如何做好一个服务器管理员（下）：服务器安全管理

　　上一篇文章（如何做好一个服务器管理员（上）：服务器系统管理）已经介绍了如何做好一个服务器管理员的上半部分——服务器系统管理。本节继续详细讲述一下服务器的安全管理部分。

　　服务器的安全决定了企业业务信息的安全，如果服务器的安全管理不当，可能会导致企业的内部机密、企业信息被窃取或者被破坏，最终导致企业面临巨大的损失。

　　一、服务器的安全管理

　　在网络安全管理上，现在的企业比几年前要求高了许多。不仅要求网络管理员能部署防火墙、杀毒软件系统，而且还要能对整个网络部署一套有效的安全策略，全面保证网络的安全。安全管理员根据实际经验得出，最重要的部分在于用户权利的配置、文件和文件夹共享权限和安全访问权限的配置。可使用的管理方法有系统管理报警选项设置、事件日志分析和安全策略审核等。

　　良好的安全策略对于企业的数据、软件和硬件是绝对重要的。在网络安全行业内流行着这样一条80/20法则，也就是80%的安全威胁来自网络内部(内部危害分为三类：操作失误、存心捣乱及用户无知)。要想保证网络的安全，在做好边界防护的同时，也要做好内部网络的管理。网络管理的职责之一就是定义、实施、管理和加强网络的安全性。如果许多无关人员也可以登录服务器，非授权的人也可以窃取或破坏信息，那么即使最好的硬件、软件和培训也都变得毫无价值。

　　二、软件安全策略的目标

　　1.保证授权的用户使用一定受限的网络资源，预防给予过高的权限，定时检查用户权限和用户组账户有无变更。

　　2.减小数据、服务器和网络设备等由于受到疏忽的操作或恶意的破坏而造成的损失。对于服务器而言，错误操作是最大隐患。这要求网络管理员自身要加强这方面的学习，对于用户，网络管理员要加强这方面的意识和操作培训。

　　3.防止网络中非授权的外部访问。例如，通过Internet访问。这是个易被忽视的内容，但对于网络管理员这是无法原谅的粗心。要限制用户的非法外网访问，一方面可以通过用户授权，另一方面还可以通过一些专用网络管理软件或硬件来实现，如一些代理服务器和宽带路由器就有访问控制的功能，要好好利用。

　　此外还需要注意的是对用户的管理。比如，网络管理员需要为新员工创建新的用户账号；当有职工调动工作岗位时，网络管理员该为其重新分配用户权限；当有职工离职时，网络管理员应该立刻删除这个账号与密码。

　　另外，在安全管理方面，还要注意安全管理中的“木桶理论”，整个网络的安全管理都是相互关联和影响的，整个网络的安全性最终取决于安全性能最差的部分，而不是那些安全管理做得最好的方面。　

　　三、服务器的软件管理

　　软件管理包括：添加新的软件、升级现有的软件、删除过时的软件。在服务器上安装软件时，最好在安装之前做好服务器备份。在工作站上安装的，则应该先做一个安装测试，然后保证每一台工作站的一致性。若在工作站上安装的是新软件，那么应该先做一个安装测试，并记录下每一个步骤。测试安装在典型的工作站上是否会出现问题。如果认为满意，就在每一个用户的计算机上都重复安装过程，保证一致性。如果在每一台工作站上都使用相同的硬件和操作系统，一致性的安装应用程序非常简单。如果网络上用户过多，可以考虑使用某些特殊的工具来生成软件自动安装过程。如Windows系统的“无人值守安装”和“远程安装”功能就可大大减轻网络管理员软件安装的负担。

　　软件也不是永久安全稳定的，在使用过程中，总会遇到各种问题，所以无论是操作系统还是设备的驱动程序，都应该至少每个季度检查一次有无升级的提示，在服务器和工作站上都要进行这一项工作。有时，补丁程序本身比要解决的问题还可怕，操作系统的补丁导致的严重事故数不胜数。如：2003年1月25日，爆发了Slammer病毒，那是利用SQLServer2000的一个漏洞进行攻击的蠕虫病毒。早在2002年7月，微软就针对SQLServer2000中1434端口的漏洞，公布了安全补丁程序，对于微软服务器软件的用户来说，只要下载了补丁程序，就可以避免这次灾难。但遗憾的是，太多用户忽视了微软的建议。从上述例子不难看出，在某种意义上，树立安全意识比安全技术本身更重要。

　　另外，在软件管理方面还应对服务器中专门存放源程序文件夹的访问权限进行严格限制，通常只允许系统管理员有权限访问和使用，否则一些不自觉的用户会在他们的计算机上安装一些不必要的软件。

　　四、硬件资源的维护与管理

　　在企业网络中，网络管理员通常要担负起管理服务器和全部共享网络资源的责任，包括打印机、处理器、内存和硬盘等。在这种条件下，网络管理员的责任是相当直接的。

　　管理这些网络硬件资源时，有一项重要任务就是实施常规检查。虽然现在复杂的网络操作系统可以承受一定程度的问题而不至于停工，但是网络管理员在这些非关键性的错误堆积起来并变得严重之前，需要周期性地检测服务器并纠正这些错误。计算机系统也带有诊断工具，但是可能需要使用比它们更复杂的专业工具，比方说Intel公司的LAN Desk Management Suite或者Novell的Manage Wise，可以进行更细致的测试，并有更好的联机帮助。网络管理员就是要坚守网络的阵地，还应对网络内的各台微机或各个工作站进行定期巡检，了解每台计算机的状态，并定期保养。

　　硬件故障出现后，网络管理员必须承担起故障排除和基本硬件维修的责任。往往这时候最能体现网络管理员的技术水平、冷静心态和逻辑思考能力。随着经验的增长，解决问题的能力也会逐步提高。网络管理员要了解各处可能发生的问题：时刻不忘在笔记本电脑中记下调查结果和建议；利用书籍、期刊和自学培训等方式尽可能地积累常见问题的解决方法；积极采取各项措施预防网络故障的发生。网络管理员应尽可能多地搜集信息，并记录在网络文档中。最后你会惊奇地发现以前的积累常常可以帮助查明某个事件的原因。

　　五、网络打印机的配置和管理

　　在企业中，打印机是必不可少的，特别是现在网络打印机得到广泛应用的今天。之所以要单独把它列出来，是因为其在企业网络中的位置已越来越重要，特别是在一些商务型企业中，网络管理员必须面对如何有效地管理企业网络中的打印机和打印任务等问题。这就要求网络管理员不仅要懂得安装、设置共享打印和网络打印服务器，而且还要熟悉一些网络打印机管理软件的使用，设置网络打印机的策略、共享属性和安全规则。

　　六、网络布线的日常维护

　　网络故障很大程度上是来自布线系统，有经验的网络管理员都知道，布线系统看似简单，却蕴涵着丰富的经验与技巧。做好了，在出现故障时，就能及时快速地定位故障的发生点；做不好，可能花费几天的工夫也不一定能找到一些实际上很明显的故障原因。

　　在日常的网络管理工作中，需要根据员工的调动与工作需要在网络上添加新的服务器、工作站和联网设备，替换被损坏的线缆或排除网络线缆接头故障等，都需要对网络布线系统进行维护。

　　1.建立网络布线基准文件

　　在线缆系统安装后，网络管理员使用电缆测试仪对线缆进行周期性检测，确保布线系统的质量。在评估认证后，将电缆测试仪存储的测试结果复制到计算机上并打印出来，作为网络布线基准文件。对于不合格或者即将不合格的线缆、模块或水晶头等附件进行即时更换。

　　2.网络布线故障的测试与定位

　　将网络布线系统分割为若干个逻辑元素，每个逻辑元素包含一段固定链路、分线盒和跳接电缆。使用电缆测试仪逐个测试逻辑元素，若电缆测试仪显示开路的距离，可以确定开路或短路的位置；若发现接线映射故障，多数是固定连路两端的误接；若是衰减存在，多数是劣质电缆。使用替代法验证可疑元件即可。

　　七、网络技术的升级与改造

　　随着网络技术的不断发展和网络应用领域的不断拓展，随着时间的推移，无论哪个企业的网络都将面临升级或改造。2003年之前，无线WLAN技术还没有得到广泛应用，企业网络基本上都是清一色的有线以太网，而从2003年3月Intel推出了集成无线网卡的迅驰处理器以后，WLAN无线网络技术得到了迅速发展，新技术、新标准不断涌现，WLAN技术已从小范围实验走向了企业应用的前沿。现在已有许多企业在原有的有线网络中部署了WLAN无线网络，如会议室、大堂、学校的操场和图书馆等公共场所。目前最新标准的IEEE.11n方案(还没正式批准)已开始上市，传输性能达到了前所未有的300Mbps或更高，比现在主流的54MbpsIEEE802.11g足足高出了5倍多。

　　还有，虽然现在绝大多数中小企业网络都只是百兆位，但实际上千兆位以太网早在几年前就开始普及了，原来的百兆位主干、十兆位桌面变成了千兆位主干、百兆位桌面，甚至是万兆位主干、千兆位桌面。还有如网络电话、VPN网络应用等，这些都是以前所没有得到实质应用的，现在却被应用在许多企业中。这些都属于网络升级或改造的范围，作为网络管理员，必须掌握最新的网络升级、改造技术，能根据企业自身需要提出各种可行的升级、改造方案。

　　综上所述，要做好一个服务器管理员，要具备丰富的网络知识、计算机技术、服务器系统管理等多方面关于计算机与网络的知识，才能切实维护好企业的网络安全，确保企业信息的安全性。