开展＂企业服务器的安全有奖讨论活动＂活动快节结束 - 服务器硬件

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 服务器硬件 » 开展＂企业服务器的安全有奖讨论活动＂活动快节结束 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

本主题由 monkeyking09 于 2007-10-25 10:51 解除置顶

monkeyking09 性别:男

主版主

帖子 728
精华 3
无忧币 7656
积分 1150
阅读权限 150
来自 (保密)

注册日期 2006-11-10

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-6 10:43　　标题：开展＂企业服务器的安全有奖讨论活动＂活动快节结束
＜上一帖 | 下一帖＞

近年来，中小企业逐步成为市场主角，中小企业信息化进程也逐渐成为了业界关注焦点。
如今，数据作为信息化潮流真正的主题，已经被众企业用户视为正常运作的基础。对于信息化程度较高的中小企业而言，那么做为企业的数据服务器一旦遭遇数据灾难，那么整体工作将陷入瘫痪，带来难以估量的损失。因此，中小企业对于数据的安全性更加重视。

特别考虑到中小企业用户的数据安全需求，免费内建RAID数据保护功能，为中小企业数据安全"保价护航"。
因此我们都应该从那些方面着手呢?各位无论是在那一个领域那一个行业.都可以各抒己见，为我们的企业打造一个安全的服务器运行环境．．

比如都从那方面着手；举例说明：
１、硬件
２、软件
３、管理
４、用户环境
５、安全因素分析
６、人为破坏
７、不可预见因素
８．．．．．

大家可以就自己的观点给予详细．．．．

　　最后给予积极参与并有代表意见的用户奖励＂无忧币＂哟．欢迎勇跃参与．．．

[ 本帖最后由 monkeyking09 于 2007-10-20 16:21 编辑 ]

找一湖碧水，钓几尾闲鱼，忆人生得失，心游凡尘外，温一壶好酒，交一群朋友。临渊羡鱼，不如退而结网

2007-10-6 10:43

1楼

[ 顶部 ]

boyi55

副版主

帖子 904
精华 1
无忧币 3700
积分 953
阅读权限 140
来自 (保密)

注册日期 2006-1-12

最后登录 2008-9-5

在线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-6 11:06　

尽可能少的人能物理接触服务器.
只打开有用端口
软件嘛,能不安的就尽量不安.
记录用户登录申核成功失败

春江潮水连海平/海上明月共潮生/滟滟随波千万里/何处春江无月明！

2007-10-6 11:06

2楼

[ 顶部 ]

danial

技术员

帖子 253
精华 0
无忧币 68
积分 316
阅读权限 30
来自 (保密)

注册日期 2007-3-15

最后登录 2008-7-30

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-6 11:11　

我们公司主要从备份着手.

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-10-6 11:11

3楼

[ 顶部 ]

yibi
技术员

帖子 311
精华 1
无忧币 24577
积分 763
阅读权限 30
来自 (保密)

注册日期 2006-3-31

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-6 11:32　

看看大家能不能分别不同的系统来分析一下安全性能
比如
win 2000 win2003
winnt
linux
unix
等

2007-10-6 11:32

4楼

[ 顶部 ]

yibi
技术员

帖子 311
精华 1
无忧币 24577
积分 763
阅读权限 30
来自 (保密)

注册日期 2006-3-31

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-6 11:38　

一、Windows Server2003的安装　　1、安装系统最少两需要个分区，分区格式都采用NTFS格式
　　2、在断开网络的情况安装好2003系统
　　3、安装IIS，仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：
　　Internet 信息服务管理器；
　　公用文件；
　　后台智能传输服务 (BITS) 服务器扩展；
　　万维网服务。
　　如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions
　　4、安装MSSQL及其它所需要的软件然后进行Update。
　　5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接
二、设置和管理账户
　　1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。
　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码
　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。
　　4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。
　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。
　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。
三、网络服务安全管理
　　1、禁止C$、D$、ADMIN$一类的缺省共享
　　打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0
　　2、解除NetBios与TCP/IP协议的绑定
　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
　　3、关闭不需要的服务，以下为建议选项
　　Computer Browser:维护网络计算机更新，禁用
　　Distributed File System: 局域网管理共享文件，不需要禁用
　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用
　　Error reporting service：禁止发送错误报告
　　Microsoft Serch：提供快速的单词搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用
　　PrintSpooler：如果没有打印机可禁用
　　Remote Registry：禁止远程修改注册表
　　Remote Desktop Help Session Manager：禁止远程协助
　　四、打开相应的审核策略
　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。
　　推荐的要审核的项目是：
　　登录事件成功失败
　　账户登录事件成功失败
　　系统事件成功失败
　　策略更改成功失败
　　对象访问失败
　　目录服务访问失败
　　特权使用失败
五、其它安全相关设置
　　1、隐藏重要文件/目录
　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0
　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。
　　3、防止SYN洪水攻击
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为SynAttackProtect，值为2
　　4. 禁止响应ICMP路由通告报文
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface
　　新建DWORD值，名为PerformRouterDiscovery 值为0
　　5. 防止ICMP重定向报文的攻击
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　将EnableICMPRedirects 值设为0
　　6. 不支持IGMP协议
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为IGMPLevel 值为0
　　7、禁用DCOM：
　　运行中输入 Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。
　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。
　　清除“在这台计算机上启用分布式 COM”复选框。
　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置 IIS 服务：
　　1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。
　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。
　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　4、删除不必要的IIS扩展名映射。
　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
　　5、更改IIS日志的路径
　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。
　　7、使用UrlScan
　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
　　如果没有特殊的要求采用UrlScan默认配置就可以了。
　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
　　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。
　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1
　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset
　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。
　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
　　下载地址：VB.NET爱好者
七、配置Sql服务器
　　1、System Administrators 角色最好不要超过两个
　　2、如果是在本机最好将身份验证配置为Win登陆
　　3、不要使用Sa账户，为其配置一个超级复杂的密码
　　4、删除以下的扩展存储过程格式为：
　　use master
　　sp_dropextendedproc '扩展存储过程名'
　　xp_cmdshell：是进入操作系统的最佳捷径，删除
　　访问注册表的存储过程，删除
　　
Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues
　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring
　　OLE自动存储过程，不需要删除
　　Sp_OACreate　　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
　　5、隐藏 SQL Server、更改默认的1433端口
　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。
八、如果只做服务器，不进行其它操作，使用IPSec
　　1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。
　　2、再在管理IP筛选器表选项下点击
　　添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
　　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.
九、建议
　　如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。
　　十、运行服务器记录当前的程序和开放的端口
　　1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。
　　2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。

2007-10-6 11:38

5楼

[ 顶部 ]

monkeyking09 性别:男

主版主

帖子 728
精华 3
无忧币 7656
积分 1150
阅读权限 150
来自 (保密)

注册日期 2006-11-10

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-6 11:43　

QUOTE:

原帖由 yibi 于 2007-10-6 11:38 发表
一、Windows Server2003的安装　　1、安装系统最少两需要个分区，分区格式都采用NTFS格式
　　2、在断开网络的情况安装好2003系统
　　3、安装IIS，仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。 ...

已奖励30无忧币....请注意查收

[ 本帖最后由 monkeyking09 于 2007-10-6 11:45 编辑 ]

找一湖碧水，钓几尾闲鱼，忆人生得失，心游凡尘外，温一壶好酒，交一群朋友。临渊羡鱼，不如退而结网

2007-10-6 11:43

6楼

[ 顶部 ]

yibi
技术员

帖子 311
精华 1
无忧币 24577
积分 763
阅读权限 30
来自 (保密)

注册日期 2006-3-31

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-6 11:44　

我是用组管理的，然后我是限制访问服务器的时间

net user John 123 / times:M-F,8:00-22:00;Sa-Su,19:00-21:00

2007-10-6 11:44

7楼

[ 顶部 ]

yibi
技术员

帖子 311
精华 1
无忧币 24577
积分 763
阅读权限 30
来自 (保密)

注册日期 2006-3-31

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-6 11:51　

服务器备份：
   我的备份方式

   按周备份方式，
   每周一至周六按增量备份
   每周一全面备份一次
   每月全面备份一次
   每季度全面备份一次，每季度在异地备份一次

2007-10-6 11:51

8楼

[ 顶部 ]

kirin
主版主

帖子 2121
精华 0
无忧币 5649
积分 2427
阅读权限 150

注册日期 2006-9-27

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-7 07:26　

向各位学习。看了很有帮助。

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-10-7 07:26

9楼

[ 顶部 ]

kirin
主版主

帖子 2121
精华 0
无忧币 5649
积分 2427
阅读权限 150

注册日期 2006-9-27

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-7 10:26　

第一楼的字体太小了

1. 关闭 DirectDraw

　　这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。　　　

　　2.关闭默认共享

　　win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

　　默认共享目录路径和功能　　　

　　C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

　　和Backup Operators组成员才可连接，Win2000 Server版本

　　Server Operatros组也可以连接到这些共享目录

　　ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

　　指向Win2000的安装路径，比如 c:\winnt 　　　

　　FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

　　IPC$ 空连接。IPC$共享提供了登录到系统的能力。

　　NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

　　理登陆域请求时用到

　　PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机　　

　　解决办法：

　　打开注册表编辑器。REGEDIT

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

　　在右边建立一个名为AutoShareServer的DWORD键。值为0
　　

　　3.禁止dump file的产生

　　dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。要用的时候，可以再重新打开它。

　　4.使用文件加密系统EFS

　　Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息可以查看

　　http://www.microsoft.com/windows200...ity/encrypt.asp 　　

　　5.加密temp文件夹

　　一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-10-7 10:26

10楼

[ 顶部 ]

monkeyking09 性别:男

主版主

帖子 728
精华 3
无忧币 7656
积分 1150
阅读权限 150
来自 (保密)

注册日期 2006-11-10

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-7 10:40　

QUOTE:

原帖由 kirin 于 2007-10-7 10:26 发表
第一楼的字体太小了

...

为什么我在电脑看着很合适的啊...我记得昨天也有人给我提过的.我改改了..怎么还是这样?

我刚又加大了字号,你再看一下子.行不行的吧!!!

找一湖碧水，钓几尾闲鱼，忆人生得失，心游凡尘外，温一壶好酒，交一群朋友。临渊羡鱼，不如退而结网

2007-10-7 10:40

11楼

[ 顶部 ]

kirin
主版主

帖子 2121
精华 0
无忧币 5649
积分 2427
阅读权限 150

注册日期 2006-9-27

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-7 16:47　

终于看清除了.呵呵.

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-10-7 16:47

12楼

[ 顶部 ]

monkeyking09 性别:男

主版主

帖子 728
精华 3
无忧币 7656
积分 1150
阅读权限 150
来自 (保密)

注册日期 2006-11-10

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-8 12:44　

QUOTE:

原帖由 kirin 于 2007-10-7 10:26 发表

给予无忧币奖励..请注意查收.....

找一湖碧水，钓几尾闲鱼，忆人生得失，心游凡尘外，温一壶好酒，交一群朋友。临渊羡鱼，不如退而结网

2007-10-8 12:44

13楼

[ 顶部 ]

monkeyking09 性别:男

主版主

帖子 728
精华 3
无忧币 7656
积分 1150
阅读权限 150
来自 (保密)

注册日期 2006-11-10

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-9 10:15　

第一步，增强网络整体安全
服务器是一台，但谈论到服务器的安全性时就不能单一而论了。网络安全并不是一台计算机或几台计算机的安全问题，他是一个整体安全性的代名词。只对单机进行安全防护不能称之为网络安全，这也是很多网络管理员容易走进的误区。他们经常只对服务器单机打补丁，安装防火墙，升级操作系统但忽视了网络中的其他计算机。要知道很多黑客和病毒并不是直接攻击服务器的，而是通过入侵其他计算机并做为跳板来实现的，因为很多网络都是通过域的方式进行管理的，一旦某一台计算机被入侵而服务器与之又有信任关系的话那么从这台计算机攻击服务器将会变得非常简单。所以我们要保证服务器的安全要通过加强这个网络安全来实现的。
安全体系如何构建呢？这需要从两方面入手。
（1）安全管理
安全管理是指从管理角度出发，利用规章制度等文字性的材料规范，约束各种针对计算机网络的行为，例如禁止员工随便下载非法程序，禁止网络管理员以外的人员进入中心机房，完善网络管理员的值班制度等等。
（2）安全技术
任何网络的安全都离不开强大的技术支持，安全技术是从技术角度出发，利用各种软件和硬件，各种技巧和方法来管理整个计算机网络，杀毒软件与防火墙双管齐下力保网络的安全。

第二步：加强服务器本地文件格式安全级别
大家都知道目前服务器都采用的是windows2000以上版本，所以在加强安全级别上需要利用windows2000server提供的用户权限功能，根据每个用户的特点单独地为其制定访问服务器的特殊使用权限，从而避免因使用统一的访问服务器权限而带来的安全隐患。
为了确保服务器的安全首先要在本地文件格式上做文章，即将FAT格式转换为安全系数更高的NTFS文件格式。毕竟对于黑客来说存储在FAT格式的磁盘分区里的数据要比存储在NTFS格式的磁盘分区的数据更容易访问，也更容易破坏，另外目前所有安全软件及加密软件也都是针对NTFS格式来说的，对FAT格式的保护非常薄弱。
另外最好使用专门的网络检测软件对整个网络的运行情况进行7*24小时的不间断监视，尤其要关注“非法入侵”和“对服务器的操作”两方面的报告，笔者做在的公司就使用IISLOCK来监视网页服务器的正常运行和MRTG来检测整个网络的流量。
第三步：定期备份数据
数据的保护是一个非常重要的问题，也许服务器的系统没有崩溃但里面存储的数据发生了丢失，这种情况所造成的损失会更大，特别对于数据库服务器来说也许存储的是几年的珍贵数据。如何有效的保护数据呢？备份是唯一的选择。以往对于数据的备份都是采取在服务器上另外一个区建立备份文件夹甚至是建立一个备份区。不过这样备份方法有一个非常大的弊端，那就是一旦服务器的硬盘出现问题所有分区的数据都将丢失，从而备份没有了保证。按照“不要把所有鸡蛋放到同一个篮子”的理论我们应该使用单独的专门设备保存这些珍贵数据。

可以采用的备份方式网络存储设备NAS来保存的，将单独的NAS设备连接到网络中，定期通过工具将珍贵数据写入到NAS的硬盘中，由于NAS设备自身使用了RAID方式进行数据的冗余，所以数据得到了最好的保证。
但是数据备份也存在巨大的安全漏洞，因为备份好的数据也有可能被盗窃，所以在备份时应该对备份介质进行有效的密码保护，必要时还需要使用加密软件对这些数据进行加密，这样即使数据被盗也不会出现数据泄露的问题。
第四步：员工机的防护不容忽视
上面我们也提到过服务器的安全不光局限在服务器本身，整个网络都需要加强安全性，因此员工机的防护也是不容忽视的，很多网络故障都是由一台感染蠕虫病毒的计算机所引起的。因此在员工机上做好防病毒防黑客的工作也是必要的。不过笔者所在的公司采用的是域的方式进行管理，将用户的配置文件都保存在域服务器上，这样能够最大限度的降低员工机染毒的概率，将杀毒工作放在服务器上执行。

找一湖碧水，钓几尾闲鱼，忆人生得失，心游凡尘外，温一壶好酒，交一群朋友。临渊羡鱼，不如退而结网

2007-10-9 10:15

14楼

[ 顶部 ]

linfj

副版主

帖子 1878
精华 0
无忧币 4636
积分 2334
阅读权限 140
来自 (保密)

注册日期 2007-2-14

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-9 10:16　

从管理制度、备份入手，写完整维护日志
还有就是2楼的尽可能少的人能物理接触服务器

微软最有价值专家（MVP）申请 <2008-2009年度>

2007-10-9 10:16

15楼

[ 顶部 ]

wjadm

助理工程师

帖子 1064
精华 4
无忧币 2387
积分 1511
阅读权限 40
来自 (保密)

注册日期 2007-7-11

最后登录 2008-8-26

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-9 11:40　

具体情况具体分析吗?没有绝对的安全,也没有绝对的不安全.那就看具体的情况了.

改变一生的五句话

2007-10-9 11:40

16楼

[ 顶部 ]

monkeyking09 性别:男

主版主

帖子 728
精华 3
无忧币 7656
积分 1150
阅读权限 150
来自 (保密)

注册日期 2006-11-10

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-9 12:38　

QUOTE:

原帖由 wjadm 于 2007-10-9 11:40 发表
具体情况具体分析吗?没有绝对的安全,也没有绝对的不安全.那就看具体的情况了.

安全没有绝对.　但是得提出预防的办法与制度．．．如果连最基本的条件、管理手段都不提供．何谈安全？

[ 本帖最后由 monkeyking09 于 2007-10-10 15:02 编辑 ]

找一湖碧水，钓几尾闲鱼，忆人生得失，心游凡尘外，温一壶好酒，交一群朋友。临渊羡鱼，不如退而结网

2007-10-9 12:38

17楼

[ 顶部 ]

kikill
新新人类

帖子 48
精华 0
无忧币 32
积分 56
阅读权限 20

注册日期 2007-9-11

最后登录 2007-10-26

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-9 15:45　

谈到安全，俺也来参和一下。俺和朋友筹备期货公司，安全很重要。但俺只是刚入门的菜鸟，感觉安全问题是一个很复杂的问题。结合期货公司的安全要求，俺在组建网络的时候是这样考虑的（可能很粗泛，因为公司的网络工程还没有进入到实际阶段，目前仍在选型、组网阶段）：

首先是硬件防护方面：防火墙，病毒过滤，网络监控机，一个都不能少。

其次，软件防护方面：与安全厂商进行较深入合作，要求提供12-24小时上门服务，每半年进行一次各内部电脑检查，坚决打击“内鬼”，防止千里之堤溃于蚁穴。

再次，灾难备份方面：磁盘阵列中专门划备备份专区，实时备份，保留一日或一周的数据；磁带备份，每日增量备份一次，每周完全备份，一月单独备份保留一次，每两月进行异地备份。

最后，设备管理方面：将服务器群进行分类，指定责任人，大致分为2个集群，对外交易服务集群，对内对交易所集群，由总工及副手负责。集群再分组，由技术人员对组负责，日常工作中技术人员统筹合作，但最后，谁的服务器组出问题还是由谁负责，并追究其上层领导责任。

俺现在只是在筹备，还没有完全进入角色，说的有什么不对的地方，希望各位DX多多指正，板砖尽管拍过来。还有什么可以加强的地方，也希望各位DX多多交流。

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-10-9 15:45

18楼

[ 顶部 ]

blacklucifer 性别:男

新新人类

帖子 113
精华 0
无忧币 335
积分 113
阅读权限 20

注册日期 2007-8-22

最后登录 2008-7-15

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-9 18:10　