中國在2016年推出了《網(wǎng)絡(luò)安全法》，同時，在2019年12月發(fā)布了《等級保護》2.0。這里頭都對網(wǎng)絡(luò)安全要求提高到了更高的高度。按國家要求，我們安全至少需要從兩方面來防護：

　　一、技術(shù)手段

　　在計算機安全技術(shù)上，我們可以從4個方面來著手分析服務(wù)器存在的風(fēng)險，以及防范措施。

　　①、物理環(huán)境安全

　　a.物理環(huán)境就是指我們服務(wù)器存放的位置，我們需要分析它是否存在如下風(fēng)險：

　　b.如果是自有服務(wù)器，你必須要有相對隔離的專用空間，并配上門禁和視頻監(jiān)控控制出入。因為如果服務(wù)器人人都可以觸碰到它，那它沒有任何安全可言。

　　因為只要物理上可以接觸到，那就有可能會被惡意的人盜走服務(wù)器，然后在慢慢破解服務(wù)器，獲取服務(wù)器的信息。

　　c.如果服務(wù)器是托管，你必須要求托管方有上面提到的門禁、視頻監(jiān)控等。不過，一般都會有。

　　d.如果是云服務(wù)器，也就是虛擬機，那你要求云服務(wù)商的物理服務(wù)器必須在國內(nèi)，同樣有上面提到的基本物理安全。

　　②、通訊網(wǎng)絡(luò)安全

　　通訊網(wǎng)絡(luò)就是服務(wù)器需要對外提供服務(wù)使用的網(wǎng)絡(luò)系統(tǒng)。這一塊是我們比較熟悉的。我們需要做如下措施來保障安全：

　　a.出口必須有防火墻，(有條件用雙機)通過防火墻的的規(guī)則，可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。

　　b.服務(wù)器和桌面終端不能在同一個區(qū)域，至少需要劃分VLAN隔離。

　　c.對外服務(wù)的訪問盡量采用加密訪問，比如：web服務(wù)就盡量采用HTTPS來提供;

　　d.有分支結(jié)構(gòu)訪問的，采用加密IPsec VPN或者SSL VPN來訪問。

　　e.服務(wù)器本身需要有TPM 芯片(現(xiàn)在一般都有)，該芯片是可信計算模塊，可以幫助我們的服務(wù)器對內(nèi)部的計算信息進行加密。確保不會在計算過程中因為信息被竊取而出現(xiàn)安全問題。

　　③、區(qū)域邊界安全

　　這里說的區(qū)域是指我們內(nèi)部網(wǎng)絡(luò)進行區(qū)域劃分，比如：桌面處于一個區(qū)域(安全級別較低)，服務(wù)器處于一個區(qū)域(安全級別較高);

　　a.不同的區(qū)域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統(tǒng)，讓低安全等級的區(qū)域不能隨意進入高安全等級區(qū)域。

　　b.出口的邊界區(qū)域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統(tǒng)IPS、來防范攻擊。因為防火墻只是收窄了攻擊面。相當(dāng)于只是一個小區(qū)保安幫忙過濾了一下進出人員。但無法防范偽冒正常流量的攻擊。所以需要配備IPS，來對入侵進行防御。

　　c.服務(wù)器必須配備防病毒系統(tǒng)。如果服務(wù)器眾多，可以配備防病毒網(wǎng)關(guān)。服務(wù)器就1-2臺，那就在服務(wù)器上安全企業(yè)殺毒軟件，防止病毒入侵。

　　④、計算安全

　　計算安全就是服務(wù)器本身的計算安全。這里需要防止服務(wù)器本身的軟硬件不安全和內(nèi)部人員的惡意行為。

　　a.系統(tǒng)要加固，也就是操作系統(tǒng)要及時打補丁，尤其是安全補丁。如果服務(wù)器眾多，可以考慮上服務(wù)器加固系統(tǒng)。

　　b.身份安全：也就是服務(wù)器的密碼必須復(fù)雜口令、并且定時更換。有條件的可以采用動態(tài)密碼和靜態(tài)密碼結(jié)合的雙因子認(rèn)證。

　　c.定期要進行漏洞掃描，防止服務(wù)器在使用過程中出現(xiàn)漏洞。一旦掃描發(fā)現(xiàn)漏洞，需要立即進行修復(fù)。

　　d.服務(wù)器日志要集中收集，運維人員定時分析日志。發(fā)現(xiàn)異常入侵行為日志，應(yīng)該立即預(yù)警，并作出防御行動。

　　e.最后，為了防止內(nèi)部人員惡意入侵，我們還需要一套堡壘機，通過堡壘機來控制所有的運維人員對服務(wù)器的操作。確保其權(quán)限始終，并且操作行為可被追蹤。

　　二、管理手段

　　管理手段是指我們服務(wù)器在持續(xù)運營的階段，我們要保障它的安全性可以持續(xù)。我們需要通過建立以下管理手段：

　　a.建立安全管理制度，制定安全策略、發(fā)布完整的安全管理制度;

　　b.建立安全管理機構(gòu)：落實安全崗位、人員職責(zé)，并有監(jiān)督機制;

　　c.人員安全管理：對安全人員要定期進行安全培訓(xùn)，對人員入職、離職做好安全管理。對于來訪人員應(yīng)該做好安全管控，比如：必須明確可以進入的區(qū)域，不能進入的區(qū)域;

　　d.采購安全設(shè)備，要關(guān)注安全設(shè)備廠商的資質(zhì)、設(shè)備的認(rèn)證情況;

　　e.建立安全運維制度：無論自己運維還是第三方運維，都必須有一套安全運維管理制度來管理整個安全運維。

　　從系統(tǒng)化思維出發(fā)，可以全面防范服務(wù)器入侵。由于整個安全防范是非常大的一個范圍。每個范圍都是很大的技術(shù)知識體系。這里只是簡要描述。如有疑問可以關(guān)注評論。

聲明：本文由 服務(wù)器-木辰科技 收集整理的《如何真正系統(tǒng)性的防止服務(wù)器被入侵?》，如轉(zhuǎn)載請保留鏈接:http://m.asmond.com/news_in/177