如何做到真正系統(tǒng)性的防止服務(wù)器被入侵
(文章來源:迷你數(shù)智)
中國在2016年推出了《網(wǎng)絡(luò)安全法》,同時,在2019年12月發(fā)布了《等級保護》2.0。這里頭都對網(wǎng)絡(luò)安全要求提高到了更高的高度。按國家要求,我們安全至少需要從兩方面來防護:在計算機安全技術(shù)上,我們可以從4個方面來著手分析服務(wù)器存在的風(fēng)險,以及防范措施。物理環(huán)境就是指我們服務(wù)器存放的位置,我們需要分析它是否存在如下風(fēng)險:
如果是自有服務(wù)器,你必須要有相對隔離的專用空間,并配上門禁和視頻監(jiān)控控制出入。因為如果服務(wù)器人人都可以觸碰到它,那它沒有任何安全可言。因為只要物理上可以接觸到,那就有可能會被惡意的人盜走服務(wù)器,然后在慢慢破解服務(wù)器,獲取服務(wù)器的信息。如果服務(wù)器是托管,你必須要求托管方有上面提到的門禁、視頻監(jiān)控等。不過,一般都會有。如果是云服務(wù)器,也就是虛擬機,那你要求云服務(wù)商的物理服務(wù)器必須在國內(nèi),同樣有上面提到的基本物理安全。②、通訊網(wǎng)絡(luò)安全。
通訊網(wǎng)絡(luò)就是服務(wù)器需要對外提供服務(wù)使用的網(wǎng)絡(luò)系統(tǒng)。這一塊是我們比較熟悉的。我們需要做如下措施來保障安全:
出口必須有防火墻,(有條件用雙機)通過防火墻的的規(guī)則,可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。服務(wù)器和桌面終端不能在同一個區(qū)域,至少需要劃分VLAN隔離。對外服務(wù)的訪問盡量采用加密訪問,比如:web服務(wù)就盡量采用HTTPS來提供;有分支結(jié)構(gòu)訪問的,采用加密IPsec VPN或者SSL VPN來訪問。服務(wù)器本身需要有 TPM 芯片(現(xiàn)在一般都有),該芯片是可信計算模塊,可以幫助我們的服務(wù)器對內(nèi)部的計算信息進行加密。確保不會在計算過程中因為信息被竊取而出現(xiàn)安全問題。③、區(qū)域邊界安全。
這里說的區(qū)域是指我們內(nèi)部網(wǎng)絡(luò)進行區(qū)域劃分,比如:桌面處于一個區(qū)域(安全級別較低),服務(wù)器處于一個區(qū)域(安全級別較高);
不同的區(qū)域之間雖然有前面提到的VLAN隔離,但是我們還需要部署防火墻系統(tǒng),讓低安全等級的區(qū)域不能隨意進入高安全等級區(qū)域。出口的邊界區(qū)域,除了前面提到需要出口防火墻外,還可以配備入侵防御系統(tǒng)IPS、來防范攻擊。因為防火墻只是收窄了攻擊面。相當(dāng)于只是一個小區(qū)保安幫忙過濾了一下進出人員。但無法防范偽冒正常流量的攻擊。所以需要配備IPS,來對入侵進行防御。服務(wù)器必須配備防病毒系統(tǒng)。如果服務(wù)器眾多,可以配備防病毒網(wǎng)關(guān)。服務(wù)器就1-2臺,那就在服務(wù)器上安全企業(yè)殺毒軟件,防止病毒入侵。④、計算安全
計算安全就是服務(wù)器本身的計算安全。這里需要防止服務(wù)器本身的軟硬件不安全和內(nèi)部人員的惡意行為。
系統(tǒng)要加固,也就是操作系統(tǒng)要及時打補丁,尤其是安全補丁。如果服務(wù)器眾多,可以考慮上服務(wù)器加固系統(tǒng)。身份安全:也就是服務(wù)器的密碼必須復(fù)雜口令、并且定時更換。有條件的可以采用動態(tài)密碼和靜態(tài)密碼結(jié)合的雙因子認(rèn)證。定期要進行漏洞掃描,防止服務(wù)器在使用過程中出現(xiàn)漏洞。一旦掃描發(fā)現(xiàn)漏洞,需要立即進行修復(fù)。服務(wù)器日志要集中收集,運維人員定時分析日志。發(fā)現(xiàn)異常入侵行為日志,應(yīng)該立即預(yù)警,并作出防御行動。最后,為了防止內(nèi)部人員惡意入侵,我們還需要一套堡壘機,通過堡壘機來控制所有的運維人員對服務(wù)器的操作。確保其權(quán)限始終,并且操作行為可被追蹤。管理手段
管理手段是指我們服務(wù)器在持續(xù)運營的階段,我們要保障它的安全性可以持續(xù)。我們需要通過建立以下管理手段:
建立安全管理制度,制定安全策略、發(fā)布完整的安全管理制度;建立安全管理機構(gòu):落實安全崗位、人員職責(zé),并有監(jiān)督機制;人員安全管理:對安全人員要定期進行安全培訓(xùn),對人員入職、離職做好安全管理。對于來訪人員應(yīng)該做好安全管控,比如:必須明確可以進入的區(qū)域,不能進入的區(qū)域;采購安全設(shè)備,要關(guān)注安全設(shè)備廠商的資質(zhì)、設(shè)備的認(rèn)證情況;建立安全運維制度:無論自己運維還是第三方運維,都必須有一套安全運維管理制度來管理整個安全運維結(jié)束語
從系統(tǒng)化思維出發(fā),可以全面防范服務(wù)器入侵。由于整個安全防范是非常大的一個范圍。每個范圍都是很大的技術(shù)知識體系。這里只是簡要描述。
? ? ?