如何才能確保系統的安全？這雖然是一個老生常談的問題，但是，還是有很多網絡用戶不知道該如何回答，或者是不知道什么才是最恰當的回答。究其原因，不是他們不知道如何去做，而是沒有為此形成一種解決問題的思路，或者說是還沒有理解解決系統安全之道。 ??? 道，就是指到達目的的道路、途徑，還可以指解決問題的思路和解決問題的規律。同樣，要想系統安全能達到我們所期望的水平，最好的方法就是找到解決它的道。就目前來說，保障系統安全最好的道，就是依次按“制定系統部署計劃”—“安裝系統”—“系統安全加固”—“系統監控和維護”這四個階段的方式來部署一個系統，而不論你使用的是Windows系統還是基于Linux內核的系統。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

第一個階段，制定系統部署計劃

??? 在你決定要部署某個系統時，首先要做的，就是根據部署的目標，為將要進行的系統部署工作制定一個詳細的計劃。它將作為你整個系統部署過程當中的指導方針。這個階段也是整個系統部署過程中最重要的一個環節，它的好壞直接影響到整個系統部署的成功與否。 系統部署計劃通常包括以下的內容： 1、 系統部署的目的。就是指確定要部署的這個系統是做什么用途的。例如，用來做WEB服務器、電子郵局服務器、***檢測系統、數據備份服務器，還是只用來做普通的桌面系統等。 2、 系統類型。就是指使用哪種類型的操作系統及版本。這是根據系統部署目標來定的。 3、 系統安全目標。它也是根據系統部署的目的來確定的，不同的系統部署目的會有不同的安全防范目標。有時，安全目標還與你自身的經濟條件有關，你不得不在可以承受的風險大小和可承受的成本投入之間做一個平衡的決策。由于系統面對的安全威脅是各種各樣的，因此，你應當針對系統所面臨的每種安全威脅，制定一個獨立的安全防范目標，然后將這些目標有機的結合起來構成一個完整的安全目標系統。就目前安全威脅形勢來說，你要制定防止******、******、病毒感染、網頁***、網絡釣魚、社會工程***和物理***這七個主要系統安全威脅要達到的安全目標。 4、 每個安全目標的安全策略。就是指使用什么樣的安全方法可以達到這些目標，以及如何具體操作，使用什么樣的技術和方案及產品等。 5、 系統部署具體實施的開始和結束時間，以及具體的實施人員等都應當記錄在案。 第二階段，安裝系統

??? 當系統部署計劃制定好后，就可以根據所制定的計劃，開始著手進行具體的實施。系統部署具體實施的第一步就是進行系統的安裝。系統安裝是保障系統安全的一個重要環節，不可以輕視。系統如何安裝，安裝過程進行什么樣的操作，都要根據制定的計劃當中的系統部署目的和安全目標來進行操作的。對于系統的安裝方式，可以通過安裝CD、硬盤或網絡的方式進行安裝。為了安全，一般使用安裝CD和硬盤安裝的方式進行，網絡安裝只能用于局域網內部方式進行。對于Windows操作系統來說，其桌面版本和服務器版本的安全過程大體相差不大，在安裝過程中，用戶能干涉的地方也很少，大部分按默認方式安裝就可以了。而基于Linux內核的操作系統在安裝過程中就可以給用戶很大的選擇權。用戶在安裝Linux內核的系統時，會被提示設置防火墻級別、網絡、root用戶密碼、系統引導器（現在一般指GRUB）的密碼設置及普通用戶的密碼設置等，以及可以由用戶自行指定是否安裝X11系統和其它程序、服務、庫和軟件等。有些基于Linux內核的發行版本還允許用戶設置磁盤的LVM方式及加密，以及磁盤RAID的設置，是否啟用SELinux等等。總的來說，在系統安裝時，要根據系統部署的目的（例如是作為桌面系統還是服務器），以及安全目標來仔細定置每一個安裝步驟。 第三階段，系統安全加固

??? 一旦系統及所有的硬件驅動全部安裝完善后，在新部署的系統連入互聯網絡之前，還應當對它進行全面的安全加固工作。將一臺沒有進行安全加固的系統布置到互聯網的邊界上，就如同一座沒有安鎖的房子一樣不安全，被***只存在時間長短的問題。系統安全加固也是系統部署過程中最重要的一環，系統安全加固的成功與否直接關系到系統抵擋各種安全威脅的效果。因此，系統安全加固，一般以最大的安全性為首要目標，同時以保障系統所必需提供的服務的可訪問性為最基本的原則。 ??? 對系統進行安全加固，首先你得明白目前系統存在什么樣的風險，這樣你才能知道要加固系統的哪些方面。這個任務可以通過一些系統漏洞檢測工具來完成。在Windows系統平臺下，常用的可信的系統漏洞檢測工具就是微軟基準安全分析器（MBSA），其它的Windows系統下的漏洞檢測軟件還有SuperScan、Winfingerprint、Metasploit和360安全衛士等。在基于Linux內核的系統中，比較好用的主機漏洞檢測軟件有Nmap 、Nessus、Linux Security Auditing Tool (LSAT)和SATAN等。 ??? 系統漏洞檢測工具在對系統做過全面的體檢后，會生成一個可讀的系統漏洞報告，報告的內容包括系統需要打的補丁個數、開放的危險端口、啟動了的存在危險的服務及存在弱口令的管理員賬號等等。這時你就應當根據系統漏洞報告，采取相應的安全措施來修補這些漏洞。 通常，一個新安裝的系統，系統的補丁是應當首先要更新的。在Windows平臺下，你可以使用Windows更新程序，或者使用360安全衛士等軟件來更新系統補丁。在Linux內核的系統平臺下，可以直接通過更新編譯最新的內核版本的方式來更新Linux內核補丁。至于其它軟件和X11補丁的更新，每一種Linux內核發行版本都不相同，以Fedora core 7為例，就可以通過RPM安裝程序或紅帽更新計劃來進行。系統補丁的更新還可以通過自動方式來進行，這能減少系統管理員的日常工作量。在Windows平臺下可以通過搭建WSUS（Windows Server Update Services）服務，而基于Linux內核的系統可以通過編寫Shell腳本，然后通過Crontab來自動執行。 至于其它的系統加固方面，可以根據系統檢測報告來分步進行，例如系統服務及端口的設置，用戶權限的設置，系統審核和日志記錄，資源共享方式等。對于系統中必需使用的網絡應用程序，一定要安裝最新的版本，一般就能修補以往此軟件存在的漏洞。你還可以使用其它相同功能的安全性高的軟件來進行網絡應用，例如使用SSL ***進行遠程連接，使用數字簽名進行電子郵件發送等。 ??? 系統安全加固的方式還可以使用其它第三方的安全軟件來完成，例如單機版防火墻、殺毒軟件、垃圾郵件過濾軟件等。同時，對系統進行安全加固也可以按照層次化安全防范的方式來進行，根據可能存在威脅，一層層進行相應的防護，以此來保障當某層安全防范被突破后，還有另一層安全措施在防范，這樣能在最大限度地保證系統的安全。 ??? 在進行系統安全加固過程中需要特別注意的是，在應用的每一種安全軟件或方法的同時，還要確保這種安全軟件或方法本身是安全的。還有就是要明白，能將系統安全風險降低到我們能承受的最低水平就可以了，一味追求絕對安全是不可取的。 第四階段，系統監控與維護

??? 對系統進行安全加固以后，并不意味著在新系統的使用過程當中，就可以高枕無憂了。你還應當在系統的使用過程當中，不斷地對系統進行監控，這樣才能及時發現系統正面臨的問題，并對它進行恰當的維護。這是因為，隨著***者技術水平的不斷提高，就會有新的系統及應用程序的安全漏洞被發現，同時會出現更多高級的網絡***工具，所有的這些，都不可能將系統只進行一次安全加固，就可以解決現在及將來的安全威脅問題的。更何況，系統的操作者的某些操作行為，也會帶來一些意想不到的威脅。因此，你還應當在計算機投入使用后的整個使用生命周期當中，都應當對它進行不斷的監控，并對存在的實時的安全問題做出相應的調整。 在Windows系統中，你可以通過“任務管理器”來了解正在運行的任務和進程，還可以通過“系統信息”中的“正在運行的任務”來更加詳細地了解現在運行的任務的進程名、PID、所處的位置和程序名稱及它們所加載的模塊等等。還可以通過使用icesword、procexp、autoruns和360安全衛士等軟件來查看哪些不能在“任務管理器”中顯示的進程。你還可以使用Filemon和Regmon這兩個程序來對系統文件和注冊表進行監控，來發現系統文件和注冊表的改變?，F在一些新版本的殺毒軟件和應用層防火墻也已經具有進程行為監控的功能了。例如Tiny Firewall等。在Windows系統下，你還可以通過“系統信息”中的“系統文件驗證程序”來驗證一些重要系統的數字簽名，它會將已經被修改的系統文件顯示出來，并顯示出修改的時間。這種方式，可以用來檢測是否系統的DLL文件被***或病毒注入了。而Windows系統中網絡連接狀況的監控，你可以使用如Wireshark等嗅探軟件來分析，還可以使用ManageEngine_OpUtils軟件來進行。 在基于Linux內核的系統中，顯示系統進程的命令有ps和top，顯示登錄用戶的命令有last和who，顯示網絡連接情況的命令有netstat和nbtstat。其中還有許多可以用來顯示系統信息的目錄，如/proc/sys目錄。同樣，在在Linux系統下，你可以使用Bastille unix來檢測和加固Linux系統。 ??? 你還可以通過每個系統的系統日志文件及應用程序的日志文件，來分析得到系統及應用程序的運行狀況，并發現可能已經存在的威脅。在Windows系統下，可以通過“控制面板”—“管理工具”中的“事件查看器”來查看應用程序和系統的日志及用戶審核記錄。在Linux系統下，可以通過直接用VI打開/var/log/目錄下的相應日志文件進行查看，還可以通過logwatch來監視日志文件，使用logcheck來檢查日志文件。 ??? 通過上述四個階段的分步實施，就能部署出一個安全的系統。本文的目的，只是讓用戶形成一種安全部署系統的思路，理解系統安裝部署之道。至于在部署過程當中具體的安全設置方法和安全工具的使用，在以往的網管員世界和互聯網中，讀者朋友都可以找到它們的詳細說明，因而就沒有在本文中作具體的描述了。

總結

以上是生活随笔為你收集整理的部署安全系统之道的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。