安全。對于服務器操作系統備份，在安裝完操作系統后，馬上利用ghost工具進行系統備份：對于數據備份，在內部網絡中部署專門的備份服務器，利用Veritas備份軟件進行數據備份。

　　(五)關閉服務 關掉不必要開的服務，做好本地管理和組管理。Windows系統默認的那些服務不用開的。比如：默認的共享遠程注冊表訪問，系統很多敏感的信息都是寫在注冊表里的，類似的這些服務需要全部關閉。

　　(六)關閉端口 一些默認的不必要端口，應該全部關閉，用到時再開啟，不用時立刻關閉。如windows 2000 server默認開啟的IIS服務就顯示本身的操作系統是windows 2000 server。69端口給侵入者的信息是你在用的操作系統人概就是linux系統或者unix系統。此外，開啟的端口更有可能成為黑客進入服務器的門戶，應該關閉不必要的端口。

　　(七)安裝軟件防火墻、正版殺毒軟件 安裝正版的殺毒軟件，及時升級殺毒軟件病毒庫。目前開灤構建了安全的病毒防御體系，部署了趨勢科技的產品，所有服務器目前都安裝了網絡版的趨勢殺毒軟件。

　　(八)下載安裝操作系統最新的安全漏洞補救程序 微軟在網站上會定期的發布系統安全漏洞補丁程序。要經常查看補丁程序，不定時的上網下載升級操作系統補丁程序，一定要按邏輯順序使用這些補丁程序。如果以錯誤的順序使用它們，結果可能導致一些文件的版本錯誤，系統也可能無法啟動。

　　(九)下載安裝數據庫補丁程序 數據庫系統有漏洞，也會給服務器帶來安全隱患。例如微軟數據庫SQL SERVER 2000，系統補丁必須打到SP3以上。

　　(十)服務器地址綁定 目前，在局域網絡中ARP病毒十分猖狂，嚴重時可使整個網絡全面癱瘓。arp病毒并不是某一種病毒的名稱，而是對利用arp協議的漏洞進行傳播的一類病毒的總稱。arp協議是TCP/IP協議組的一個協議，用于進行把網絡地址翻譯成物理地址(又稱MAC地址)。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。是一種入侵電腦的木馬病毒。我們的解決方案是，在交換機上做服務器的IP地址和MAC地址綁定。在網管服務器上安裝抓包工具，確定攻擊源，立刻斷網并對其全面殺毒，確認沒有問題后，方可接入網絡。

　　(十一)開啟服務器事件日志 嚴格意義上說，開啟日志服務對阻止黑客的入侵沒有直接作用，可是能通過開啟日志服務記錄到黑客的行蹤，通過記錄的行蹤分析入侵黑客在系統上到底做過什么，給系統造成了哪些破壞及隱患，黑客到底在系統上留了什么樣的后門，服務器上還存在什么樣的安全漏洞等。

三 結語

　　通過采取以上的措施，服務器安全性有了很大的提升，但一些不法攻擊者會不斷尋找新的方法來攻擊服務器系統，所以一定要及時跟蹤服務器安全方面的信息，并不斷提高服務器管理人員的技術水平，確保企業的應用服務器有一個安全、穩定、高效的運行環境。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業服務器系統安全研究與應用

本文網址：http://www.guhuozai8.cn/html/support/1112153857.html