1.引言

　　国家核技术工业应用工程技术研究中心(以下简称为“中心”)经国家科学技术部批准组建，其主要任务是要建成核无损检测技术研发平台、核仪器仪表技术研发平台和放射性废液处理技术研发平台，并在核无损检测、核仪器仪表、辐射加工、核污染环境治理和核技术材料改性等五个领域建成国内一流的核技术工业应用工程化开发能力和产业化发展基地，通过向工业行业提供产品、技术服务和技术转让，带动相关工业领域的经济与技术发展。

　　中心网站是中心进行自我宣传的主要窗口和与其他相关企业及单位进行交流的重要平台。为保障中心网站的正常运行，关键是建立一个安全可靠、高效稳定的网站服务器。随着中心的日益发展，网站访问量与日俱增，一些网络攻击者开始通过各种途径攻击网站服务器，对操作系统、Web应用服务器都造成了不小的危害。为了有效地对网站服务器进行安全加固，保证其安全持续稳定运行，从服务器的运行环境安全、服务器本身安全及Web应用服务器安全三个方面，对中心网站托管服务器进行了安全策略搭建。

　　2.运行环境安全

　　为提高网站运行效率和响应速度，中心网站服务器托管于绵阳电信数据交换中心机房(以下简称“IDC机房”)，并接入电信主干光纤网。IDC机房的安全直接关系到整个网络应用的可靠性和数据保密性，也是托管服务器安全运行的基础保障。机房安全涉及多个环节，如机房的扩容性，机房电磁干扰屏蔽，提供UPS冗余供电系统，拒绝服务攻击，实行漏洞扫描，安装负载均衡系统等一系列加强机房安全运行的措施及硬件设备。

　　虽然应用了以上安全措施保障机房安全，但是，由于机房内放置了不同企业及单位且不同应用的服务器，并且一个网段内也有不少服务器同时运行，若其中一台服务器被攻击，则很有可能影响其他服务器的正常运行。因此，在IDC机房安全管理的基础上，还应从服务器的操作系统本身出发，查找安全漏洞，分析并排除存在的安全隐患，不只依靠第三方软件对服务器进行安全加固，根据隐患，对症下药，才能更高效地管理服务器，保障服务器安全。

　　3.服务器安全加固策略

　　服务器安全是中心网站得以顺利运行的根本保证，而构建一个安全性能高，不易受病毒感染、被木马攻击的服务器，是要对服务器进行多方面，多层次地安全加固才能实现的目标。

　　中心网站从2006年建成至今，已经运行了近三年的时间。在运行初期，由于只安装了软件防火墙、杀毒软件，以及去掉系统默认分区共享目录等安全措施，攻击者及病毒能快速发现系统漏洞并实现入侵。在中心网站服务器遭受攻击最严重的时候，攻击者能够获取服务器登录用户账号，破译密码，甚至能够新增管理员权限的用户账号，并以此账号修改服务器本身文件系统，在硬盘分区上生成大量可执行文件，这种攻击的结果，即可以造成网站长期无法正常启动运行，服务器的网络时通时断，无法通过网络远程控制服务器，并且lDC机房管理人员也无法实现服务器的重启，整个服务器陷入瘫痪状态。当遭受了这样的惨痛经历之后，管理人员认识到，服务器要能在互联网这样一个环境复杂，病毒繁多的空间中安全稳定运行下去，不能只单单在服务器的操作系统外壳加上第三方的软件来加固整个服务器安全，必须从根本上进行安全防护，从操作系统级别的安全开始进行安全加固，为操作系统本身填补漏洞，才能有效地减低被攻击的危险。因此，服务器从最基本的磁盘分区格式开始重新配置了安全策略，进行了一次彻底的安全检查和策略搭建。其中账户管理、注册表管理和目录权限管理是对服务器操作系统进行安全加固策略中最重要的三个方面。

　　3.1账户管理

　　账户的安全管理是保证服务器安全的重要环节。攻击者能够成功实现对服务器的攻击，首先必须突破的即是服务器的账号和密码，掌握了这个信息，攻击者既可以在服务器上大肆篡改数据及文件，使得服务器变成攻击者的傀儡主机，进而实现对网络其他主机及服务器的攻击。而且，由于中心服务器托管于电信机房，管理人员只能通过网络远程访问的方式管理服务器，在通讯过程中，更容易被攻击者捕获密码，因此，首先对服务器账号加强管理。

　　3.2注册表管理

　　根据服务器应用需求，管理人员可修改注册表的默认配置，如禁止139空链接、修改数据包的生存时间、防止SYN洪水攻击、防止ICMP重定向报文攻击等，可进一步加强服务器的安全性能。根据以往中心网站服务器遭受病毒攻击的情况，以下两点是管理人员应首要修改的注册表配置。其一，修改3389默认端口。在远程管理服务器时，还应选用安全加密的方式连接，以增强安全性。其二，设置ARP缓存老化时间。中心网站遭受过ARP病毒的攻击。此病毒会修改交换机中正确的ARP地址映射表，当交换机进行寻址时，会因为找不到目标地址而造成服务器网络连接中断。设置了ARP病毒老化时间后，交换机会在设置时间期限后重新进行ARP寻址，这样保证服务器就算遭到此病毒攻击，也能通过重新寻址而重新建立网络连接。这是ARP病毒攻击防护的必要措施。

　　3.3目录权限管理

　　目录权限管理是保证服务器文件系统安全的重要手段。由于磁盘分区均采用了NTFS格式，所以在对文件目录进行权限分配时，可设置只读、可写、可修改、完全控制等权限，并且可为文件夹及其子目录分别配置不同的使用权限。特别是用这样的管理方式对系统分区中的文件夹，如SYSTEM32文件夹及Documents and Settings文件夹，进行权限的合理分配，可以有效地限制攻击者篡改文件，实现文件系统的安全存储。

　　4.Web服务器安全设置

　　IIS由于其方便性和易用性是Web服务器中最受欢迎的软件之一，中心网站也是通过IIS程序来运行的，虽然IIS在运行过程中也会出现安全漏洞，但是通过安全配置，仍然能建立一个安全性较高的Web服务器。IIS的安全性是建立在操作系统安全性的基础上的，因为IIS用户也是操作系统的用户，而IIS目录的权限也依赖于操作系统的NTFS文件系统的权限控制。因此，在做IIS安全配置之前，必须首先保障操作系统的安全。

　　5.结语

　　在搭建了以上各项安全策略配置后，国家核技术工业应用工程技术研究中心网站已成功连续运行一年多时间，其中未出现攻击信息及病毒文件，说明以上的安全策略确实保证了中心网站高效、安全、稳定地运行。

　　综上所述，托管服务器的安全是一个系统工程，不是一个软件或一条配置命令就能够实现和保障的，它涉及到IDC机房的安全配置，操作系统的安全性，Web服务器的安全性等方方面面相关联的环节。只有从里至外，一层一层实施安全加固，在填补好自身漏洞的基础上，利用先进的软件技术实现外部安全防护，才能保障服务器在运行时能抵御外来攻击和病毒入侵。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。