淺談運營商支撐服務(wù)器安全維護技巧

魏 奇

中移鐵通甘肅分公司，甘肅 蘭州 730030

淺談運營商支撐服務(wù)器安全維護技巧

魏 奇*

中移鐵通甘肅分公司，甘肅 蘭州 730030

伴隨著網(wǎng)絡(luò)的發(fā)展，運營商所提供的服務(wù)多種多樣，意味著運營商支撐系統(tǒng)的服務(wù)器越來越多。網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，網(wǎng)絡(luò)信息資源的安全備受關(guān)注。網(wǎng)絡(luò)中的服務(wù)器可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，所以，為了安全保證運營商自身和用戶的安全，運營商的服務(wù)器系統(tǒng)就需要具有保密性、可用性、完整性。維護人員可以借助一些手段來解決上述問題。

服務(wù)器；網(wǎng)絡(luò)；安全

一個通信服務(wù)運營商，存在著龐大的支撐系統(tǒng)，而這些支撐系統(tǒng)中又存在著大量的服務(wù)器。支撐系統(tǒng)服務(wù)器中存儲著大量的系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)。這些數(shù)據(jù)的安全性和準確性是不容有誤的。稍有閃失對運營商和用戶都會造成嚴重，甚至無可挽回的損失。所以，日常工作中怎樣維護服務(wù)器，有什么樣的技巧可以讓服務(wù)器受到最大的保護，這是每一個服務(wù)器維護人員都在考慮的問題。

一般情況下服務(wù)器可能受到網(wǎng)絡(luò)病毒、拒絕服務(wù)攻擊和惡意入侵等惡意的攻擊行為，如果受到攻擊服務(wù)器資源將被大量的占用，服務(wù)器將不能正常工作，對用戶所提供的服務(wù)將會停止；服務(wù)器如果被惡意入侵成功，入侵者就可以進行所想干的任何操作，這樣服務(wù)器將被破壞，重要信息將被竊取。

下面，就了解一下運營商服務(wù)器維護方面都有哪些技巧。

一、安裝軟件防火墻、殺毒軟件

對于支撐系統(tǒng)的服務(wù)器的日常安全維護方面，在網(wǎng)絡(luò)接口端安裝硬件防火墻是一種最直接的方式，在系統(tǒng)服務(wù)器上安裝軟件防火墻和殺毒軟件是最簡單、有效、并且常用的方法。維護人員通過軟硬件的部署和配置，就能夠有效的隔離服務(wù)器受到的一些攻擊和病毒，并且在發(fā)現(xiàn)之后對這些攻擊和病毒進行查殺。

二、服務(wù)器的分級維護

運營商的支撐系統(tǒng)服務(wù)器承擔者運營工作的各項支撐，必然就會運行著多種多樣的服務(wù)。這些服務(wù)有的來自操作系統(tǒng)自帶，而更多的是安裝在服務(wù)器上的各種應(yīng)用。服務(wù)器和應(yīng)用都有著各自不同的工號。個人員的工號權(quán)限必須分級設(shè)置。不同工作內(nèi)容的操作人員有著不同權(quán)限的工號，每個工號只有自己工作內(nèi)容的操作權(quán)限，而對于自己工作之外的內(nèi)容則不會涉及。在不同的時間也有著不同的權(quán)限范圍，有的操作人員只能在工作時間登陸系統(tǒng)，而有的特定人員又可以靈活的登錄策略。同時，定期檢查、維護各個系統(tǒng)工號操作權(quán)限的設(shè)置，包括定期維護與操作人員級別和相關(guān)的口令等。這樣也可以有效的避免一些來自工號盜用的威脅，大大提高服務(wù)器的運行安全。

三、服務(wù)器系統(tǒng)及服務(wù)備份

運營商的支撐系統(tǒng)服務(wù)器里存放著大量的企業(yè)信息和用戶信息，這些信息的丟失是運營企業(yè)所不能接受的，可算作“重大事故”。所以作好服務(wù)器系統(tǒng)及服務(wù)的備份工作應(yīng)該是重中之重。我們做最壞的打算，即使服務(wù)器遭到攻擊損壞，也可以及時恢復(fù)，不影響企業(yè)運營和服務(wù)用戶，或是將損失降到最低。雖然大家都不希望系統(tǒng)突然遭到破壞，但是做好準備是必須的。常言道，“有備無患”。

四、定期查看服務(wù)器的日志

每臺服務(wù)器的日志都記錄了服務(wù)器工作的點點滴滴，包括服務(wù)器的登錄日志，服務(wù)器的運行狀況，服務(wù)器上安裝軟件的運行情況等等。通過對這些日志的定期查看和分析，服務(wù)器維護人員能夠及時發(fā)現(xiàn)日志中是否有異常情況。發(fā)現(xiàn)哪些訪問給服務(wù)器造成了何種威脅，服務(wù)器還存在什么樣的安全隱患等。日志查看分析之后，就可以對所發(fā)現(xiàn)的問題進行整改，對服務(wù)器存在的威脅進行預(yù)防，對服務(wù)器的各種安全指標進行優(yōu)化等。

五、編寫安全腳本

服務(wù)器中有許多腳本文件，維護開發(fā)人員會編寫很多的腳本來運行各種應(yīng)用，所以不良的腳本也會對服務(wù)器進行攻擊，主要針對和CGI程序。所以，在編寫這類腳本的時候，我們要按照正確可靠的參數(shù)進行編寫。當發(fā)現(xiàn)有異常的腳本時應(yīng)及時通知管理員。這也可以及時采取相應(yīng)的防御措施來防止攻擊行為的發(fā)生。

六、模擬攻擊者可能的攻擊

站在自己的角度、用固定的思維來看待問題，服務(wù)器的維護人員可能就會錯過很多服務(wù)器的漏洞發(fā)現(xiàn)。若改變身份，從對方攻擊者的角度看待同一個問題，就會發(fā)現(xiàn)原來攻擊服務(wù)器還有各種各樣的方式，這樣就會有助于維護人員發(fā)現(xiàn)并修補漏洞，防患于未然。運用黑客常用的工具對服務(wù)器進行掃描，可能會發(fā)現(xiàn)哪些服務(wù)或者漏洞會被他人利用。例如SNMP服務(wù)，這個服務(wù)提供服務(wù)器系統(tǒng)的詳細信息，而這個服務(wù)默認是自動開啟的，只要掌握服務(wù)器的信息則可以通過此服務(wù)進行攻擊。此問題日常不會被發(fā)現(xiàn)，黑客工具的掃描就會發(fā)現(xiàn)此問題。俗話說：“不識廬山真面目，只緣身在此山中”，因此，變換角度，我們也可以最大限度的來保證服務(wù)器的安全。

以上方法只是對支撐服務(wù)器在日常維護中的一些小的建議，肯定有著不足之處。希望對大家的服務(wù)器維護工作能夠起到一定的幫助作用，能夠是大家的服務(wù)器運行的更加穩(wěn)定。

[1]Andrew S.Tanenbaum.計算機網(wǎng)絡(luò)(第4版)[M].清華大學(xué)出版社，2008.8.

[2]莫衛(wèi)東.計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].機械工業(yè)出版社，2009.4.

魏奇(1979-)，男，漢族，甘肅蘭州人，中移鐵通甘肅分公司，研究方向：電子信息。

TP

A