文/鲁忠宇

数字化档案馆网络安全策略浅谈

文/鲁忠宇

数字档案馆依托网络环境传输数字化信息。因此对网络黑客防范和服务器安全管理必不可少，在数字档案馆建设初期，根据实际情况考虑将前端与数据库分离，避免在IIS服务与数据库并置的情况下，由于IIS漏洞引起数据库数据丢失。前端与数据库采用独立安全体系，启用不同的安全策略

数字档案馆是大数据时代传统档案馆发展的方向。数字档案馆是以处理信息、存储信息和传输信息三大技术为基础构成的。由于使用这种新技术伴随着诸多安全隐患，易受网络黑客和病毒的攻击，这种新技术主要是新的信息资源形态（数字化）和新的信息资源使用方式（网络传输）。

目前大部分数字档案馆的信息服务器主要采用Web界面和基于TCP/IP协议的信息技术系统。其程序的基本构架基于B/S（浏览器/服务器模式）结构，服务器端一般用Windows Server2008R2或者Windows Server2012R2（前者居多）操作系统，并且多数系统要求安装使用IIS服务（Internet Information Servers）。众所周知，Windows系列是Mic rosoft公司的产品，具有优秀的图形化界面和易操作性，但是系统安全漏洞众多，针对Windows系统的病毒木马泛滥。

数字档案馆购置的数字化文献数据库大都要求在Windows 2008R2环境下运行，如果相关系统实施人员安装时操作不当未进行专业安装选择，且不进行正确的安全配置的话，其安全性几乎得不到保证。因此，笔者依据的个人工作经验，对数字档案馆服务器端的基本配置提出七点建议。

1　按需定制安装Windows组件

Windows 2008R2在初始安装时会安装一些默认组件，但是这些默认组件本身可能存在很多安全漏洞，不必要的组件建议全部卸载。如果公司环境允许建议安装Windows server core版本，利用命令行进行基本网络服务部署及管理。笔者个人认为在部署数字化档案管前应该细致了解系统数据库与提供的业务服务基本功能。然后按照实际情况安装需要的Windows服务，不需要的默认服务全部卸载。根据系统安全原则：最少的服务+最小的权限=最大的安全，一般Web服务仅需安装IIS服务的Common Files，IIS Snap-In，WWW Server组件。现在大部分数字化档案馆的检索系统仅需安装IIS服务。

如果确实需要安装其它组件，应该详细了解组件各部分功能然后根据需求安装。

2　服务器规划配置

在数字档案馆建设初期，根据实际情况考虑将前端与数据库分离，避免在IIS服务与数据库并置的情况下，由于IIS漏洞引起数据库数据丢失。前端与数据库采用独立安全体系，启用不同的安全策略。

在购置硬件服务器时，必需购置阵列卡，系统盘采用RAID1或RAID10，数据盘采用RAID5或安装HBA卡连接专业存储服务器（RAID5），从而保证操作系统及数据区的稳定性，避免由于硬盘损坏引起数字档案馆系统崩溃，数据丢失等问题。

3　磁盘分区规划

在安装系统时，绝对禁止将硬盘仅做一个逻辑分区，所有的程序和文档资料都装在C驱上，这种做法既不科学也不安全。微软操作系统的IIS服务存在bug较多，即使用户及时更新补丁也难以避免由于IIS漏洞导致黑客外部入侵，获取系统盘权限，从而致使黑客远程获取管理员权限。

安全的做法是是建立三个分区：第一个不小于100GB，用来装Windows server操作系统及存放系统日志文件；第二个分区作为IIS根目录，第三个分区用于作为FTP目录。

这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。IIS和FTP是支持对外服务的，把它们分开可以防止了入侵者通过FTP上传危险代码或可执行程序在IIS中非法运行，从而入侵数字档案馆系统。

4　专人适时安装系统补丁

由于微软系统的本身存在的各种各样的安全隐患，所以适时的安装系统补丁是至关重要的。一般补丁更新可以通过以下三个途径：

1）如果服务器可以直接访问互联网的情况下可以w indows update搜索更新系统补丁。

2)通过企业的wsus服务器更新系统补丁。

3)通过第三方软件更新例如360卫士、腾讯管家等软件。

个人建议为了数字档案馆安全考虑选择第二种办法，由于第一和第三种都需要服务器访问互联网，这样服务器更容易受到外部威胁。

多数病毒都是根据系统安全漏洞攻击应用服务器的，例如早些年的尼姆达病毒、“红色代码”等都是利用系统安全漏洞进行攻击并造成了巨大的破坏的。所以系统补丁应适时安装，保证更新到半月或一月之前，突发病毒补丁关注微软官网实时更新。

当然系统补丁不是说微软出一个，我们就更新一个。因为补丁本身可能存在新的的漏洞或者补丁更新后会影响系统稳定，所以一般在一至两周后更新本周补丁，确保补丁稳定可靠再去更新。

5　系统端口控制

系统端口是内外网络连接的逻辑接口。系统端口是直接暴露给内网用户及互联网用户的，所以如何合理控制系统端口的开放情况是至关重要的。

一般端口控制采用一下方案：

1）对内网用户端口控制

在服务器安装防火墙软件，仅开放此服务器访问域或者其它服务器必须端口，其它端口通过防火墙软件关闭。

2）对互联网用户端口控制

在单位防火墙设备设置访问策略，并对外服务器仅做必须端口映射。尽量避免全IP映射。

6　Windows IIS服务优化方案

IIS服务是Windows服务组件中安全漏洞最多的一个，一般两至三个月就会出现新的漏洞。而IIS服务默认安装危险较大，所以对IIS服务的配置做以下优化：

1）把C盘下默认目录（c：Inetpub）彻底删掉，在D盘重新一个目录。建议不要采用初始名称和中文名称，然后将主目录指向新建目录。

2）删除默认虚拟目录，如果需要自行新建，并且根据系统需求设置目录访问权限。目录写权限需要严格控制，如果可以尽量不开放此权限。

3）禁用匿名用户登录。

7账号管理

帐号管理应做到以下几点：

1)禁用或更名系统内置帐号adm inistrator

内置帐号adm inistrator密码容易被黑客暴力破解所以为了安全起见建议将此帐号停用过改名。

停用adm inistrator操作步骤：

系统管理员帐号登录后打开计算机管理-〉本地用户和组-〉用户，右键adm inistrator属性-〉停用此账户。

Adm inistrator账户更名操作步骤：

系统管理员帐号登录后打开计算机管理-〉本地用户和组-〉用户，右键单击adm inistrator，单击重命名。如果不停用仅重名此帐号，须定期更改具有一定复杂度的密码。密码复杂度最低要去8位以上密码由大小写字母、数字、特殊字符。

2)禁止显示上次用户登录名

启用Windows安全策略禁止显示上次用户登录名，避免黑客通过暴露的上次登录用户名暴力破解用户密码。

使用系统管理员登录后，打开组策略编辑器-〉计算机策略-〉Windows设置-〉安全设置-〉本地策略-〉安全选项-〉禁用“交互式登录：不显示最后的用户名”。

3）将其它管理人员账号设置最低工作需求用户权限。

4）开启本地账号密码策略和账号锁定策略，避免弱口令及暴力破解密码。使用系统管理员登录后，打开组策略编辑器-〉计算机策略-〉Windows设置-〉安全设置，再根据实际情况启用并设置账户策略和账户锁定策略，达到保护服务器帐号的目的。

综上所述，数字化档案馆是依托网络环境进行数字化文献的检索和传输，数字化档案馆的重点工作是做好服务器及网络的安全防护。由于目前流行的Windows server操作系统存在重多安全漏洞、系统服务配置不够细致、密码设置简单，补丁更新不及时等等问题造成很多业务系统都处于高危状态。黑客很容易通过扫描程序发现有系统漏洞对服务器发动攻击。笔者认为，为使数字化档案馆的网络安全得到有力保障，必须认真执行上述的七点建议，这样就能大大提高数字化档案馆系统的安全性和可靠性。

（作者单位：西北电力设计院）