本文針對企業(yè)應用服務器面臨日益嚴峻的安全問題，從系統(tǒng)安全、入侵防護、訪問控制、數(shù)據(jù)安全、備份容災諸方面，介紹了對關鍵應用服務器進行全面有效的安全防護的方法，旨在保障服務器處于穩(wěn)定可靠狀態(tài)。

1、服務器概況

服務器是企業(yè)信息系統(tǒng)的核心，主要有文件服務器、數(shù)據(jù)庫服務器和應用服務器3 種類型。以“應用服務器”泛指這3 種類型。應用服務器上運行著重要的業(yè)務系統(tǒng)，在網(wǎng)絡環(huán)境下為客戶機提供服務。應用服務器種類很多，如域控制器、DNS、電子郵件、Web、OA 等。一臺硬件服務器能同時提供多種服務，邏輯上構成多個應用服務器，一種服務也可以分布運行在多個硬件平臺上。

服務器有RISC 架構（采用安騰、PowerPC、Sparc 等CPU） 和CISC （采用Intel、AMD CPU） 架構（又稱IA、x86或PC 服務器）。操作系統(tǒng)基本上是Unix/Linux和Windows兩大系列。中高端服務器多采用Unix，低端服務器或PC 服務器采用Windows、Linux 或Solaris。Windows 系統(tǒng)以WindowsServer 2003 或2008 為主， Unix系統(tǒng)以IBM AIX、HP UX、Sun Solaris 及FreeBSD 為常見，Linux 系統(tǒng)則以RedHat 和SUSE為多。

2、安全威脅

服務器面臨的安全威脅依然是病毒、惡意攻擊、系統(tǒng)漏洞、數(shù)據(jù)泄密、數(shù)據(jù)損壞幾類。其中病毒和網(wǎng)絡攻擊是最大的安全威脅，病毒從外網(wǎng)或移動介質(zhì)等途徑進入內(nèi)網(wǎng)，有的會攻擊服務器破壞數(shù)據(jù)或植入木馬進而竊取機密數(shù)據(jù)。無論是病毒攻擊還是人為攻擊，大都以破壞、竊密或傳播病毒為目的。

漏洞是服務器存在的重大安全隱患之一，既有操作系統(tǒng)的漏洞也有管理方面的疏漏。操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)中存在的系統(tǒng)漏洞有可能被黑客利用進行攻擊、傳播病毒和木馬。另外，服務器開放了很多并不使用的端口和服務，給黑客攻擊提供了潛在的途徑。系統(tǒng)管理存在疏漏，如系統(tǒng)管理員賬戶未設口令，或者過于簡單。某些服務默認的管理口令沒有更改，使外人能夠輕易獲得管理權。

泄密風險包括來自內(nèi)外部網(wǎng)絡的竊密、內(nèi)部泄密、訪問控制策略不當或存儲介質(zhì)丟失泄密等情況。

3、服務器的安全保障

應用服務器一旦發(fā)生故障，就可能引起服務中斷或數(shù)據(jù)丟失，給企業(yè)造成重大損失，故安全防護的最高目標是保障安全、穩(wěn)定、高效、連續(xù)不間斷地運行。服務器安全防護尤其要在系統(tǒng)安全、訪問控制和備份容災方面下大功夫。

3.1 系統(tǒng)安全加固

定期對服務器的系統(tǒng)配置進行安全優(yōu)化，對服務器和數(shù)據(jù)庫系統(tǒng)進行全面的漏洞掃描和安全評估。及時對漏洞進行修復加固[1]，及時下載最新的補丁并測試后安裝。系統(tǒng)安裝時建立的各種管理員賬戶，必須及時設置強口令，并經(jīng)常更換。禁用默認的賬戶名，另建新的。禁用服務器不必要的服務和端口。

3.2 按區(qū)域防護

按應用類別把服務器放置在不同區(qū)域，分別采用不同的安全策略。通常把面向外部服務的服務器放置在DMZ 服務器區(qū)，如Web、E-mail 等，把面向內(nèi)部服務的服務器放置在應用服務器區(qū)，如OA 等，對核心業(yè)務服務器，如ERP、生產(chǎn)系統(tǒng)、財務系統(tǒng)等，應單獨放置在一個封閉的區(qū)域內(nèi)，在邊界部署防火墻予以重點保護，禁止無關的用戶或主機訪問。

3.3 邊界防御

對內(nèi)部網(wǎng)與互聯(lián)網(wǎng)、外聯(lián)網(wǎng)的出口邊界進行安全防護，如采取物理隔離，部署防火墻、入侵檢測與入侵防護（IDS/IPS） 設施等。

DMZ 區(qū)的對外服務器須用防火墻保護。應封鎖無關的服務端口，防止從外網(wǎng)掃描服務器系統(tǒng)的端口?？刂茖ο到y(tǒng)的訪問，記錄并分析通過防火墻的訪問日志。必要時部署IDS/IPS 監(jiān)控網(wǎng)絡流量，及時發(fā)現(xiàn)入侵和攻擊。為簡化多種設備的多級連接，減少故障點，可采用集防火墻、防病毒、入侵檢測/防御、反垃圾郵件等多項功能于一身的UTM 設備，易于配置使用。

3.4 病毒防治

服務器必須采取完善的病毒防治措施。殺毒軟件必須設定每天自動更新病毒庫，確保為最新。啟用病毒自動防護功能對進出的文件進行實時掃描。經(jīng)常檢查殺毒軟件的日志記錄和實時防護報告。

3.5 訪問控制

充分利用網(wǎng)絡設備的訪問控制機能，對服務器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行嚴格的訪問控制，控制用戶或進程對服務器、目錄、文件等資源的訪問，保證不被非法使用和訪問。對用戶或進程設置不同的訪問權限，實行分級的強制性賬戶安全策略，對目錄和文件設置相應的安全級別等措施，杜絕非授權用戶對文件的非法訪問。

對服務器的系統(tǒng)管理員或應用操作人員進行身份認證和授權。傳統(tǒng)的靜態(tài)用戶名加密碼認證不夠安全，易被破解或被木馬程序竊取。IC 卡認證方式由于IC 卡中的身份信息容易被掃描截取也不十分安全。動態(tài)口令能夠讓用戶密碼不斷動態(tài)變化，每次認證密碼都不相同，可有效地保證用戶身份的安全認證。

PKI/CA 身份認證使用數(shù)字證書通過數(shù)據(jù)加密和解密、數(shù)字簽名技術，確保信息的機密性、完整性和身份的真實性，是目前最具安全性與可靠性的用戶認證手段[2]。把數(shù)字證書存儲在USB Key 中，便于攜帶和使用。通過建立企業(yè)的PKI/CA系統(tǒng)，實現(xiàn)用戶的單點登錄、用戶身份認證和訪問控制，較為理想。

3.6 遠程訪問與遠程管理控制

移動用戶從公網(wǎng)訪問企業(yè)內(nèi)網(wǎng)服務器以VPN 方式較為安全。用戶登錄時插入存有數(shù)字證書的USB Key，并輸入Pin 碼進行雙因素認證，安全強度遠遠高于僅使用用戶名加密碼的方式，保證了客戶認證信息不會被盜用或者破解。須嚴加控制遠程登錄、遠程管理訪問中傳輸?shù)男畔⒈仨毤用埽刂撇呗詰O置為只允許管理員從特定的IP 地址對服務器遠程管理，所有的遠程登錄日志必須記錄。

3.7 數(shù)據(jù)加密

為防止機密數(shù)據(jù)在網(wǎng)絡上傳輸時被竊取造成泄密，傳輸前要對數(shù)據(jù)實施加密。常用的有基于IP 協(xié)議的加密和VPN 加密。還有一種通過文檔加密系統(tǒng)對文件實施加密的方式，只能在授權的環(huán)境下才能解密恢復為明文，否則是不可讀的。

3.8 安全防護

3.8.1 活動目錄服務器

Windows 活動目錄（AD） 是為了便于對分布在企業(yè)網(wǎng)絡各處的各類對象（如用戶、計算機） 及各類資源（如打印機、文件夾、程序） 進行集中管理而建立的。AD 包含一個或多個域，每個域內(nèi)可設置多臺域控制器供冗余。如果域控分布在不同地域，則需要在每一個地方創(chuàng)建一個站點，以達到平衡域控信息復制、加快用戶登錄身份驗證的目的。AD 域數(shù)據(jù)應經(jīng)常備份。

3.8.2 Web 服務器

企業(yè)對外網(wǎng)站的Web 服務器很容易成為外部攻擊的目標，攻擊者利用各種系統(tǒng)漏洞、口令破解等途徑實施攻擊，進行內(nèi)容篡改、盜取管理員密碼、數(shù)據(jù)庫注入、網(wǎng)站掛馬、木馬植入、竊取數(shù)據(jù)等破壞活動。

為保證網(wǎng)站免受攻擊、篡改，需部署網(wǎng)頁防篡改系統(tǒng)，對網(wǎng)頁內(nèi)容進行實時監(jiān)控，一旦發(fā)現(xiàn)有文件被篡改則自動進行恢復。

3.8.3 數(shù)據(jù)庫服務器

數(shù)據(jù)庫系統(tǒng)本身的安全性至關重要。通過數(shù)據(jù)庫管理系統(tǒng)具有的諸如用戶身份認證、存取控制、數(shù)據(jù)加密、數(shù)據(jù)庫審計、備份與恢復等一系列的安全機制來保障數(shù)據(jù)庫的保密性、完整性和可用性。同時，由于數(shù)據(jù)庫系統(tǒng)都是以文件形式存在的，所以在操作系統(tǒng)下要對數(shù)據(jù)庫文件的訪問權限進行嚴格管理，防止通過此途徑對數(shù)據(jù)庫進行的破壞。在網(wǎng)絡上應防止對數(shù)據(jù)庫實施攻擊、竊取、篡改和破壞活動。還要做好數(shù)據(jù)庫的容災備份，對重要的數(shù)據(jù)庫服務器配備雙機熱備實現(xiàn)高可用性。

3.8.4 電子郵件服務器

郵件服務器首先要保證系統(tǒng)自身的安全性，只開放SMTP端口，POP3 端口則視情況限定開放范圍。對每個用戶的郵箱總容量和單個郵件的大小進行限制，以免磁盤空間耗盡引起系統(tǒng)崩潰。限期刪除發(fā)送隊列里長時間發(fā)不出去的郵件。啟用SMTP 認證對發(fā)送郵件做身份驗證防止轉發(fā)垃圾郵件。反垃圾郵件是必要的，應使用智能化和識別準確率高的硬件設備。

3.9 集群與雙機熱備

集群是一組運行相同軟件系統(tǒng)的計算機，對外作為一臺服務器為客戶端服務。集群一般使用兩臺服務器，均安裝同樣的應用系統(tǒng)，當一臺出現(xiàn)故障時，另一臺可以在短時間內(nèi)接管它的應用，保證業(yè)務系統(tǒng)的不間斷服務，實現(xiàn)高可用性。集群一般要共享使用存儲設備，如磁盤陣列或光纖SAN，兩臺服務器使用同樣的數(shù)據(jù)。

3.10 服務器負載均衡

在互聯(lián)網(wǎng)上對外提供連續(xù)不間斷服務的應用系統(tǒng)，為滿足大訪問量和高可用性的需求，往往配置多臺服務器同時提供服務，供用戶均衡訪問。

服務器負載均衡技術能夠實現(xiàn)在一組服務器上同時運行一種服務，為多個用戶提供服務。當有服務請求時，按照負載均衡分攤算法調(diào)度其中一臺服務器執(zhí)行服務。當某臺服務器出現(xiàn)故障時，其他服務器會繼續(xù)提供服務，保證服務的連續(xù)性。最簡單的負載均衡可通過DNS 實現(xiàn)，但效果不好。反向代理技術也可實現(xiàn)負載均衡。專業(yè)的服務器負載均衡以硬件設備效果較好，軟件方式則成本較低。

3.11 備份與容災

當前最新的備份技術是基于存儲虛擬化的快照和持續(xù)數(shù)據(jù)保護（CDP） 技術[4]。快照是對特定時刻的系統(tǒng)和數(shù)據(jù)的復制，相當于一個數(shù)據(jù)集的靜態(tài)圖像，而CDP 則是對系統(tǒng)和數(shù)據(jù)進行的連續(xù)復制與存儲，就像是視頻一樣連續(xù)，能夠在應用服務器的故障瞬間完成任何時間點的故障恢復。快照和CDP 適合于大型不間斷運行的應用環(huán)境，對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)都要進行實時備份和故障恢復。擴展到異地可實現(xiàn)異地容災。

對業(yè)務連續(xù)性要求不高的普通服務器，可使用傳統(tǒng)的備份手段利用磁盤陣列或磁帶介質(zhì)實行靜態(tài)備份。

利用虛擬機技術實現(xiàn)服務器容災也是一種可行的方法。針對正在運行的實服務器創(chuàng)建對應的虛機，平時作為實機的備份?；蛘邔嵨锢矸掌髯饕淮螌嵽D虛，生成一個虛機副本映像。當實服務器出現(xiàn)災難性故障時，或者啟動備份虛機，或者執(zhí)行虛機映像，在最短的時間內(nèi)恢復實服務器上的重要業(yè)務。

3.12 系統(tǒng)日志審計

通過對操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡設備的系統(tǒng)日志進行監(jiān)控和審計來檢查有無可疑現(xiàn)象，是否有入侵者侵入過，是否留過后門等，據(jù)此及時采取措施，消除各類安全隱患。

由于系統(tǒng)日志信息數(shù)量巨大，靠人工很難進行審計，可使用專業(yè)的日志服務器通過syslog 協(xié)議把所有的系統(tǒng)日志收集集中，統(tǒng)一進行分析，生成各種形式的報表，供管理員使用。

4、結語

保障應用服務器及網(wǎng)絡安全是個永恒的話題。隨著網(wǎng)絡應用的發(fā)展，安全防護也必然會遇到新的挑戰(zhàn)，只有與時俱進，應對危機，不斷提高防護能力，才能保證信息安全。

【編輯推薦】

1. 從韓國農(nóng)協(xié)銀行癱瘓再看安全與災備的重要性
2. 完善Linux/UNIX審計 將每個shell命令記入日志
3. Windows 7文件訪問的安全審計策略