4:保护你的备份

　　每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害。但是，安全的问题远不止是备份那么简单。大多数人都没有意识到，你的备份实际上就是一个巨大的安全漏洞。

　　要理解这是为什么，试想一下，大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的。整个备份的过程通常是在半夜的时候结束，这取决于你有多少数据要备份。现在，想象一下，时间已经到了早晨四点，你的备份工作已经结束。但是，没有什么东西能够阻止一些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们。

　　不过，你可以阻止这种事情的发生。首先，可以通过密码保护你的磁带并且如果你的备份程序支持加密功能，你还可以加密这些数据。其次，你可以将备份程序完成工作的时间定在你早晨上班的时间。这样的话，即使有人前一天半夜想要溜进来偷走磁带的话，他们也会因为磁带正在使用而无法得逞。如果窃贼还是把磁带弹出来带走的话，磁带上的数据也就毫无价值了。

　　5:使用一个强有力的安全政策

　　要提高安全性，另一个你可以做的工作就是制定一个好的，强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚。

　　如果你使用Windows 2000 Server，你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这样，人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号。这样，不满的员工就不会有机会来搅乱公司的系统了。同时，使用特殊用户权限，你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。

　　6:反复检查你的防火墙

　　我们的最后一个技巧包括仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。

　　你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。如果你还有DNS注册的Web服务器或是电子邮件服务器，它们的IP地址也许也要通过防火墙对外界可见。但是，工作站和其他服务器的IP地址必须被隐藏起来。

　　你还可以查看端口列表验证你已经关闭了所有你并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通讯，因此你可能并不想堵掉这个端口。但是，你也许永远都不会用端口81因此它应该被关掉。你可以在Internet上找到每个端口使用用途的列表。

　　7:考虑工作站的安全问题

　　在一个关于服务器安全的文章里谈论工作站的安全看起来很奇怪。但是，工作站正是通向服务器的一个端口。加强工作站的安全能够提高整个网络的安全性。对于初学者，我建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做，那么至少使用Windows NT。你可以锁定工作站，使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。

　　另一个技术是控制哪个人能够访问哪台工作站。例如，有一个员工叫Bob，并且你已经知道他是一个麻烦制造者。显然，你不想Bob能够在午餐的时候打开他朋友的电脑或是差上他自己的笔记本然后黑掉整个系统。因此，你应该使用工作组用户管理程序还修改Bob的帐号以便他只能从他自己的电脑(并且是在你指定的时间内)登录。Bob远不太可能从他自己的电脑上攻击网络，因为他知道别人可以将他追查出来。

　　另一个技术是将工作站的功能限定为一个哑终端，或者，我没有更好的词语来形容，一个"聪明的"哑终端。总的来说，它的意思是没有任何数据和应用程序驻留在独立的工作站上。当你将计算机作为哑终端使用的时候，服务器被配置成运行Windows NT 终端服务程序，而且所有的应用程序物理上都运行在服务器上。所有送到工作站的东西都不过是更新的屏幕显示而已。这意味着工作站上只有一个最小化的Windows版本和一份微软终端服务程序的客户端。使用这种方法也许是最安全的网络设计方案。

　　使用一个"聪明"的哑终端就是说程序和数据驻留在服务器上但却在工作站上运行。所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服务器上的应用程序的图标。当你点击一个图标运行程序时，这个程序将使用本地的资源来运行，而不是消耗服务器的资源。这比你运行一个完全的哑终端程序对服务器造成的压力要小得多。

　　结论

　　服务器的安全问题是一个大问题。你不希望紧要的数据被病毒或是黑客破坏或是被一个可能用这些数据来对付你的人窃取。在本文中，我介绍了7个你应该在下一次安全审查中注意的地方。