鲜甜IT.Net

写这篇文章之前，我不清楚我得花上多少时间将我的想法阐述清楚。这是个IT业内，尤其是服务器安全相关的工作中值得重视的问题。现在的公司、企业，对于服务器安全不够重视。遭受攻击是家常便饭的事。每当受到了攻击，大家总是在咒骂那些黑客，却没有意识到自身的不足，既不会去分析到底是什么原因导致了攻击，也不愿意增加一点投入，做好服务器安全工作。

有朋友询问我，他们公司的服务器为什么频频遭受攻击，做了备份也无济于事。还原了备份后不久又被攻击。维护人员整天循环在还原备份与再次被攻击的过程里。我告诉他：备份不等于安全。

人们总是很强调备份，为的是遭受攻击之后，有一剂后悔药可以吃。甚至以为做了备份，便等于安全了。备份是服务器安全的必要手段。但它不是主要方法。

人们往往过分夸大备份的重要性，好像备份是唯一可值得的安全工作。首先你得知道，备份不等于安全。因为备份并不能堵住服务器的漏洞。它只是安全工作里的一个小小的手段。它的目的就是在遭受攻击之后将损失减少到最小。

人们为什么会那么容易忽视安全而夸大备份的重要性？这是２个问题。首先人们往往认为服务器正常工作是最重要的，同时也曲解了备份的真正作用和含义。而攻击好像离他们很远。所以也才会认为做了备份就万无一失了。当某天真的受到了攻击和入侵才知道原来互联网是如此的不安全。

备份的确可以减少损失，也是有效的手段。但它必竟是被动式的方法。如果你的数据更新了，那么你也将会更新你的备份。设想一下，黑客已经悄悄在你的系统里植入了木马或后门，当你进行备份，你可能不会意识到你的数据里已经包含了木马或后门，你只认为你做了一件有意义的事情。于是你在备份的同时，也把黑客们的木马或后门给备份了。当你的系统遭受打击，你还原了备份之后，只要那个黑客愿意，他可以在任意时间里让你不得已地不断重复还原的工作。

如果你的公司，数据更新量很大，每时每刻都在提交着新的数据，修改着旧的数据。那么很显然你将会被备份累死。你不知道黑客什么时候会来。黑客也不会告诉你：“我要来了，我在你的机器里种下了后门，请把它连同你的重要数据一起备份了吧！”你只有每隔一个时间段就备份一次。也许备份的工作还会影响服务器的正常工作。当你终于遭受了攻击，你心里会想：还好我备份了。你把备份还原回来的时候，你会发现还是丢掉了备份之后这个时间段里的数据。如果黑客盯上了你，每天攻击你一次。那你的公司岂不是要为每天都会丢掉的一部分数据买单？

时间长了，你会想到热备份。当然。自动的热备份会让你感到暂时的轻松，可上述的问题还是没有解决。如果你的公司有钱投诉昂贵的热备份设备，那为什么不投资十分之一加固系统的安全？

如果你是个对安全工作认真的人，那就不要盲目听信于你的白痴上司，靠你自己吧。如果同时你还对服务器安全有极高的兴趣，那么请接着往下阅读。如果你就是那个上司，你可以关掉这个窗口了。因为以下内容对你的工作毫无裨益，甚至将引起你的反感。

刚刚说到的备份是一种被动的手段。我得承认，它的确属于防御的一种。但它的被动性质决定了它只能受制于黑客。如果你认为备份是最为重要的安全手段，那么我建议你马上请专家给你的服务器系统做一个全面的检测——因为极有可能你的机器已经向黑客敞开着大门。当然，你也无法知晓做好服务器的安全工作是多么的艰险。

既然现在你知道，备份对于服务器安全所起到的作用并不是那么的神通广大，你一定会寻找别的方法。

比如一些常规的手段：打补丁，安全优化，安全策略，还有，你在这个行当里所积累的经验，还有你的聪明智慧和你的分析能力。

然而最行之有效的，就是主动防御——找出你的系统现有的漏洞，一点一点地封堵它们。例如：你可以查看系统里运行着的进程；可以用简单的netstat命令监视一下使用中的端口或者用专业的分析工具分析系统里的进程开放了哪些端口，连接着哪些IP，从而找出不正常的进程进一步分析；有很多方法，可以让你去主动寻找系统里存在的漏洞：已知的和未知的，然后找到办法将它们一一封杀。而不是做好备份后坐等黑客来攻击，然后再不断地恢复着备份来向黑客们展示你有多快的速度搞定一切问题，你是多么努力地为公司挽回了损失。那样你就已经掉进了一个洞里。黑客也是人，也会生气。他们最终将给予你致命的打击。

“我应该怎么做？”对了。开始觉悟了。首先你得把服务器当人。是人就有感情，就有生老病死。而你，就是照顾他一生的人。你得爱他（当然不是指LOVE。而是爱惜和呵护）。baidu和google是我们的良师益友。多到网上找相关的文章看看，那些都是最基础的知识。你还可以参加MS的讨论组和新闻组，那里是比较权威的。还有许多民间的服安论坛，多花点时间逛逛会让你受益非浅。

基本的系统加固是必须的。及时地更新系统补丁，封堵一般的系统漏洞；根据你服务器提供的服务类型建立完整的安全策略；保存完整的日志记录，学会每天分析日志，从日志中可以发现很多问题，包括入侵；禁用不必要的系统服务，关闭不必要的端口等等。做好这些工作，被攻击的机率减少了50%。剩下的，就是针对服务的安全了。比如用IIS开放了WEB服务。就必须对IIS服务进行安全加固。IIS的安全问题比较多。甚至会比系统本身还要多。这不是因为IIS的不完善，而是因为大多数的攻击，都是针对IIS进行的。这类的攻击比较高智商。通常IIS服务还需数据库的支持，这又加入了数据库系统的安全工作；构成网页的脚本语言里，由于开发人员的不谨慎而造成的小BUG，就有可能导入黑客最危险的攻击。IIS的安全加固会有较多的工作。也需要相当的经验支持。网上也有许多这方面的资料，本文不再详述。

除了WEB服务以外，可能还有许多别的服务，单独或共存于一台服务器上。如FTP，TELNET，Jabber，或者行业专用系统的服务端。那就需要根据这些服务类型的特点去制定相应的安全策略。

互联网上的黑客多种多样。攻击手段和攻击类型，也是多种多样的。有高智商的，也有暴力式的。针对高智商的，你可以运用你的聪明才智与之斗法。俗话说，狡兔三窟。你可以设下层层陷阱，制造环环假象，让黑客找不到真正的入口。对抗暴力式的攻击，需要你的系统足够坚固，加上完善的防火墙系统和防火策略，在保证正常服务的同时，最大程度地遏制攻击。

没有无坚不摧的攻击手段，也没有固若金汤的服务系统。现实中的攻与防不是在拍电影，也更不是媒体炒作般的神乎其神。一切都是以服务为中心的。所有的安全手段，都要根据不同类型的服务而动态地定制最适合的安全策略，才能实现有效的防范。

道高一尺魔高一丈。最后要说的，就是没有绝对安全的系统。五角大楼的服务器系统安不安全？不也被入侵了吗？于是这就更加需要我们付出辛劳的工作，最大程度地加强服务器的安全。系统中可能存在许多未知的漏洞，将来将会成为黑客攻击的目标。

下面，结合我的工作经验，这些建议你可能用得着：

首先你得养成良好的职业习惯。这是一个好的开端。一台运行稳定，故障机率小的服务器，很大程度得益于你良好的职业习惯。这里的故障，包括被攻击而致使的工作不正常。你的职业习惯建立在你良好的道德品质之上，加以严谨的工作作风而产生。

第二，你需要有谨慎的态度，避免疏忽。安全维护工作有时工作量会很大，而且比较复杂。这往往是容易出错的时候。一个小小的闪失，就有可能给不速之客留下一道后门。所以必须要有谨慎的态度，重视每一个环节，形成固态的工作流程，勤于思考和变通，尽可能地避免任何疏忽。

第三，必须形成分析方法。就算安全工作做得很到位。也不可能没有任何事发生。安全维护这一行看起来默默无闻，实际上是充满挑战的。总会有一些预想不到的事情要发生。你可能从来没见过这些事情。一旦这些事发生了，千万不能头脑发热，千万不能乱了手脚。应该冷静地分析事件的来龙去脉，造成了什么影响。可能的话，形成一份文字性的事件报告。附上你的合理分析，便于日后经验的积累。久而久之，你会形成自己的一套分析方法。对于任何突发事件，你都能很好地解决，并从中获益。

第四，为了更好的防御，你还得学会攻击。在这之前，你都不了解针对自己维护的服务器，有多少种行得通的攻击方法。去学一学攻击的知识和原理。然后用你自己的服务器试一下。如果行得通，那么漏洞不就暴露出来了吗。懂得攻击的原理，就懂得如何防范。

最后，注意经验的积累。这在安全工作中非常重要。经验不是来自于理论知识，而是在成千上万次的实践过程中积累。经验也不是凭空得来的。而是分析出来的。上面提出的几点建议，它们之间是有联系的，是相辅相成的。

如果你的服务器太惹眼，那么请减少你服务器的服务，尽量免于让黑客盯上。不要说你的薪水很少，不值得你那样去做。否则，跳槽吧。展示你的所能，让重视安全的公司看上你。在你的工作中形成的经验将成为你制胜的法宝。在你不清楚怎么做时，你的经验会告诉你一切。你会在实践中成长的。

全文完

作者:jarry BLOG:http://blog.xtit.net MSN:xjy@xtit.net