构建服务器端安全防护

　　又是一年春节到，网络安全再次成为市场热点。事实上，随着企业对于信息系统依赖程度的加深，如何构建一个安全稳定的系统已经成为所有CIO的追求。

　　而作为病毒防护的第一道门户，服务器端的保护必不可少。作为网络核心平台，与客户端的简单防护相比，服务器防护在可靠性和性能方面的预期级别通常高得多。不仅如此，不同应用的服务器在防护方面也有着众多不同。

　　从防护步骤来看，服务器与客户端是相同的。首先是减少受攻击面：从服务器中删除不需要的服务和应用程序，将其受攻击面减到最少；其次是应用安全更新：定期升级维护，使所有服务器计算机运行的都是最新的安全更新，并根据需要执行其他测试，以确保新的更新不会对关键任务服务器产生负面影响；第三是启用基于主机的防火墙：如Windows Server 2003包括一个基于主机的防火墙，用户可以使用它减小服务器的受攻击面及删除不需要的服务和应用程序；最后是使用漏洞扫描程序进行测试：如使用Windows Server 2003上的MBSA工具，帮助识别服务器配置中可能存在的漏洞，尽可能帮助确保配置强大。

　　从应用方向上看，一般的服务器防毒扫描属于集成级别，大多防病毒应用程序都有远程管理功能，最大限度地减少物理访问服务器控制台的需求。在应用该类程序的时候，多数CIO都要考虑扫描期间服务器CPU的使用率，该类应用程序的稳定性与可持续升级性以及和系统其他程序之间的互操作性与兼容性。而对于特殊应用的服务器，如Web服务器、数据库服务器、邮件服务器、协作服务器等，在安装防护方案的时候，还需要特别注意其特殊应用需求。

　　以使用最为广泛的Web服务器为例，作为网站建设的平台，其经常遭受恶意软件或者黑客的攻击，所以防护安全级别相应的就要有所提高。在安装了常用的防病毒软件之外，网络管理员还可以通过很多专业的工具进行有益补充，比如微软官方网站上就可下载的IIS Lockdown Tool，此工具用于调整Web服务器，以便仅提供其角色所需的那些服务，因此减小恶意软件对服务器的攻击面。而UrlScan是限制IIS要处理的HTTP请求类型的另一种安全工具。通过阻止特定的HTTP请求，UrlScan可以帮助阻止可能有害的请求到达服务器。

　　对于邮件服务器来说，防病毒要从两方面入手：一方面就是防止来自外部比如互联网上恶意软件的攻击。另一方面是防止来自系统内部，比如客户端邮箱中病毒邮件的攻击。从外部来讲，随着邮件附件形式的日趋复杂(图片，影音文件、PPT等)，一般的标准文件扫描防病毒解决方案显然无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。而如果使用驱动器映射进行扫描，无疑会损毁部分邮件内容，所以也不可行。目前市场上使用最多的有两种方案，SMTP网关扫描程序以及集成的服务器扫描程序。前者可以通过基于简单邮件传输协议(SMTP)的邮件进行扫描，后者与特定的电子邮件服务器产品相结合，完成扫描任务。

　　网络安全无止境，这不仅是因为“防毒”永远跑在“病毒”之后，以至于外部攻击不断，还因为随着信息系统的日益复杂，来自内部的攻击也在不断升级。显然，这与即使在诸多企业纷纷发布上网规则统一说明等规章制度之后，企业内部员工对于安全的重视性程度也远没有达到相应的标准有关。正如上文所说，构建服务器端安全防护只是防护的第一步，而后面，需要的工作还很多。