文/魯忠宇

數(shù)字化檔案館網(wǎng)絡(luò)安全策略淺談

文/魯忠宇

數(shù)字檔案館依托網(wǎng)絡(luò)環(huán)境傳輸數(shù)字化信息。因此對網(wǎng)絡(luò)黑客防范和服務(wù)器安全管理必不可少，在數(shù)字檔案館建設(shè)初期，根據(jù)實際情況考慮將前端與數(shù)據(jù)庫分離，避免在IIS服務(wù)與數(shù)據(jù)庫并置的情況下，由于IIS漏洞引起數(shù)據(jù)庫數(shù)據(jù)丟失。前端與數(shù)據(jù)庫采用獨立安全體系，啟用不同的安全策略

數(shù)字檔案館是大數(shù)據(jù)時代傳統(tǒng)檔案館發(fā)展的方向。數(shù)字檔案館是以處理信息、存儲信息和傳輸信息三大技術(shù)為基礎(chǔ)構(gòu)成的。由于使用這種新技術(shù)伴隨著諸多安全隱患，易受網(wǎng)絡(luò)黑客和病毒的攻擊，這種新技術(shù)主要是新的信息資源形態(tài)（數(shù)字化）和新的信息資源使用方式（網(wǎng)絡(luò)傳輸）。

目前大部分?jǐn)?shù)字檔案館的信息服務(wù)器主要采用Web界面和基于TCP/IP協(xié)議的信息技術(shù)系統(tǒng)。其程序的基本構(gòu)架基于B/S（瀏覽器/服務(wù)器模式）結(jié)構(gòu)，服務(wù)器端一般用Windows Server2008R2或者Windows Server2012R2（前者居多）操作系統(tǒng)，并且多數(shù)系統(tǒng)要求安裝使用IIS服務(wù)（Internet Information Servers）。眾所周知，Windows系列是Mic rosoft公司的產(chǎn)品，具有優(yōu)秀的圖形化界面和易操作性，但是系統(tǒng)安全漏洞眾多，針對Windows系統(tǒng)的病毒木馬泛濫。

數(shù)字檔案館購置的數(shù)字化文獻(xiàn)數(shù)據(jù)庫大都要求在Windows 2008R2環(huán)境下運行，如果相關(guān)系統(tǒng)實施人員安裝時操作不當(dāng)未進(jìn)行專業(yè)安裝選擇，且不進(jìn)行正確的安全配置的話，其安全性幾乎得不到保證。因此，筆者依據(jù)的個人工作經(jīng)驗，對數(shù)字檔案館服務(wù)器端的基本配置提出七點建議。

1　按需定制安裝Windows組件

Windows 2008R2在初始安裝時會安裝一些默認(rèn)組件，但是這些默認(rèn)組件本身可能存在很多安全漏洞，不必要的組件建議全部卸載。如果公司環(huán)境允許建議安裝Windows server core版本，利用命令行進(jìn)行基本網(wǎng)絡(luò)服務(wù)部署及管理。筆者個人認(rèn)為在部署數(shù)字化檔案管前應(yīng)該細(xì)致了解系統(tǒng)數(shù)據(jù)庫與提供的業(yè)務(wù)服務(wù)基本功能。然后按照實際情況安裝需要的Windows服務(wù)，不需要的默認(rèn)服務(wù)全部卸載。根據(jù)系統(tǒng)安全原則：最少的服務(wù)+最小的權(quán)限=最大的安全，一般Web服務(wù)僅需安裝IIS服務(wù)的Common Files，IIS Snap-In，WWW Server組件。現(xiàn)在大部分?jǐn)?shù)字化檔案館的檢索系統(tǒng)僅需安裝IIS服務(wù)。

如果確實需要安裝其它組件，應(yīng)該詳細(xì)了解組件各部分功能然后根據(jù)需求安裝。

2　服務(wù)器規(guī)劃配置

在數(shù)字檔案館建設(shè)初期，根據(jù)實際情況考慮將前端與數(shù)據(jù)庫分離，避免在IIS服務(wù)與數(shù)據(jù)庫并置的情況下，由于IIS漏洞引起數(shù)據(jù)庫數(shù)據(jù)丟失。前端與數(shù)據(jù)庫采用獨立安全體系，啟用不同的安全策略。

在購置硬件服務(wù)器時，必需購置陣列卡，系統(tǒng)盤采用RAID1或RAID10，數(shù)據(jù)盤采用RAID5或安裝HBA卡連接專業(yè)存儲服務(wù)器（RAID5），從而保證操作系統(tǒng)及數(shù)據(jù)區(qū)的穩(wěn)定性，避免由于硬盤損壞引起數(shù)字檔案館系統(tǒng)崩潰，數(shù)據(jù)丟失等問題。

3　磁盤分區(qū)規(guī)劃

在安裝系統(tǒng)時，絕對禁止將硬盤僅做一個邏輯分區(qū)，所有的程序和文檔資料都裝在C驅(qū)上，這種做法既不科學(xué)也不安全。微軟操作系統(tǒng)的IIS服務(wù)存在bug較多，即使用戶及時更新補(bǔ)丁也難以避免由于IIS漏洞導(dǎo)致黑客外部入侵，獲取系統(tǒng)盤權(quán)限，從而致使黑客遠(yuǎn)程獲取管理員權(quán)限。

安全的做法是是建立三個分區(qū)：第一個不小于100GB，用來裝Windows server操作系統(tǒng)及存放系統(tǒng)日志文件；第二個分區(qū)作為IIS根目錄，第三個分區(qū)用于作為FTP目錄。

這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。IIS和FTP是支持對外服務(wù)的，把它們分開可以防止了入侵者通過FTP上傳危險代碼或可執(zhí)行程序在IIS中非法運行，從而入侵?jǐn)?shù)字檔案館系統(tǒng)。

4　專人適時安裝系統(tǒng)補(bǔ)丁

由于微軟系統(tǒng)的本身存在的各種各樣的安全隱患，所以適時的安裝系統(tǒng)補(bǔ)丁是至關(guān)重要的。一般補(bǔ)丁更新可以通過以下三個途徑：

1）如果服務(wù)器可以直接訪問互聯(lián)網(wǎng)的情況下可以w indows update搜索更新系統(tǒng)補(bǔ)丁。

2)通過企業(yè)的wsus服務(wù)器更新系統(tǒng)補(bǔ)丁。

3)通過第三方軟件更新例如360衛(wèi)士、騰訊管家等軟件。

個人建議為了數(shù)字檔案館安全考慮選擇第二種辦法，由于第一和第三種都需要服務(wù)器訪問互聯(lián)網(wǎng)，這樣服務(wù)器更容易受到外部威脅。

多數(shù)病毒都是根據(jù)系統(tǒng)安全漏洞攻擊應(yīng)用服務(wù)器的，例如早些年的尼姆達(dá)病毒、“紅色代碼”等都是利用系統(tǒng)安全漏洞進(jìn)行攻擊并造成了巨大的破壞的。所以系統(tǒng)補(bǔ)丁應(yīng)適時安裝，保證更新到半月或一月之前，突發(fā)病毒補(bǔ)丁關(guān)注微軟官網(wǎng)實時更新。

當(dāng)然系統(tǒng)補(bǔ)丁不是說微軟出一個，我們就更新一個。因為補(bǔ)丁本身可能存在新的的漏洞或者補(bǔ)丁更新后會影響系統(tǒng)穩(wěn)定，所以一般在一至兩周后更新本周補(bǔ)丁，確保補(bǔ)丁穩(wěn)定可靠再去更新。

5　系統(tǒng)端口控制

系統(tǒng)端口是內(nèi)外網(wǎng)絡(luò)連接的邏輯接口。系統(tǒng)端口是直接暴露給內(nèi)網(wǎng)用戶及互聯(lián)網(wǎng)用戶的，所以如何合理控制系統(tǒng)端口的開放情況是至關(guān)重要的。

一般端口控制采用一下方案：

1）對內(nèi)網(wǎng)用戶端口控制

在服務(wù)器安裝防火墻軟件，僅開放此服務(wù)器訪問域或者其它服務(wù)器必須端口，其它端口通過防火墻軟件關(guān)閉。

2）對互聯(lián)網(wǎng)用戶端口控制

在單位防火墻設(shè)備設(shè)置訪問策略，并對外服務(wù)器僅做必須端口映射。盡量避免全I(xiàn)P映射。

6　Windows IIS服務(wù)優(yōu)化方案

IIS服務(wù)是Windows服務(wù)組件中安全漏洞最多的一個，一般兩至三個月就會出現(xiàn)新的漏洞。而IIS服務(wù)默認(rèn)安裝危險較大，所以對IIS服務(wù)的配置做以下優(yōu)化：

1）把C盤下默認(rèn)目錄（c：Inetpub）徹底刪掉，在D盤重新一個目錄。建議不要采用初始名稱和中文名稱，然后將主目錄指向新建目錄。

2）刪除默認(rèn)虛擬目錄，如果需要自行新建，并且根據(jù)系統(tǒng)需求設(shè)置目錄訪問權(quán)限。目錄寫權(quán)限需要嚴(yán)格控制，如果可以盡量不開放此權(quán)限。

3）禁用匿名用戶登錄。

7賬號管理

帳號管理應(yīng)做到以下幾點：

1)禁用或更名系統(tǒng)內(nèi)置帳號adm inistrator

內(nèi)置帳號adm inistrator密碼容易被黑客暴力破解所以為了安全起見建議將此帳號停用過改名。

停用adm inistrator操作步驟：

系統(tǒng)管理員帳號登錄后打開計算機(jī)管理-〉本地用戶和組-〉用戶，右鍵adm inistrator屬性-〉停用此賬戶。

Adm inistrator賬戶更名操作步驟：

系統(tǒng)管理員帳號登錄后打開計算機(jī)管理-〉本地用戶和組-〉用戶，右鍵單擊adm inistrator，單擊重命名。如果不停用僅重名此帳號，須定期更改具有一定復(fù)雜度的密碼。密碼復(fù)雜度最低要去8位以上密碼由大小寫字母、數(shù)字、特殊字符。

2)禁止顯示上次用戶登錄名

啟用Windows安全策略禁止顯示上次用戶登錄名，避免黑客通過暴露的上次登錄用戶名暴力破解用戶密碼。

使用系統(tǒng)管理員登錄后，打開組策略編輯器-〉計算機(jī)策略-〉Windows設(shè)置-〉安全設(shè)置-〉本地策略-〉安全選項-〉禁用“交互式登錄：不顯示最后的用戶名”。

3）將其它管理人員賬號設(shè)置最低工作需求用戶權(quán)限。

4）開啟本地賬號密碼策略和賬號鎖定策略，避免弱口令及暴力破解密碼。使用系統(tǒng)管理員登錄后，打開組策略編輯器-〉計算機(jī)策略-〉Windows設(shè)置-〉安全設(shè)置，再根據(jù)實際情況啟用并設(shè)置賬戶策略和賬戶鎖定策略，達(dá)到保護(hù)服務(wù)器帳號的目的。

綜上所述，數(shù)字化檔案館是依托網(wǎng)絡(luò)環(huán)境進(jìn)行數(shù)字化文獻(xiàn)的檢索和傳輸，數(shù)字化檔案館的重點工作是做好服務(wù)器及網(wǎng)絡(luò)的安全防護(hù)。由于目前流行的Windows server操作系統(tǒng)存在重多安全漏洞、系統(tǒng)服務(wù)配置不夠細(xì)致、密碼設(shè)置簡單，補(bǔ)丁更新不及時等等問題造成很多業(yè)務(wù)系統(tǒng)都處于高危狀態(tài)。黑客很容易通過掃描程序發(fā)現(xiàn)有系統(tǒng)漏洞對服務(wù)器發(fā)動攻擊。筆者認(rèn)為，為使數(shù)字化檔案館的網(wǎng)絡(luò)安全得到有力保障，必須認(rèn)真執(zhí)行上述的七點建議，這樣就能大大提高數(shù)字化檔案館系統(tǒng)的安全性和可靠性。

（作者單位：西北電力設(shè)計院）