魏 奇

中移鐵通甘肅分公司，甘肅 蘭州 730030

淺談運(yùn)營商支撐服務(wù)器安全維護(hù)技巧

魏 奇*

中移鐵通甘肅分公司，甘肅 蘭州 730030

伴隨著網(wǎng)絡(luò)的發(fā)展，運(yùn)營商所提供的服務(wù)多種多樣，意味著運(yùn)營商支撐系統(tǒng)的服務(wù)器越來越多。網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，網(wǎng)絡(luò)信息資源的安全備受關(guān)注。網(wǎng)絡(luò)中的服務(wù)器可能會(huì)受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，所以，為了安全保證運(yùn)營商自身和用戶的安全，運(yùn)營商的服務(wù)器系統(tǒng)就需要具有保密性、可用性、完整性。維護(hù)人員可以借助一些手段來解決上述問題。

服務(wù)器；網(wǎng)絡(luò)；安全

一個(gè)通信服務(wù)運(yùn)營商，存在著龐大的支撐系統(tǒng)，而這些支撐系統(tǒng)中又存在著大量的服務(wù)器。支撐系統(tǒng)服務(wù)器中存儲(chǔ)著大量的系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)。這些數(shù)據(jù)的安全性和準(zhǔn)確性是不容有誤的。稍有閃失對(duì)運(yùn)營商和用戶都會(huì)造成嚴(yán)重，甚至無可挽回的損失。所以，日常工作中怎樣維護(hù)服務(wù)器，有什么樣的技巧可以讓服務(wù)器受到最大的保護(hù)，這是每一個(gè)服務(wù)器維護(hù)人員都在考慮的問題。

一般情況下服務(wù)器可能受到網(wǎng)絡(luò)病毒、拒絕服務(wù)攻擊和惡意入侵等惡意的攻擊行為，如果受到攻擊服務(wù)器資源將被大量的占用，服務(wù)器將不能正常工作，對(duì)用戶所提供的服務(wù)將會(huì)停止；服務(wù)器如果被惡意入侵成功，入侵者就可以進(jìn)行所想干的任何操作，這樣服務(wù)器將被破壞，重要信息將被竊取。

下面，就了解一下運(yùn)營商服務(wù)器維護(hù)方面都有哪些技巧。

一、安裝軟件防火墻、殺毒軟件

對(duì)于支撐系統(tǒng)的服務(wù)器的日常安全維護(hù)方面，在網(wǎng)絡(luò)接口端安裝硬件防火墻是一種最直接的方式，在系統(tǒng)服務(wù)器上安裝軟件防火墻和殺毒軟件是最簡(jiǎn)單、有效、并且常用的方法。維護(hù)人員通過軟硬件的部署和配置，就能夠有效的隔離服務(wù)器受到的一些攻擊和病毒，并且在發(fā)現(xiàn)之后對(duì)這些攻擊和病毒進(jìn)行查殺。

二、服務(wù)器的分級(jí)維護(hù)

運(yùn)營商的支撐系統(tǒng)服務(wù)器承擔(dān)者運(yùn)營工作的各項(xiàng)支撐，必然就會(huì)運(yùn)行著多種多樣的服務(wù)。這些服務(wù)有的來自操作系統(tǒng)自帶，而更多的是安裝在服務(wù)器上的各種應(yīng)用。服務(wù)器和應(yīng)用都有著各自不同的工號(hào)。個(gè)人員的工號(hào)權(quán)限必須分級(jí)設(shè)置。不同工作內(nèi)容的操作人員有著不同權(quán)限的工號(hào)，每個(gè)工號(hào)只有自己工作內(nèi)容的操作權(quán)限，而對(duì)于自己工作之外的內(nèi)容則不會(huì)涉及。在不同的時(shí)間也有著不同的權(quán)限范圍，有的操作人員只能在工作時(shí)間登陸系統(tǒng)，而有的特定人員又可以靈活的登錄策略。同時(shí)，定期檢查、維護(hù)各個(gè)系統(tǒng)工號(hào)操作權(quán)限的設(shè)置，包括定期維護(hù)與操作人員級(jí)別和相關(guān)的口令等。這樣也可以有效的避免一些來自工號(hào)盜用的威脅，大大提高服務(wù)器的運(yùn)行安全。

三、服務(wù)器系統(tǒng)及服務(wù)備份

運(yùn)營商的支撐系統(tǒng)服務(wù)器里存放著大量的企業(yè)信息和用戶信息，這些信息的丟失是運(yùn)營企業(yè)所不能接受的，可算作“重大事故”。所以作好服務(wù)器系統(tǒng)及服務(wù)的備份工作應(yīng)該是重中之重。我們做最壞的打算，即使服務(wù)器遭到攻擊損壞，也可以及時(shí)恢復(fù)，不影響企業(yè)運(yùn)營和服務(wù)用戶，或是將損失降到最低。雖然大家都不希望系統(tǒng)突然遭到破壞，但是做好準(zhǔn)備是必須的。常言道，“有備無患”。

四、定期查看服務(wù)器的日志

每臺(tái)服務(wù)器的日志都記錄了服務(wù)器工作的點(diǎn)點(diǎn)滴滴，包括服務(wù)器的登錄日志，服務(wù)器的運(yùn)行狀況，服務(wù)器上安裝軟件的運(yùn)行情況等等。通過對(duì)這些日志的定期查看和分析，服務(wù)器維護(hù)人員能夠及時(shí)發(fā)現(xiàn)日志中是否有異常情況。發(fā)現(xiàn)哪些訪問給服務(wù)器造成了何種威脅，服務(wù)器還存在什么樣的安全隱患等。日志查看分析之后，就可以對(duì)所發(fā)現(xiàn)的問題進(jìn)行整改，對(duì)服務(wù)器存在的威脅進(jìn)行預(yù)防，對(duì)服務(wù)器的各種安全指標(biāo)進(jìn)行優(yōu)化等。

五、編寫安全腳本

服務(wù)器中有許多腳本文件，維護(hù)開發(fā)人員會(huì)編寫很多的腳本來運(yùn)行各種應(yīng)用，所以不良的腳本也會(huì)對(duì)服務(wù)器進(jìn)行攻擊，主要針對(duì)和CGI程序。所以，在編寫這類腳本的時(shí)候，我們要按照正確可靠的參數(shù)進(jìn)行編寫。當(dāng)發(fā)現(xiàn)有異常的腳本時(shí)應(yīng)及時(shí)通知管理員。這也可以及時(shí)采取相應(yīng)的防御措施來防止攻擊行為的發(fā)生。

六、模擬攻擊者可能的攻擊

站在自己的角度、用固定的思維來看待問題，服務(wù)器的維護(hù)人員可能就會(huì)錯(cuò)過很多服務(wù)器的漏洞發(fā)現(xiàn)。若改變身份，從對(duì)方攻擊者的角度看待同一個(gè)問題，就會(huì)發(fā)現(xiàn)原來攻擊服務(wù)器還有各種各樣的方式，這樣就會(huì)有助于維護(hù)人員發(fā)現(xiàn)并修補(bǔ)漏洞，防患于未然。運(yùn)用黑客常用的工具對(duì)服務(wù)器進(jìn)行掃描，可能會(huì)發(fā)現(xiàn)哪些服務(wù)或者漏洞會(huì)被他人利用。例如SNMP服務(wù)，這個(gè)服務(wù)提供服務(wù)器系統(tǒng)的詳細(xì)信息，而這個(gè)服務(wù)默認(rèn)是自動(dòng)開啟的，只要掌握服務(wù)器的信息則可以通過此服務(wù)進(jìn)行攻擊。此問題日常不會(huì)被發(fā)現(xiàn)，黑客工具的掃描就會(huì)發(fā)現(xiàn)此問題。俗話說：“不識(shí)廬山真面目，只緣身在此山中”，因此，變換角度，我們也可以最大限度的來保證服務(wù)器的安全。

以上方法只是對(duì)支撐服務(wù)器在日常維護(hù)中的一些小的建議，肯定有著不足之處。希望對(duì)大家的服務(wù)器維護(hù)工作能夠起到一定的幫助作用，能夠是大家的服務(wù)器運(yùn)行的更加穩(wěn)定。

[1]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].清華大學(xué)出版社，2008.8.

[2]莫衛(wèi)東.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].機(jī)械工業(yè)出版社，2009.4.

魏奇(1979-)，男，漢族，甘肅蘭州人，中移鐵通甘肅分公司，研究方向：電子信息。

TP

A