如何做到真正系统性的防止服务器被入侵

（文章来源：迷你数智）

中国在2016年推出了《网络安全法》，同时，在2019年12月发布了《等级保护》2.0。这里头都对网络安全要求提高到了更高的高度。按国家要求，我们安全至少需要从两方面来防护：在计算机安全技术上，我们可以从4个方面来着手分析服务器存在的风险，以及防范措施。物理环境就是指我们服务器存放的位置，我们需要分析它是否存在如下风险：

如果是自有服务器，你必须要有相对隔离的专用空间，并配上门禁和视频监控控制出入。因为如果服务器人人都可以触碰到它，那它没有任何安全可言。因为只要物理上可以接触到，那就有可能会被恶意的人盗走服务器，然后在慢慢破解服务器，获取服务器的信息。如果服务器是托管，你必须要求托管方有上面提到的门禁、视频监控等。不过，一般都会有。如果是云服务器，也就是虚拟机，那你要求云服务商的物理服务器必须在国内，同样有上面提到的基本物理安全。②、通讯网络安全。

通讯网络就是服务器需要对外提供服务使用的网络系统。这一块是我们比较熟悉的。我们需要做如下措施来保障安全：

出口必须有防火墙，（有条件用双机）通过防火墙的的规则，可以屏蔽不需要开放的端口。使得黑客们的攻击面变窄。服务器和桌面终端不能在同一个区域，至少需要划分VLAN隔离。对外服务的访问尽量采用加密访问，比如：web服务就尽量采用HTTPS来提供；有分支结构访问的，采用加密IPsec VPN或者SSL VPN来访问。服务器本身需要有 TPM 芯片（现在一般都有），该芯片是可信计算模块，可以帮助我们的服务器对内部的计算信息进行加密。确保不会在计算过程中因为信息被窃取而出现安全问题。③、区域边界安全。

这里说的区域是指我们内部网络进行区域划分，比如：桌面处于一个区域（安全级别较低），服务器处于一个区域（安全级别较高）；

不同的区域之间虽然有前面提到的VLAN隔离，但是我们还需要部署防火墙系统，让低安全等级的区域不能随意进入高安全等级区域。出口的边界区域，除了前面提到需要出口防火墙外，还可以配备入侵防御系统IPS、来防范攻击。因为防火墙只是收窄了攻击面。相当于只是一个小区保安帮忙过滤了一下进出人员。但无法防范伪冒正常流量的攻击。所以需要配备IPS，来对入侵进行防御。服务器必须配备防病毒系统。如果服务器众多，可以配备防病毒网关。服务器就1-2台，那就在服务器上安全企业杀毒软件，防止病毒入侵。④、计算安全

计算安全就是服务器本身的计算安全。这里需要防止服务器本身的软硬件不安全和内部人员的恶意行为。

系统要加固，也就是操作系统要及时打补丁，尤其是安全补丁。如果服务器众多，可以考虑上服务器加固系统。身份安全：也就是服务器的密码必须复杂口令、并且定时更换。有条件的可以采用动态密码和静态密码结合的双因子认证。定期要进行漏洞扫描，防止服务器在使用过程中出现漏洞。一旦扫描发现漏洞，需要立即进行修复。服务器日志要集中收集，运维人员定时分析日志。发现异常入侵行为日志，应该立即预警，并作出防御行动。最后，为了防止内部人员恶意入侵，我们还需要一套堡垒机，通过堡垒机来控制所有的运维人员对服务器的操作。确保其权限始终，并且操作行为可被追踪。管理手段

管理手段是指我们服务器在持续运营的阶段，我们要保障它的安全性可以持续。我们需要通过建立以下管理手段：

建立安全管理制度，制定安全策略、发布完整的安全管理制度；建立安全管理机构：落实安全岗位、人员职责，并有监督机制；人员安全管理：对安全人员要定期进行安全培训，对人员入职、离职做好安全管理。对于来访人员应该做好安全管控，比如：必须明确可以进入的区域，不能进入的区域；采购安全设备，要关注安全设备厂商的资质、设备的认证情况；建立安全运维制度：无论自己运维还是第三方运维，都必须有一套安全运维管理制度来管理整个安全运维结束语

从系统化思维出发，可以全面防范服务器入侵。由于整个安全防范是非常大的一个范围。每个范围都是很大的技术知识体系。这里只是简要描述。