如何真正系統性的防止服務器被入侵?

　　中國在2016年推出了《網絡安全法》，同時，在2019年12月發布了《等級保護》2.0。這里頭都對網絡安全要求提高到了更高的高度。按國家要求，我們安全至少需要從兩方面來防護：

　　一、技術手段

　　在計算機安全技術上，我們可以從4個方面來著手分析服務器存在的風險，以及防范措施。

　　①、物理環境安全

　　a.物理環境就是指我們服務器存放的位置，我們需要分析它是否存在如下風險：

　　b.如果是自有服務器，你必須要有相對隔離的專用空間，并配上門禁和視頻監控控制出入。因為如果服務器人人都可以觸碰到它，那它沒有任何安全可言。

　　因為只要物理上可以接觸到，那就有可能會被惡意的人盜走服務器，然后在慢慢破解服務器，獲取服務器的信息。

　　c.如果服務器是托管，你必須要求托管方有上面提到的門禁、視頻監控等。不過，一般都會有。

　　d.如果是云服務器，也就是虛擬機，那你要求云服務商的物理服務器必須在國內，同樣有上面提到的基本物理安全。

　　②、通訊網絡安全

　　通訊網絡就是服務器需要對外提供服務使用的網絡系統。這一塊是我們比較熟悉的。我們需要做如下措施來保障安全：

　　a.出口必須有防火墻，(有條件用雙機)通過防火墻的的規則，可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。

　　b.服務器和桌面終端不能在同一個區域，至少需要劃分VLAN隔離。

　　c.對外服務的訪問盡量采用加密訪問，比如：web服務就盡量采用HTTPS來提供;

　　d.有分支結構訪問的，采用加密IPsec VPN或者SSL VPN來訪問。

　　e.服務器本身需要有TPM 芯片(現在一般都有)，該芯片是可信計算模塊，可以幫助我們的服務器對內部的計算信息進行加密。確保不會在計算過程中因為信息被竊取而出現安全問題。

　　③、區域邊界安全

　　這里說的區域是指我們內部網絡進行區域劃分，比如：桌面處于一個區域(安全級別較低)，服務器處于一個區域(安全級別較高);

　　a.不同的區域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統，讓低安全等級的區域不能隨意進入高安全等級區域。

　　b.出口的邊界區域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統IPS、來防范攻擊。因為防火墻只是收窄了攻擊面。相當于只是一個小區保安幫忙過濾了一下進出人員。但無法防范偽冒正常流量的攻擊。所以需要配備IPS，來對入侵進行防御。

　　c.服務器必須配備防病毒系統。如果服務器眾多，可以配備防病毒網關。服務器就1-2臺，那就在服務器上安全企業殺毒軟件，防止病毒入侵。

　　④、計算安全

　　計算安全就是服務器本身的計算安全。這里需要防止服務器本身的軟硬件不安全和內部人員的惡意行為。

　　a.系統要加固，也就是操作系統要及時打補丁，尤其是安全補丁。如果服務器眾多，可以考慮上服務器加固系統。

　　b.身份安全：也就是服務器的密碼必須復雜口令、并且定時更換。有條件的可以采用動態密碼和靜態密碼結合的雙因子認證。

　　c.定期要進行漏洞掃描，防止服務器在使用過程中出現漏洞。一旦掃描發現漏洞，需要立即進行修復。

　　d.服務器日志要集中收集，運維人員定時分析日志。發現異常入侵行為日志，應該立即預警，并作出防御行動。

　　e.最后，為了防止內部人員惡意入侵，我們還需要一套堡壘機，通過堡壘機來控制所有的運維人員對服務器的操作。確保其權限始終，并且操作行為可被追蹤。

　　二、管理手段

　　管理手段是指我們服務器在持續運營的階段，我們要保障它的安全性可以持續。我們需要通過建立以下管理手段：

　　a.建立安全管理制度，制定安全策略、發布完整的安全管理制度;

　　b.建立安全管理機構：落實安全崗位、人員職責，并有監督機制;

　　c.人員安全管理：對安全人員要定期進行安全培訓，對人員入職、離職做好安全管理。對于來訪人員應該做好安全管控，比如：必須明確可以進入的區域，不能進入的區域;

　　d.采購安全設備，要關注安全設備廠商的資質、設備的認證情況;

　　e.建立安全運維制度：無論自己運維還是第三方運維，都必須有一套安全運維管理制度來管理整個安全運維。

　　從系統化思維出發，可以全面防范服務器入侵。由于整個安全防范是非常大的一個范圍。每個范圍都是很大的技術知識體系。這里只是簡要描述。如有疑問可以關注評論。

聲明：本文由 服務器-木辰科技 收集整理的《如何真正系統性的防止服務器被入侵?》，如轉載請保留鏈接:http://m.haxiart.cn/news_in/177