針對企業應用服務器面臨日益嚴峻的安全問題,從系統安全、入侵防護、訪問控制、數據安全、備份容災諸方面,介紹了對關鍵應用服務器進行全面有效的安全防護的方法,旨在保障服務器處于穩定可靠狀態。
1、服務器概況
服務器是企業信息系統的核心,主要有文件服務器、數據庫服務器和應用服務器3 種類型。以“應用服務器”泛指這3 種類型。應用服務器上運行著重要的業務系統,在網絡環境下為客戶機提供服務。應用服務器種類很多,如域控制器、DNS、電子郵件、Web、OA 等。一臺硬件服務器能同時提供多種服務,邏輯上構成多個應用服務器,一種服務也可以分布運行在多個硬件平臺上。
服務器有RISC 架構(采用安騰、PowerPC、Sparc 等CPU) 和CISC (采用Intel、AMD CPU) 架構(又稱IA、x86或PC 服務器)。操作系統基本上是Unix/Linux和Windows兩大系列。中高端服務器多采用Unix,低端服務器或PC 服務器采用Windows、Linux 或Solaris。Windows 系統以WindowsServer 2003 或2008 為主, Unix系統以IBM AIX、HP UX、Sun Solaris 及FreeBSD 為常見,Linux 系統則以RedHat 和SUSE為多。
2、安全威脅
服務器面臨的安全威脅依然是病毒、惡意攻擊、系統漏洞、數據泄密、數據損壞幾類。其中病毒和網絡攻擊是最大的安全威脅,病毒從外網或移動介質等途徑進入內網,有的會攻擊服務器破壞數據或植入木馬進而竊取機密數據。無論是病毒攻擊還是人為攻擊,大都以破壞、竊密或傳播病毒為目的。
漏洞是服務器存在的重大安全隱患之一,既有操作系統的漏洞也有管理方面的疏漏。操作系統、數據庫管理系統和應用系統中存在的系統漏洞有可能被黑客利用進行攻擊、傳播病毒和木馬。另外,服務器開放了很多并不使用的端口和服務,給黑客攻擊提供了潛在的途徑。系統管理存在疏漏,如系統管理員賬戶未設口令,或者過于簡單。某些服務默認的管理口令沒有更改,使外人能夠輕易獲得管理權。
泄密風險包括來自內外部網絡的竊密、內部泄密、訪問控制策略不當或存儲介質丟失泄密等情況。
3、服務器的安全保障
應用服務器一旦發生故障,就可能引起服務中斷或數據丟失,給企業造成重大損失,故安全防護的最高目標是保障安全、穩定、高效、連續不間斷地運行。服務器安全防護尤其要在系統安全、訪問控制和備份容災方面下大功夫。
3.1 系統安全加固
定期對服務器的系統配置進行安全優化,對服務器和數據庫系統進行全面的漏洞掃描和安全評估。及時對漏洞進行修復加固[1],及時下載最新的補丁并測試后安裝。系統安裝時建立的各種管理員賬戶,必須及時設置強口令,并經常更換。禁用默認的賬戶名,另建新的。禁用服務器不必要的服務和端口。
3.2 按區域防護
按應用類別把服務器放置在不同區域,分別采用不同的安全策略。通常把面向外部服務的服務器放置在DMZ 服務器區,如Web、E-mail 等,把面向內部服務的服務器放置在應用服務器區,如OA 等,對核心業務服務器,如ERP、生產系統、財務系統等,應單獨放置在一個封閉的區域內,在邊界部署防火墻予以重點保護,禁止無關的用戶或主機訪問。
3.3 邊界防御
對內部網與互聯網、外聯網的出口邊界進行安全防護,如采取物理隔離,部署防火墻、入侵檢測與入侵防護(IDS/IPS) 設施等。
DMZ 區的對外服務器須用防火墻保護。應封鎖無關的服務端口,防止從外網掃描服務器系統的端口。控制對系統的訪問,記錄并分析通過防火墻的訪問日志。必要時部署IDS/IPS 監控網絡流量,及時發現入侵和攻擊。為簡化多種設備的多級連接,減少故障點,可采用集防火墻、防病毒、入侵檢測/防御、反垃圾郵件等多項功能于一身的UTM 設備,易于配置使用。
3.4 病毒防治
服務器必須采取完善的病毒防治措施。殺毒軟件必須設定每天自動更新病毒庫,確保為最新。啟用病毒自動防護功能對進出的文件進行實時掃描。經常檢查殺毒軟件的日志記錄和實時防護報告。
3.5 訪問控制
充分利用網絡設備的訪問控制機能,對服務器的操作系統和數據庫系統進行嚴格的訪問控制,控制用戶或進程對服務器、目錄、文件等資源的訪問,保證不被非法使用和訪問。對用戶或進程設置不同的訪問權限,實行分級的強制性賬戶安全策略,對目錄和文件設置相應的安全級別等措施,杜絕非授權用戶對文件的非法訪問。
對服務器的系統管理員或應用操作人員進行身份認證和授權。傳統的靜態用戶名加密碼認證不夠安全,易被破解或被木馬程序竊取。IC 卡認證方式由于IC 卡中的身份信息容易被掃描截取也不十分安全。動態口令能夠讓用戶密碼不斷動態變化,每次認證密碼都不相同,可有效地保證用戶身份的安全認證。
PKI/CA 身份認證使用數字證書通過數據加密和解密、數字簽名技術,確保信息的機密性、完整性和身份的真實性,是目前最具安全性與可靠性的用戶認證手段[2]。把數字證書存儲在USB Key 中,便于攜帶和使用。通過建立企業的PKI/CA系統,實現用戶的單點登錄、用戶身份認證和訪問控制,較為理想。
3.6 遠程訪問與遠程管理控制
移動用戶從公網訪問企業內網服務器以VPN 方式較為安全。用戶登錄時插入存有數字證書的USB Key,并輸入Pin 碼進行雙因素認證,安全強度遠遠高于僅使用用戶名加密碼的方式,保證了客戶認證信息不會被盜用或者破解。須嚴加控制遠程登錄、遠程管理訪問中傳輸的信息必須加密,控制策略應設置為只允許管理員從特定的IP 地址對服務器遠程管理,所有的遠程登錄日志必須記錄。
3.7 數據加密
為防止機密數據在網絡上傳輸時被竊取造成泄密,傳輸前要對數據實施加密。常用的有基于IP 協議的加密和VPN 加密。還有一種通過文檔加密系統對文件實施加密的方式,只能在授權的環境下才能解密恢復為明文,否則是不可讀的。
3.8 安全防護
3.8.1 活動目錄服務器
Windows 活動目錄(AD) 是為了便于對分布在企業網絡各處的各類對象(如用戶、計算機) 及各類資源(如打印機、文件夾、程序) 進行集中管理而建立的。AD 包含一個或多個域,每個域內可設置多臺域控制器供冗余。如果域控分布在不同地域,則需要在每一個地方創建一個站點,以達到平衡域控信息復制、加快用戶登錄身份驗證的目的。AD 域數據應經常備份。
3.8.2 Web 服務器
企業對外網站的Web 服務器很容易成為外部攻擊的目標,攻擊者利用各種系統漏洞、口令破解等途徑實施攻擊,進行內容篡改、盜取管理員密碼、數據庫注入、網站掛馬、木馬植入、竊取數據等破壞活動。
為保證網站免受攻擊、篡改,需部署網頁防篡改系統,對網頁內容進行實時監控,一旦發現有文件被篡改則自動進行恢復。
3.8.3 數據庫服務器
數據庫系統本身的安全性至關重要。通過數據庫管理系統具有的諸如用戶身份認證、存取控制、數據加密、數據庫審計、備份與恢復等一系列的安全機制來保障數據庫的保密性、完整性和可用性。同時,由于數據庫系統都是以文件形式存在的,所以在操作系統下要對數據庫文件的訪問權限進行嚴格管理,防止通過此途徑對數據庫進行的破壞。在網絡上應防止對數據庫實施攻擊、竊取、篡改和破壞活動。還要做好數據庫的容災備份,對重要的數據庫服務器配備雙機熱備實現高可用性。
3.8.4 電子郵件服務器
郵件服務器首先要保證系統自身的安全性,只開放SMTP端口,POP3 端口則視情況限定開放范圍。對每個用戶的郵箱總容量和單個郵件的大小進行限制,以免磁盤空間耗盡引起系統崩潰。限期刪除發送隊列里長時間發不出去的郵件。啟用SMTP 認證對發送郵件做身份驗證防止轉發垃圾郵件。反垃圾郵件是必要的,應使用智能化和識別準確率高的硬件設備。
3.9 集群與雙機熱備
集群是一組運行相同軟件系統的計算機,對外作為一臺服務器為客戶端服務。集群一般使用兩臺服務器,均安裝同樣的應用系統,當一臺出現故障時,另一臺可以在短時間內接管它的應用,保證業務系統的不間斷服務,實現高可用性。集群一般要共享使用存儲設備,如磁盤陣列或光纖SAN,兩臺服務器使用同樣的數據。
3.10 服務器負載均衡
在互聯網上對外提供連續不間斷服務的應用系統,為滿足大訪問量和高可用性的需求,往往配置多臺服務器同時提供服務,供用戶均衡訪問。
服務器負載均衡技術能夠實現在一組服務器上同時運行一種服務,為多個用戶提供服務。當有服務請求時,按照負載均衡分攤算法調度其中一臺服務器執行服務。當某臺服務器出現故障時,其他服務器會繼續提供服務,保證服務的連續性。最簡單的負載均衡可通過DNS 實現,但效果不好。反向代理技術也可實現負載均衡。專業的服務器負載均衡以硬件設備效果較好,軟件方式則成本較低。
3.11 備份與容災
當前最新的備份技術是基于存儲虛擬化的快照和持續數據保護(CDP) 技術[4]。快照是對特定時刻的系統和數據的復制,相當于一個數據集的靜態圖像,而CDP 則是對系統和數據進行的連續復制與存儲,就像是視頻一樣連續,能夠在應用服務器的故障瞬間完成任何時間點的故障恢復。快照和CDP 適合于大型不間斷運行的應用環境,對操作系統、數據庫系統、應用系統和數據都要進行實時備份和故障恢復。擴展到異地可實現異地容災。
對業務連續性要求不高的普通服務器,可使用傳統的備份手段利用磁盤陣列或磁帶介質實行靜態備份。
利用虛擬機技術實現服務器容災也是一種可行的方法。針對正在運行的實服務器創建對應的虛機,平時作為實機的備份。或者對實物理服務器作一次實轉虛,生成一個虛機副本映像。當實服務器出現災難性故障時,或者啟動備份虛機,或者執行虛機映像,在最短的時間內恢復實服務器上的重要業務。
3.12 系統日志審計
通過對操作系統、應用系統、數據庫系統和網絡設備的系統日志進行監控和審計來檢查有無可疑現象,是否有入侵者侵入過,是否留過后門等,據此及時采取措施,消除各類安全隱患。
由于系統日志信息數量巨大,靠人工很難進行審計,可使用專業的日志服務器通過syslog 協議把所有的系統日志收集集中,統一進行分析,生成各種形式的報表,供管理員使用。
4、結語
保障應用服務器及網絡安全是個永恒的話題。隨著網絡應用的發展,安全防護也必然會遇到新的挑戰,只有與時俱進,應對危機,不斷提高防護能力,才能保證信息安全。
京公網安備 11010502049343號