如何做到真正系統(tǒng)性的防止服務(wù)器被入侵

（文章來(lái)源：迷你數(shù)智）

中國(guó)在2016年推出了《網(wǎng)絡(luò)安全法》，同時(shí)，在2019年12月發(fā)布了《等級(jí)保護(hù)》2.0。這里頭都對(duì)網(wǎng)絡(luò)安全要求提高到了更高的高度。按國(guó)家要求，我們安全至少需要從兩方面來(lái)防護(hù)：在計(jì)算機(jī)安全技術(shù)上，我們可以從4個(gè)方面來(lái)著手分析服務(wù)器存在的風(fēng)險(xiǎn)，以及防范措施。物理環(huán)境就是指我們服務(wù)器存放的位置，我們需要分析它是否存在如下風(fēng)險(xiǎn)：

如果是自有服務(wù)器，你必須要有相對(duì)隔離的專(zhuān)用空間，并配上門(mén)禁和視頻監(jiān)控控制出入。因?yàn)槿绻?wù)器人人都可以觸碰到它，那它沒(méi)有任何安全可言。因?yàn)橹灰锢砩峡梢越佑|到，那就有可能會(huì)被惡意的人盜走服務(wù)器，然后在慢慢破解服務(wù)器，獲取服務(wù)器的信息。如果服務(wù)器是托管，你必須要求托管方有上面提到的門(mén)禁、視頻監(jiān)控等。不過(guò)，一般都會(huì)有。如果是云服務(wù)器，也就是虛擬機(jī)，那你要求云服務(wù)商的物理服務(wù)器必須在國(guó)內(nèi)，同樣有上面提到的基本物理安全。②、通訊網(wǎng)絡(luò)安全。

通訊網(wǎng)絡(luò)就是服務(wù)器需要對(duì)外提供服務(wù)使用的網(wǎng)絡(luò)系統(tǒng)。這一塊是我們比較熟悉的。我們需要做如下措施來(lái)保障安全：

出口必須有防火墻，（有條件用雙機(jī)）通過(guò)防火墻的的規(guī)則，可以屏蔽不需要開(kāi)放的端口。使得黑客們的攻擊面變窄。服務(wù)器和桌面終端不能在同一個(gè)區(qū)域，至少需要?jiǎng)澐諺LAN隔離。對(duì)外服務(wù)的訪(fǎng)問(wèn)盡量采用加密訪(fǎng)問(wèn)，比如：web服務(wù)就盡量采用HTTPS來(lái)提供；有分支結(jié)構(gòu)訪(fǎng)問(wèn)的，采用加密IPsec VPN或者SSL VPN來(lái)訪(fǎng)問(wèn)。服務(wù)器本身需要有 TPM 芯片（現(xiàn)在一般都有），該芯片是可信計(jì)算模塊，可以幫助我們的服務(wù)器對(duì)內(nèi)部的計(jì)算信息進(jìn)行加密。確保不會(huì)在計(jì)算過(guò)程中因?yàn)樾畔⒈桓`取而出現(xiàn)安全問(wèn)題。③、區(qū)域邊界安全。

這里說(shuō)的區(qū)域是指我們內(nèi)部網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，比如：桌面處于一個(gè)區(qū)域（安全級(jí)別較低），服務(wù)器處于一個(gè)區(qū)域（安全級(jí)別較高）；

不同的區(qū)域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統(tǒng)，讓低安全等級(jí)的區(qū)域不能隨意進(jìn)入高安全等級(jí)區(qū)域。出口的邊界區(qū)域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統(tǒng)IPS、來(lái)防范攻擊。因?yàn)榉阑饓χ皇鞘照斯裘?。相?dāng)于只是一個(gè)小區(qū)保安幫忙過(guò)濾了一下進(jìn)出人員。但無(wú)法防范偽冒正常流量的攻擊。所以需要配備IPS，來(lái)對(duì)入侵進(jìn)行防御。服務(wù)器必須配備防病毒系統(tǒng)。如果服務(wù)器眾多，可以配備防病毒網(wǎng)關(guān)。服務(wù)器就1-2臺(tái)，那就在服務(wù)器上安全企業(yè)殺毒軟件，防止病毒入侵。④、計(jì)算安全

計(jì)算安全就是服務(wù)器本身的計(jì)算安全。這里需要防止服務(wù)器本身的軟硬件不安全和內(nèi)部人員的惡意行為。

系統(tǒng)要加固，也就是操作系統(tǒng)要及時(shí)打補(bǔ)丁，尤其是安全補(bǔ)丁。如果服務(wù)器眾多，可以考慮上服務(wù)器加固系統(tǒng)。身份安全：也就是服務(wù)器的密碼必須復(fù)雜口令、并且定時(shí)更換。有條件的可以采用動(dòng)態(tài)密碼和靜態(tài)密碼結(jié)合的雙因子認(rèn)證。定期要進(jìn)行漏洞掃描，防止服務(wù)器在使用過(guò)程中出現(xiàn)漏洞。一旦掃描發(fā)現(xiàn)漏洞，需要立即進(jìn)行修復(fù)。服務(wù)器日志要集中收集，運(yùn)維人員定時(shí)分析日志。發(fā)現(xiàn)異常入侵行為日志，應(yīng)該立即預(yù)警，并作出防御行動(dòng)。最后，為了防止內(nèi)部人員惡意入侵，我們還需要一套堡壘機(jī)，通過(guò)堡壘機(jī)來(lái)控制所有的運(yùn)維人員對(duì)服務(wù)器的操作。確保其權(quán)限始終，并且操作行為可被追蹤。管理手段

管理手段是指我們服務(wù)器在持續(xù)運(yùn)營(yíng)的階段，我們要保障它的安全性可以持續(xù)。我們需要通過(guò)建立以下管理手段：

建立安全管理制度，制定安全策略、發(fā)布完整的安全管理制度；建立安全管理機(jī)構(gòu)：落實(shí)安全崗位、人員職責(zé)，并有監(jiān)督機(jī)制；人員安全管理：對(duì)安全人員要定期進(jìn)行安全培訓(xùn)，對(duì)人員入職、離職做好安全管理。對(duì)于來(lái)訪(fǎng)人員應(yīng)該做好安全管控，比如：必須明確可以進(jìn)入的區(qū)域，不能進(jìn)入的區(qū)域；采購(gòu)安全設(shè)備，要關(guān)注安全設(shè)備廠(chǎng)商的資質(zhì)、設(shè)備的認(rèn)證情況；建立安全運(yùn)維制度：無(wú)論自己運(yùn)維還是第三方運(yùn)維，都必須有一套安全運(yùn)維管理制度來(lái)管理整個(gè)安全運(yùn)維結(jié)束語(yǔ)

從系統(tǒng)化思維出發(fā)，可以全面防范服務(wù)器入侵。由于整個(gè)安全防范是非常大的一個(gè)范圍。每個(gè)范圍都是很大的技術(shù)知識(shí)體系。這里只是簡(jiǎn)要描述。
? ? ?