服務(wù)器如何保護(hù)數(shù)據(jù)安全

大數(shù)據(jù)已經(jīng)滲透到每一個行業(yè)和業(yè)務(wù)職能領(lǐng)域，并逐漸成為重要的生產(chǎn)因素，如何保護(hù)數(shù)據(jù)安全呢?

成都創(chuàng)新互聯(lián)公司專注于金昌網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供金昌營銷型網(wǎng)站建設(shè)，金昌網(wǎng)站制作、金昌網(wǎng)頁設(shè)計、金昌網(wǎng)站官網(wǎng)定制、小程序設(shè)計服務(wù)，打造金昌網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供金昌網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

第一種武器：透明加密軟件

這里指的加密軟件，不是網(wǎng)絡(luò)上可以隨意下載的那種免費的個人級數(shù)據(jù)安全加密軟件。我們通常可以在各種軟件下載網(wǎng)站，下載諸如文件夾加密超級大師、加密王之類的加密軟件，這些軟件只是“偽加密”，很容易被菜鳥級的計算機(jī)用戶破解，而且經(jīng)常發(fā)生文件被破壞無法恢復(fù)，非常不安全。

企業(yè)用戶里的研發(fā)部門、設(shè)計部門等核心部門，每天產(chǎn)生大量的源代碼、平面設(shè)計圖、電路設(shè)計圖、3D圖、或者是音頻視頻文件，這些文件需要在產(chǎn)生、使用、存儲和流轉(zhuǎn)過程中進(jìn)行加密處理。這就需要使用企業(yè)級“透明加密軟件”。這種軟件在國內(nèi)已經(jīng)相當(dāng)成熟，以Smartsec軟件等為代表。

Smartsec是針對內(nèi)部信息泄密，對數(shù)據(jù)進(jìn)行強(qiáng)制加密/解密的軟件產(chǎn)品。該系統(tǒng)在不改變用戶使用習(xí)慣、計算機(jī)文件格式和應(yīng)用程序的情況下，采取“驅(qū)動級透明動態(tài)加解密技術(shù)”，對指定類型的文件進(jìn)行實時、強(qiáng)制、透明的加解密。即在正常使用時，計算機(jī)內(nèi)存中的文件是以受保護(hù)的明文形式存放，但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)。如果沒有合法的使用身份、訪問權(quán)限、正確的安全通道，所有加密文件都是以密文狀態(tài)保存。所有通過非法途徑獲得的數(shù)據(jù)，都以亂碼文件形式表現(xiàn)，保護(hù)數(shù)據(jù)安全。

第二種武器：文檔權(quán)限管理軟件

對于個人級的用戶，可以利用Windows Rights Management Services(權(quán)限管理服務(wù)，簡稱 RMS)，以及Office版本中的信息權(quán)限管理(Information Rights Management，IRM)來防止用戶利用轉(zhuǎn)發(fā)、復(fù)制等手段濫用你發(fā)給他們的電子郵件消息和Office文檔(主要是Word、 Excel、 PowerPoint)。國外企業(yè)通常所用的DRM(Data Rights Management)手段大抵如此。對企業(yè)級的用戶來說，這種權(quán)限管理是相當(dāng)業(yè)余的，而且最大的問題是，這種權(quán)限管理是沒有對數(shù)據(jù)本身進(jìn)行高強(qiáng)度的加密。采用這樣的權(quán)限管理，做不到真正細(xì)粒度的權(quán)限劃分，是一種非常粗放的管理手段，數(shù)據(jù)安全難以得到保護(hù)。

對企業(yè)級用戶來說，對文檔的權(quán)限管理需要采用專業(yè)的權(quán)限管理系統(tǒng)。以億賽通文檔權(quán)限管理系統(tǒng)為例，這是針對企業(yè)用戶可控、授權(quán)的電子文檔安全共享管理系統(tǒng)。該系統(tǒng)采用“驅(qū)動級透明動態(tài)加解密技術(shù)”和實時權(quán)限回收技術(shù)，對通用類型的電子文檔進(jìn)行加密保護(hù)，且能對加密文檔進(jìn)行細(xì)分化的權(quán)限設(shè)置，確保機(jī)密信息在授權(quán)的應(yīng)用環(huán)境中、指定時間內(nèi)、進(jìn)行指定操作，不同使用者對“同一文檔”擁有“不同權(quán)限”。 通過對文檔內(nèi)容級的安全保護(hù)，實現(xiàn)機(jī)密信息分密級且分權(quán)限的內(nèi)部安全共享機(jī)制。

第三種武器：文檔外發(fā)管理系統(tǒng)

對那些經(jīng)常需要把文檔發(fā)送給合作伙伴或者是出差人員的企業(yè)來說，如果把文檔發(fā)給外部單位之后，就放任不管，必然有造成重大機(jī)密泄露的風(fēng)險。為了防范文檔外發(fā)之后造成泄密的風(fēng)險，采用文檔外發(fā)管理系統(tǒng)是目前最有效的數(shù)據(jù)安全。

目前這種文檔外發(fā)管理軟件產(chǎn)品比較多。億賽通文檔外發(fā)管理系統(tǒng)是比較出色的一種。億賽通文檔外發(fā)管理系統(tǒng)是針對客戶的重要信息或核心資料外發(fā)安全需求設(shè)計的一款外發(fā)安全管理解決方案。當(dāng)客戶要將重要文檔外發(fā)給客戶的出差人員、合作伙伴或客戶時，應(yīng)用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當(dāng)外發(fā)文件打開時，需通過用戶身份認(rèn)證，方可閱讀文件。同時，外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時間等細(xì)粒度權(quán)限，從而有效防止了客戶重要信息被非法擴(kuò)散。

對網(wǎng)絡(luò)安全的維護(hù)的方法有哪些？

包括：(1)網(wǎng)絡(luò)實體安全：如計算機(jī)的物理條件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn),計算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等.(2)軟件安全：如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入,系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等·(3)數(shù)據(jù)安全：如保護(hù)網(wǎng)絡(luò)信息的數(shù)據(jù)安全,不被非法存取,保護(hù)其完整、一致等；(4)網(wǎng)絡(luò)安全管理：如運行時突發(fā)事件的安全處理等,包括采取計算機(jī)安全技術(shù),建立安全管理制度,開展安全審計,進(jìn)行風(fēng)險分析等內(nèi)容.

1使用網(wǎng)絡(luò)防火墻技術(shù)

這是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài).防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用.它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪,用來保護(hù)內(nèi)部網(wǎng)絡(luò).

2訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問.一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來實現(xiàn).目前進(jìn)行網(wǎng)絡(luò)訪問控制的方法主要有：MAc地址過濾、VLAN隔離、IEEE802．Q身份驗證、基于iP地址的訪問控制列表和防火墻控制等.

3身份認(rèn)證

身份認(rèn)證是任何一個安全的計算機(jī)所必需的組成部分.身份認(rèn)證必須做到準(zhǔn)確無誤地將對方辨認(rèn)出來,同時還應(yīng)該提供雙向的．認(rèn)證,即互相證明自己的身份,網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證比較復(fù)雜,因為驗證身份的雙方都是通過網(wǎng)絡(luò)而不是直接接觸的,傳統(tǒng)的指紋等手段已無法使用,同時大量的黑客隨時隨地都可能嘗試向網(wǎng)絡(luò)滲透,截獲合法用戶口令并冒名頂替,以合法身份入網(wǎng),所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法,以及采用高科技手段的密碼技術(shù)進(jìn)行身份驗證.

4反病毒軟件

即使有防火墻、身份認(rèn)證和加密措施,人們?nèi)該?dān)心遭到病毒和黑客的攻擊,隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展,攜帶病毒和黑客程序的數(shù)據(jù)包和電子郵件越來越多,打開或運行這些文件,計算機(jī)就有可能感染病毒.假如安裝有反病毒軟件,就可以預(yù)防、檢測一些病毒和黑客程序.

5安全設(shè)置瀏覽器

設(shè)置安全級別,當(dāng)心Cookies.Cookie是在瀏覽過程中被有些網(wǎng)站往硬盤寫入的一些數(shù)據(jù),它們記錄下用戶的特定信息,當(dāng)用戶回到這個頁面上時,這些信息(稱作狀態(tài)信息)就可以被重新利用.但是關(guān)注Cookie的原因不是因為可以重新利用這些信息,而是關(guān)心這些被重新利用信息的來源：硬盤.所以要格外小心,或者干脆關(guān)掉這個功能.以IE5為例,步驟是：選擇.工具”菜單下的“Internet選項”,選擇其中的“安全”標(biāo)簽,就可以為不同區(qū)域的Web內(nèi)容指定安全設(shè)置.點擊下面的“自定義級別”,可以看到對Cookies和Java等不安全因素的使用限制.

6智能卡技術(shù)

所謂智能卡就是密鑰一種媒體,一般就象信用卡一樣,由授權(quán)用戶所持有并由該用戶賦予它一個1：1令或密碼字.該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致.當(dāng)口令與身份特征共同使用時,智能卡的保密性還是相當(dāng)有效的.

系統(tǒng)與服務(wù)器安全管理

Windows 2000 Server、Freebsd是兩種常見的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫一本書。我不會在這里對它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

Windows2000 Server的初始安全配置

Windows的服務(wù)器在運行時，都會打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會影響到Windows的功能。然而，正是因為這些端口的存在，給Windows服務(wù)器帶來諸多的安全風(fēng)險。遠(yuǎn)程攻擊者可以利用這些開放端口來廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發(fā)布了兩個基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風(fēng)險級別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

解決這類問題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445、593端口的訪問也是明智之舉。

Microsoft的SQLServer數(shù)據(jù)庫服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重，因此，如果安裝了微軟的'SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫補(bǔ)丁；2）更改數(shù)據(jù)庫的默認(rèn)服務(wù)端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫服務(wù)端口；4）保證 sa口令非空。

另外，在Windows服務(wù)器上安裝殺毒軟件是絕對必須的，并且要經(jīng)常更新病毒庫，定期運行殺毒軟件查殺病毒。

不要運行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點在配置時值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)路徑運行WEB（默認(rèn)是c:inetpubwwwroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設(shè)計之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應(yīng)該把它關(guān)閉（因為歷史上Sendmail存在諸多安全問題）。方式是編輯/etc/rc.conf文件，改動和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個安全的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無其他公司主機(jī)），否則不要打開Sendmail。

禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務(wù)，例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務(wù)器使用，就要用到NFS。同理，要打開NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪問到，那么系統(tǒng)存在較大風(fēng)險。保證/etc/inetd.conf文件中所有服務(wù)都被注銷，跟其他系統(tǒng)不同，不要由inetd運行任何服務(wù)。將如下語句加進(jìn)/etc/rc.conf：

inetd_enable="NO"

所有對/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

如果要運行Apache，請編輯httpd.conf文件，修改如下選項以增進(jìn)安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項）

5） 將Apache運行的用戶和組改為nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過Apache的壓力測試，關(guān)于如何配置和管理WEB服務(wù)器請見我的另一篇文章）

如果要運行FTP服務(wù)，請安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開匿名FTP。

Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。

服務(wù)器的安全包括哪些方面?

服務(wù)器安全包括如下幾個方面：

1、物理安全：服務(wù)器的硬盤，電源，主板，賴以維持服務(wù)器正常工作的硬件，都是需要進(jìn)行定期維護(hù)確保安全的，只有保證這些硬件的絕對安全才能保證我們的服務(wù)器能正常運行。

2、軟件安全：軟件安全包括系統(tǒng)安全，服務(wù)安全，漏洞安全，密碼安全，網(wǎng)絡(luò)安全

①、系統(tǒng)安全：系統(tǒng)本身是有很多一般都是比較安全的只要我們打好足夠的補(bǔ)丁，但是系統(tǒng)文件我們創(chuàng)建好的網(wǎng)站目錄權(quán)限，系統(tǒng)盤的關(guān)鍵位置例如temp的位置的權(quán)限設(shè)置。

②、服務(wù)安全：注冊表和服務(wù)項一定要仔細(xì)進(jìn)行檢查嚴(yán)禁遠(yuǎn)程修改。

③、密碼安全：對于弱密碼要立即進(jìn)行修改，密碼強(qiáng)度要有數(shù)字加英文以及特殊符號進(jìn)行整改

④、網(wǎng)絡(luò)安全：防cc，抗doss是我們服務(wù)器安全很常見的問題了。也是防止木馬病毒的入侵的必要的手段。

⑤、資源安全：進(jìn)行資源監(jiān)控保證資源不被篡改入侵是針對服務(wù)器一項很重要的安全措施能夠及時幫助我們找出被篡改的資源，以及進(jìn)行告警來幫助我們更好的管理服務(wù)器安全。