如何做到真正系统性的防止服务器被入侵
扫描二维码
随时随地手机看文章
(文章来源:迷你数智)
中国在2016年推出了《网络安全法》,同时,在2019年12月发布了《等级保护》2.0。这里头都对网络安全要求提高到了更高的高度。按国家要求,我们安全至少需要从两方面来防护:在计算机安全技术上,我们可以从4个方面来着手分析服务器存在的风险,以及防范措施。物理环境就是指我们服务器存放的位置,我们需要分析它是否存在如下风险:
如果是自有服务器,你必须要有相对隔离的专用空间,并配上门禁和视频监控控制出入。因为如果服务器人人都可以触碰到它,那它没有任何安全可言。因为只要物理上可以接触到,那就有可能会被恶意的人盗走服务器,然后在慢慢破解服务器,获取服务器的信息。如果服务器是托管,你必须要求托管方有上面提到的门禁、视频监控等。不过,一般都会有。如果是云服务器,也就是虚拟机,那你要求云服务商的物理服务器必须在国内,同样有上面提到的基本物理安全。②、通讯网络安全。
通讯网络就是服务器需要对外提供服务使用的网络系统。这一块是我们比较熟悉的。我们需要做如下措施来保障安全:
出口必须有防火墙,(有条件用双机)通过防火墙的的规则,可以屏蔽不需要开放的端口。使得黑客们的攻击面变窄。服务器和桌面终端不能在同一个区域,至少需要划分VLAN隔离。对外服务的访问尽量采用加密访问,比如:web服务就尽量采用HTTPS来提供;有分支结构访问的,采用加密IPsec VPN或者SSL VPN来访问。服务器本身需要有 TPM 芯片(现在一般都有),该芯片是可信计算模块,可以帮助我们的服务器对内部的计算信息进行加密。确保不会在计算过程中因为信息被窃取而出现安全问题。③、区域边界安全。
这里说的区域是指我们内部网络进行区域划分,比如:桌面处于一个区域(安全级别较低),服务器处于一个区域(安全级别较高);
不同的区域之间虽然有前面提到的VLAN隔离,但是我们还需要部署防火墙系统,让低安全等级的区域不能随意进入高安全等级区域。出口的边界区域,除了前面提到需要出口防火墙外,还可以配备入侵防御系统IPS、来防范攻击。因为防火墙只是收窄了攻击面。相当于只是一个小区保安帮忙过滤了一下进出人员。但无法防范伪冒正常流量的攻击。所以需要配备IPS,来对入侵进行防御。服务器必须配备防病毒系统。如果服务器众多,可以配备防病毒网关。服务器就1-2台,那就在服务器上安全企业杀毒软件,防止病毒入侵。④、计算安全
计算安全就是服务器本身的计算安全。这里需要防止服务器本身的软硬件不安全和内部人员的恶意行为。
系统要加固,也就是操作系统要及时打补丁,尤其是安全补丁。如果服务器众多,可以考虑上服务器加固系统。身份安全:也就是服务器的密码必须复杂口令、并且定时更换。有条件的可以采用动态密码和静态密码结合的双因子认证。定期要进行漏洞扫描,防止服务器在使用过程中出现漏洞。一旦扫描发现漏洞,需要立即进行修复。服务器日志要集中收集,运维人员定时分析日志。发现异常入侵行为日志,应该立即预警,并作出防御行动。最后,为了防止内部人员恶意入侵,我们还需要一套堡垒机,通过堡垒机来控制所有的运维人员对服务器的操作。确保其权限始终,并且操作行为可被追踪。管理手段
管理手段是指我们服务器在持续运营的阶段,我们要保障它的安全性可以持续。我们需要通过建立以下管理手段:
建立安全管理制度,制定安全策略、发布完整的安全管理制度;建立安全管理机构:落实安全岗位、人员职责,并有监督机制;人员安全管理:对安全人员要定期进行安全培训,对人员入职、离职做好安全管理。对于来访人员应该做好安全管控,比如:必须明确可以进入的区域,不能进入的区域;采购安全设备,要关注安全设备厂商的资质、设备的认证情况;建立安全运维制度:无论自己运维还是第三方运维,都必须有一套安全运维管理制度来管理整个安全运维结束语
从系统化思维出发,可以全面防范服务器入侵。由于整个安全防范是非常大的一个范围。每个范围都是很大的技术知识体系。这里只是简要描述。