服務(wù)器操作系統(tǒng)安全防護(hù)
服務(wù)器操作系統(tǒng)安全防護(hù)
服務(wù)器的安全是保障系統(tǒng)運行的屏障,下面由學(xué)習(xí)啦小編為大家整理了服務(wù)器操作系統(tǒng)安全防護(hù)的相關(guān)知識,希望對大家有幫助!
服務(wù)器操作系統(tǒng)安全防護(hù)措施
服務(wù)器是IT系統(tǒng)中的核心設(shè)備。因此,服務(wù)器的安全是每個用戶都必須重視的問題。本文從服務(wù)器漏洞的修補(bǔ)、HIPS—主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用、對“拒絕服務(wù)攻擊”的防范、從系統(tǒng)內(nèi)核入手的保護(hù)四個方面進(jìn)行論述,旨在保護(hù)服務(wù)器,使其免受來自網(wǎng)絡(luò)的威脅。
服務(wù)器操作系統(tǒng)安全防護(hù)措施1、服務(wù)器漏洞的修補(bǔ)
事實證明,99%的黑客攻擊事件都是利用未修補(bǔ)的漏洞與錯誤的設(shè)定。許多受到防火墻、IDS、防毒軟件保護(hù)的服務(wù)器仍然遭受黑客、蠕蟲的攻擊,其主要原因是企業(yè)缺乏一套完整的弱點評估管理機(jī)制,未能落實定期評估與漏洞修補(bǔ)的工作,因而造成漏洞沒人理睬,最終成為黑客攻擊的管道,或者是病毒攻擊破壞的目標(biāo)。
如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為。
1.1 構(gòu)建好硬件安全防御系統(tǒng) 選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件:防火墻、入侵檢測系統(tǒng)、路由系統(tǒng)等。
防火墻在安全系統(tǒng)中扮演一個保安的角色,可以很大程度上保證來自網(wǎng)絡(luò)的非法訪問以及數(shù)據(jù)流量攻擊,如拒絕服務(wù)攻擊等;入侵檢測系統(tǒng)則是扮演一個監(jiān)視器的角色,監(jiān)視你的服務(wù)器出入口,非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。
1.2 選用英文的操作系統(tǒng)
要知道,windows畢竟美國微軟的東西,而微軟的東西一向都是以Bug 和 Patch多而著稱,中文版的Bug遠(yuǎn)遠(yuǎn)要比英文版多,而中文版的補(bǔ)丁向來是比英文版出的晚,也就是說,如果你的服務(wù)器上裝的是中文版的windows系統(tǒng),微軟漏洞公布之后你還需要等上一段時間才能打好補(bǔ)丁,也許黑客、病毒就利用這段時間入侵了你的系統(tǒng)。
另外,企業(yè)需要使用漏洞掃描和風(fēng)險評估工具定期對服務(wù)器進(jìn)行掃描,以發(fā)現(xiàn)潛在的安全問題,并確保升級或修改配置等正常的維護(hù)工作不會帶來安全問題。
漏洞掃描就是對重要計算機(jī)信息系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客利用的漏洞?;谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個代理(Agent)或者是服務(wù)(Server),以便能夠訪問所有的文件與進(jìn)程,這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。
以某公司的主機(jī)漏洞掃描器為例,它是基于主機(jī)的Client/Server三層體系結(jié)構(gòu)的漏洞掃描工具,這三層分別為控制臺、管理器和代理??刂婆_安裝在一臺計算機(jī)中,管理器安裝在企業(yè)網(wǎng)絡(luò)中,代理安裝完后,需要向管理器注冊。當(dāng)代理收到管理器發(fā)來的掃描指令時,代理單獨完成本目標(biāo)系統(tǒng)的漏洞掃描任務(wù)。掃描結(jié)束后,代理將結(jié)果傳給管理器。最終用戶可以通過控制臺瀏覽掃描報告。
基于主機(jī)的漏洞掃描器有很多優(yōu)點。
掃描的漏洞數(shù)量多。由于在目標(biāo)系統(tǒng)上安裝了一個代理或者是服務(wù),以便能夠訪問所有的文件與進(jìn)程,這使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。
集中化管理?;谥鳈C(jī)的漏洞掃描器通常都有一個集中的服務(wù)器作為掃描服務(wù)器。所有掃描的指令均從服務(wù)器進(jìn)行控制。這一點與基于網(wǎng)絡(luò)的掃描器類似。這種集中化管理模式,使得基于主機(jī)的漏洞掃描器能夠?qū)崿F(xiàn)快速部署。
網(wǎng)絡(luò)流量負(fù)載小。由于管理器與代理之間只有通信的數(shù)據(jù)包,漏洞掃描部分都由代理單獨完成,這就大大減少了網(wǎng)絡(luò)的流量負(fù)載。當(dāng)掃描結(jié)束后,代理再次與管理器進(jìn)行通信,將掃描結(jié)果傳送給管理器。
服務(wù)器操作系統(tǒng)安全防護(hù)措施2、HIPS-主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用
HIPS-主機(jī)入侵防護(hù)系統(tǒng)通過在主機(jī)/服務(wù)器上安裝軟件代理程序,防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。HIPS能夠保護(hù)服務(wù)器的安全弱點不被不法分子所利用,它可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為。HIPS提升了主機(jī)的安全水平,在防范蠕蟲的攻擊中,起到了很好的防護(hù)作用。
在技術(shù)上,HIPS采用獨特的服務(wù)器保護(hù)途徑,利用包過濾、狀態(tài)包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護(hù)服務(wù)器的敏感內(nèi)容,既可以通過攔截針對操作系統(tǒng)的可疑調(diào)用,提供對主機(jī)的安全防護(hù),也可以更改操作系統(tǒng)內(nèi)核程序的方式,提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。
由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上,它不但能夠利用特征和行為規(guī)則檢測,阻止諸如緩沖區(qū)溢出之類的已知攻擊,還能夠防范未知攻擊,防止針對Web頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺緊密相關(guān),不同的平臺需要不同的軟件代理程序。
服務(wù)器操作系統(tǒng)安全防護(hù)措施3、對“拒絕服務(wù)攻擊”的防范
目前網(wǎng)絡(luò)中有一種攻擊讓網(wǎng)絡(luò)管理員最為頭疼,就是拒絕服務(wù)攻擊(DoS)和分布式拒絕服務(wù)攻擊(DDoS)。它是一種濫用資源性的攻擊,目的就是利用自身的資源通過一種放大或不對等的方式來達(dá)到消耗對方資源的目的。同一時刻很多不同的IP對服務(wù)器進(jìn)行訪問造成服務(wù)器的服務(wù)失效甚至死機(jī)。
防DDoS攻擊的軟件防火墻可全面應(yīng)用在IDC機(jī)房托管、虛擬主機(jī)、電子商務(wù)網(wǎng)站、郵件服務(wù)器上。但有一些產(chǎn)品僅有防御DoS攻擊的功能,遇到針對服務(wù)器攻擊的黑客,仍然無任何作用,好的產(chǎn)品應(yīng)該擁有強(qiáng)大的網(wǎng)絡(luò)協(xié)議解析能力??蛇^濾經(jīng)過精心偽裝的惡意代碼和攻擊,有效阻止和預(yù)警各種攻擊行為,可完全抵御ACK、DoS、DDoS、SYN、Flood、FATBOY等攻擊,以及具有端口防護(hù)、HTTP指紋檢測、端口應(yīng)用方式定點過濾等功能,并且不限制服務(wù)器連接數(shù)。
服務(wù)器操作系統(tǒng)安全防護(hù)措施4、從系統(tǒng)內(nèi)核入手的保護(hù)
針對服務(wù)器的安全,國內(nèi)還出現(xiàn)了操作系統(tǒng)安全加固技術(shù)(Reinforcement Operating System Technique Rost),結(jié)合其他層面的安全技術(shù),能夠很好地滿足現(xiàn)有各種復(fù)雜的網(wǎng)絡(luò)環(huán)境的應(yīng)用需求,并已達(dá)到了國家等級保護(hù)三級技術(shù)的要求。
ROST是一項利用安全內(nèi)核來提升操作系統(tǒng)安全等級的技術(shù),這項技術(shù)的核心就是在操作系統(tǒng)的核心層重構(gòu)操作系統(tǒng)的權(quán)限訪問模型,實現(xiàn)真正的強(qiáng)訪問控制,使操作系統(tǒng)達(dá)到第三等級(B1級)的安全技術(shù)要求。此外,ROST在最大程度地確保操作系統(tǒng)安全的基礎(chǔ)上,對服務(wù)器安全的概念進(jìn)行了重新定義。以往談到服務(wù)器安全,多半會想到硬件安全,例如容錯、災(zāi)備等,而ROST所指的安全服務(wù)器需要具備4項安全指標(biāo):安全的物理設(shè)備(比如控制硬件的拔插、硬件各零件狀態(tài)的管理檢測等)、安全的操作系統(tǒng)、安全的應(yīng)用系統(tǒng)(在ROST支持下的應(yīng)用系統(tǒng))、專業(yè)的管理系統(tǒng)。
服務(wù)器安全防護(hù)措施的應(yīng)用,使得服務(wù)器得到了較高的安全防護(hù)。當(dāng)然隨著計算機(jī)技術(shù)的飛速發(fā)展,更為隱密、手段更加高明的不安全措施的增加,為我們繼續(xù)開發(fā)新的服務(wù)器安全防護(hù)措施提供了更高的要求。
也許你會對服務(wù)器的運行感到納悶,為什么它能同時向外界提供類似信息下載服務(wù)、頁面瀏覽服務(wù)、電子郵件服務(wù)呢,這么多服務(wù)同時進(jìn)行工作,怎么不會發(fā)生沖突呢?其實,服務(wù)器所開通的任何一種服務(wù),都是通過某一端口來實現(xiàn)的,不同的服務(wù)使用的服務(wù)器端口號是完全不一樣的,而服務(wù)器同時可以開通若干個通信端口,這樣的話任何一種服務(wù)使用不同的端口工作時,就不會發(fā)生沖突現(xiàn)象。當(dāng)然,服務(wù)器的端口被各種網(wǎng)絡(luò)服務(wù)充分利用的同時,它們也會被一些非法攻擊者利用,這么一來端口有時也會成為黑客攻擊服務(wù)器的一種“通道”。如果對這樣的“通道”不妥善管理的話,服務(wù)器的安全將會受到極大的威脅。