新手站长如何轻松管理服务器安全？

在服务器上安装安全狗软件，并把服务器加入服云。
这样不仅可以为服务器提供防护功能，而且可以登陆服云管理服务器。
服云客户端有web版、pc版、手机端的，可以随时随地了解服务器实时情况并进行调整服务器安全策略来应对攻击。让服务器更安全。
请采纳，谢谢

网络所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全也提出了更高的要求。如何使业务系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。下面将从 *** 作系统安全技术、病毒防范、网络数据安全技术等多方面进行综合考虑，实现一个安全可靠的解决方案。
一、 *** 作系统的安全管理
安全的核心是人，必须以人为核心进行安全管理，采用各种先进的安全技术，使系统免受非法攻击，排除没有访问权限的使用者窃取系统机密信息，确保系统安全可靠地运行。
作为业务系统核心数据库－主机系统，它的安全性更加重要。服务器 *** 作系统的安全管理主要是利用现有网络安全资源对数据流进行安全管理和自身用户、系统管理员的 *** 作系统管理。 *** 作系统应提供身份认证、访问控制功能，对用户的所有 *** 作和网络服务进程具有完备的审计制度。
对 *** 作系统管理员的口令应具有尽量短的期限，一般每3到6个月就应该更换，以防口令失窃。对服务器的资源可以进行访问控制列表进行管理，以访问控制表的形式来规定主体(如用户)对客体(如文件、数据库、设备)的访问权限(如可读、可写)。在文件系统、数据库系统、设备管理等之中，都应使用访问控制技术来控制用户访问权限。
二、多层病毒防御体系
我们认为网络系统可能会受到来自于多方面的病毒威胁，包括来自INTERET网关上、内部和外部的网段上，为了网络系统免受病毒所造成的损失，建议业务系统采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在INTERET网关上要安装基于INTERNET网关的反病毒软件，因为对单位来说，防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个网络不受病毒的感染。
（一）客户端的防病毒系统
根据统计，50%以上的病毒是通过软盘进入系统，因此对桌面系统的病毒应严加防范。采用桌面防病毒产品，来防止桌面机受到病毒的侵害。
（二）服务器的防病毒系统
如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，基于服务器的病毒保护已成为业务系统的当务之急。所以，在业务系统的外部网与Internet及各连接的网段上重要的Web、Mail服务器上采用专业的防病毒软件系统，提供了全面的基于服务器的病毒保护。
（三）Internet的防病毒系统
根据ICSA的报告，一般公司或单位的电脑感染病毒的来源有超过20%是通过网络下载文档感染，另外有26%是经电子邮件的附加文档所感染，由于很多业务系统连入Interent，很有可能受到来自Interent下载文件的病毒侵害及恶意的Java、ActiveX小程序的威胁。因此，此部分将成为业务系统防范的重点。
在业务系统的外部网与Interent连接的网段上Mail Server、Web server、DNS Server、等代理的服务器上安装专业防火墙软件系统，可防止来自于Internet上的病毒、恶意的Java、Active-x对业务网络应用系统所造成的破坏。
三、网络系统安全技术
（一）常见安全性威胁
随着计算机网络的发展，网络中的安全问题日趋严重，我们网络中大量存储和传输的数据都有可能被盗用、暴露或者篡改。网络中所面临的安全性威胁主要有下面几种：
泄露(eavesdropping)：当通信各方通过网络进行交谈时，如果不采用任何保密措施，别人就有可能“偷听”到通信的内容，因此必要时可对通信的内容进行加密。
假冒(impersonation)：如何识别进入计算机网络系统的用户是不是合法的呢？因此系统要有身份识别的功能。当网络中的某个节点冒名要求提供服务时，系统如何能够知道对方是否冒名呢？我们可以提供一个合法用户的数据库，采用TACACS或RADIUS协议对用户的身份进行鉴别。如果有人用PC机恶意伪造了一条路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢？我们可以采用具有鉴别功能的路由协议，如“OSPF”“EIGRP”；有的路由协议就不支持“鉴别”功能，如“RIP”。
篡改(manipulation)：为了防止报文在转发过程中被第三者所篡改，可以在应用层对用户的报文进行加密或校验。
恶意攻击(attack)：除了上述用户之间通信中的信息安全问题之外，网络本身也容易遭受到一些恶意程序(rogueprogram)的攻击，如computervirus,computerworm,Trojanhorse,logicbomb等。
网络中被攻击的目标主要有：主机、路由节点和传输线路，如下图所示：
网络的安全性可以通过若干条不同的途径来实现，如可以在网络的访问级实现对用户的身份进行确认等安全性措施，也可以在网络的主干上实施对基于IP流的监测来实现网络安全性，还可以在网络上实施基于每个具体应用端口的安全性措施。所有这些安全性措施对应于网络中的不同应用和不同层次，我们可以根据具体需要灵活采用，也可以同时采用多种安全性措施以实现多级安全性(multilevelsecurity)。
（二）数据流加密
为了保证网络的安全性，可以考虑的方法之一就是对传输的数据进行加密，目前比较流行的密钥加密算法主要有DES、RSA等，根据实际情况，可以选用网络中的一对路由器作为Peers，对其中通过的某些数据进行加密/解密。
对于十分重要的数据，系统可采用RSA算法进行数据加密，RSA属于公开密钥算法，每个人有两个密钥，即公开密钥和秘密密钥。为了提高效率，我们将RSA和DES结合起来使用。
加密时，系统随机选择一个DES密钥，并用DES算法加密原文信息。然后，利用公开密钥加密DES密钥。将用DES加密的信息和用RSA加密DES密钥合在一起，构成密文。
解密时，首先依据私有密钥解密DES密钥。然后再用DES密钥解密DES加密信息，得到最终的解密信息。
数据加密和数据解密过程如图所示。
在这种情况情况下，报文的控制信息部分(如源、目的节点地址、路由信息等)不能被加密，否则中间节点就不能正确选择路由；由于各节点必须持有与其他节点相同的密钥，这就需要在全网范围内进行密钥分配和密钥管理。
采用了数据加密传输后的示意图如下所示：
在信息系统工程中，可能有一些敏感数据，如认为有特别的必要，可以对数据进行加密后传输，Cisco路由器都支持数据的加密传输，可以配有专门的IPSEC加密软件，以提高设备的整体安全性能。
（三）访问控制
显然，只使用加密是不能解决所有问题的。对于采用动态自适应路由的网络，一个被攻击者掌握的节点可以被设法更改路由，这样将导致大量信息的泄漏或网络瘫痪。
我们可以在用户登录上任何一个网络节点的时候就实现初步的安全性控制，如对用户的身份和权限进行确认，等；根据我们所采用的具体方式，这种安全控制又可以分为集中式的安全控制方式和分散式的安全控制方式。
采用了集中式的安全控制方式的示意图如下所示：
在这种情况下，如果有任何人企图登录到网络中的任何节点，都必须先得到一台专用的安全服务器的认可，从而保证了网络中的节点的安全性；如果考虑到服务器的可靠性等因素，可以配置一些备用的安全性服务器，以保证在主安全服务器出现故障时维护人员对网络节点的登录能够正常进行。
通过我们所配置的网络管理软件可以对网络中所有的Cisco设备进行这样的管理。
（四）数据流过滤
我们还可以通过对流经主干网络的数据流进行过滤来进一步实现网络的安全性，根据过滤的层次不同，可以将其分为基于MAC地址的数据流过滤、基于网络层的数据流过滤、基于高层的数据流过滤三种。
比如说，如何实现基于IP流的安全性控制呢？我们先看一下IP分组的格式：

版本、首部长度、服务类型、总长度
标识、标志、段偏移
寿命、协议、首部校验和
源站IP地址
目的站IP地址
任选字段
传输层数据

分组的第四、五字节分别是源站IP地址和目的站IP地址，我们在进行IP流限制的时候是通过对源IP地址的过滤来实现。
另外的一种安全控制机制是基于MAC地址的。在我们的网络中，并不是每一个用户都是直接连接在路由模块上的，因此如果不对网络上的数据流进行更低层的限制，用户有可能冒充其它主机的IP地址对网络进行非法的访问。在交换机中，都支持基于源MAC地址的数据流过滤功能，可以确保只有有限的被确认的合法主机访问本网络
（五）局域网安全
当企事业单位网络系统建成后，所有计算机设备一般全部在内部局域网内，为了保护局域网的数据不被攻击，建议采用VLAN技术对局域网进行规划，根据部门职能的不同和应用的不同划分不同的VLAN，把各部门或应用有效地隔离开，VLAN之间是由网络中心的多层交换机进行路由转发。
除了采用VLAN的技术，采用防火墙使内网与外网进行隔离也是非常必要的，对内部网络实行有效的访问控制，使中心内部数据网形成一个独立的应用数据网络安全体系。
（六）广域网安全
广域网的范围广，连接用户众多，连网的方式多种多样，有宽带LAN、电话拔号、DDN专线、帧中继等，网络安全的考虑比较复杂，牵系到”线路安全、数据流的安全等”，综合以上的因素，设计线路加密方式。以上图为例，在接入端路由策略上采用静态路由，同时运用NAT地址转换，在路由器上添加一条加密通道，使用加密数据流进行传输，这样可以保证网数据传输的安全。中心的路由器上配置静态路由和浮动静态路由相结合，进行安全同时实现认证，动态地进行链路备份。
结束语
信息系统安全问题是一个动态的问题，因此对安全需求和事件应进行同期化的管理，对安全需求的变化应及时制定安全策略，如何才能持续停留在知识曲线的最高点，把握住信息系统安全的大门，这将是对新一代系统管理人员的挑战。

电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作，确保网络安全运行，结合我县的实际情况特制定电子政务网络安全管理办法。

、各单位网络管理人员必须精心维护好单位的网络设备，做到防尘、防热、防潮、防水、防磁、防静电等，以增加设备使用限。县政府办将定期对各单位的网络管理情况进行检查，发现不能达到以上要求的单位，将对其进行通报批评，对由于管理人员疏忽造成网络安全事故的，将追究相关管理员及单位领导责任。

、各联网单位不得随意更改政务网络接入设备配置，不得擅自切断电子政务网络设备电源，不得擅自挪动相关设备和切断、移动相关传输线路，不得擅自与其他网络对接，不得随意增加交换机、集线器以及接入信息点数量，如需进行以上变动，应向县政府办信息科提出申请，经批准后方可实施。

、各联网单位要增强网络安全意识，严禁登陆浏览**网站（网），禁止下载、使用存在安全隐患的软件，不得打开来历不明的电子邮件附件，不得随意使用计算机文件享功能，防止计算机受到病毒的侵入。

、工作时间禁止玩网游、下载**及大型软件，以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控，对发现的问题将在全县范围内进行通报，并按照相关规定严肃处理。

、政务网计算机使用单位和个人，都有保护政务网信息与网络安全的责任和义务，所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露，一旦泄露立即报政府办信息科进行密码修改。

、各接入单位应当定期制作计算机信息系统备份，备份介质实行异地存放。对可能遭受的侵害和破坏，应当制定灾难防治预案。

、要配备计算机系统补丁升级和病毒防治工具，定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据，上机前应进行系统补丁升级和病毒检查。

、办工人员严禁下列 *** 作行为：

（）非法侵入他人计算机信息系统和联网设备 *** 作系统；

（）未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰，影响计算机信息系统正常运行；

（）故意制作、传播计算机病毒等破坏程序；

（）将非业务用计算机或网络擅自接入政务内网，将业务用计算机或网络接入互联网或其他非政府机关的网络；

（）在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络；

（）将存有涉密信息的计算机擅自连接国际互联网或其他公网络；

（）擅自在政务网上开设与工作无关的网络服务；

（）发布反动、*秽色情等有害信息；

（）擅自对政务网计算机信息系统和网络进行扫描；

（）对信息安全事（案）件或重大安全隐患隐瞒不报；

（）擅自修改计算机ip或mac地址。

、在发生紧急事件时，为避免造成更大损失和影响，信息科有权或者要求有关部门采取以下措施：

（）拆除可能影响安全或有安全隐患的设备或部件；

（）隔离相关的终端、服务器或网络；

（）关闭相关的终端、服务器或网络；

、各节点单位要加强计算机病毒的防治工作，切实履行下列职责:

（）建立本单位的计算机病毒防治管理制度；

（）采取计算机病毒安全技术防治措施;

（）对本单位节点微机使用人员进行计算机病毒防治教育和培训;

（）使用具有计算机信息与系统安全专用产品销售许可证的网络安全产品，定期检测，做好杀毒软件的升级，清除计算机信息系统中的计算机病毒,并备有检测清除记录；

（）禁止在政务网上使用来历不明、可能引发病毒传染的软件；对于来历不明的可能带有计算机病毒的软件应使用正版杀毒软件检查、杀毒。

---