加强保护
视主机操作系统和运行的网络环境而定,你可以要求使用令牌或者生物识别技术进行验证,用于管理员对任何主机进行访问,你还可以限制管理员只能访问安全区域的某个子网。这样,如果管理员想添加一个新用户,就必须在特定的安全区域,通过特定子网上的PC来进行添加,还必须提供用户名、口令、采用生物识别技术的身份以及令牌码。
改变操作系统
不过,如果你需要更高的安全级别,恐怕就得采用专门技术了。不要单单把Windows作为服务器的操作系统。Windows是一款非常流行的服务器操作系统,但每个黑客都知道,就潜在回报而言,花时间查找Windows操作系统的安全漏洞,远比花同样时间闯入某个版本的Unix大得多。即使你买不起所选择的某个Unix版本的源代码许可证,Unix较之Windows也有一个优点:你可以重新构建内核,只包含主机中真正需要的那些部分。相比之下,Windows在这方面的内核随带了大量的代码,你没法删除,也没法全部关闭。
再者,人们在Unix的安全配置方面有着二十年的丰富经验。另外,Unix随带编程人员编写小的系统应用软件所需的各种工具,比如用于删除未授权进程(通常可以在基于Unix的防火墙上找到),或者是改动系统验证进程,以便查看允许某用户登录到主机之前,是否物理上进入了公司大楼。
所以这些特性都需要简化代码,而Unix非常适合这项工作。但普通公司的在职人员不可能拥有相应的技能和经验来从事这项工作,很多情况下就需要外包来实现主机的安全加固。遗憾的是,你还要为此权衡外包的风险。
