服務(wù)器操作系統(tǒng)安全防護(hù)

　　服務(wù)器的安全是保障系統(tǒng)運(yùn)行的屏障，下面由學(xué)習(xí)啦小編為大家整理了服務(wù)器操作系統(tǒng)安全防護(hù)的相關(guān)知識(shí)，希望對(duì)大家有幫助!

　　服務(wù)器操作系統(tǒng)安全防護(hù)措施

　　服務(wù)器是IT系統(tǒng)中的核心設(shè)備。因此,服務(wù)器的安全是每個(gè)用戶都必須重視的問題。本文從服務(wù)器漏洞的修補(bǔ)、HIPS—主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用、對(duì)“拒絕服務(wù)攻擊”的防范、從系統(tǒng)內(nèi)核入手的保護(hù)四個(gè)方面進(jìn)行論述，旨在保護(hù)服務(wù)器，使其免受來自網(wǎng)絡(luò)的威脅。

　　服務(wù)器操作系統(tǒng)安全防護(hù)措施1、服務(wù)器漏洞的修補(bǔ)

　　事實(shí)證明，99%的黑客攻擊事件都是利用未修補(bǔ)的漏洞與錯(cuò)誤的設(shè)定。許多受到防火墻、IDS、防毒軟件保護(hù)的服務(wù)器仍然遭受黑客、蠕蟲的攻擊，其主要原因是企業(yè)缺乏一套完整的弱點(diǎn)評(píng)估管理機(jī)制，未能落實(shí)定期評(píng)估與漏洞修補(bǔ)的工作，因而造成漏洞沒人理睬，最終成為黑客攻擊的管道，或者是病毒攻擊破壞的目標(biāo)。

　　如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為。

　　1.1 構(gòu)建好硬件安全防御系統(tǒng) 選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件：防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。

　　防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來自網(wǎng)絡(luò)的非法訪問以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等;入侵檢測(cè)系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。

　　1.2 選用英文的操作系統(tǒng)

　　要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠(yuǎn)遠(yuǎn)要比英文版多，而中文版的補(bǔ)丁向來是比英文版出的晚，也就是說，如果你的服務(wù)器上裝的是中文版的windows系統(tǒng)，微軟漏洞公布之后你還需要等上一段時(shí)間才能打好補(bǔ)丁，也許黑客、病毒就利用這段時(shí)間入侵了你的系統(tǒng)。

　　另外，企業(yè)需要使用漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描，以發(fā)現(xiàn)潛在的安全問題，并確保升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來安全問題。

　　漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理(Agent)或者是服務(wù)(Server),以便能夠訪問所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。

　　以某公司的主機(jī)漏洞掃描器為例，它是基于主機(jī)的Client/Server三層體系結(jié)構(gòu)的漏洞掃描工具，這三層分別為控制臺(tái)、管理器和代理?？刂婆_(tái)安裝在一臺(tái)計(jì)算機(jī)中，管理器安裝在企業(yè)網(wǎng)絡(luò)中，代理安裝完后，需要向管理器注冊(cè)。當(dāng)代理收到管理器發(fā)來的掃描指令時(shí)，代理單獨(dú)完成本目標(biāo)系統(tǒng)的漏洞掃描任務(wù)。掃描結(jié)束后，代理將結(jié)果傳給管理器。最終用戶可以通過控制臺(tái)瀏覽掃描報(bào)告。

　　基于主機(jī)的漏洞掃描器有很多優(yōu)點(diǎn)。

　　掃描的漏洞數(shù)量多。由于在目標(biāo)系統(tǒng)上安裝了一個(gè)代理或者是服務(wù)，以便能夠訪問所有的文件與進(jìn)程，這使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。

　　集中化管理。基于主機(jī)的漏洞掃描器通常都有一個(gè)集中的服務(wù)器作為掃描服務(wù)器。所有掃描的指令均從服務(wù)器進(jìn)行控制。這一點(diǎn)與基于網(wǎng)絡(luò)的掃描器類似。這種集中化管理模式，使得基于主機(jī)的漏洞掃描器能夠?qū)崿F(xiàn)快速部署。

　　網(wǎng)絡(luò)流量負(fù)載小。由于管理器與代理之間只有通信的數(shù)據(jù)包，漏洞掃描部分都由代理單獨(dú)完成，這就大大減少了網(wǎng)絡(luò)的流量負(fù)載。當(dāng)掃描結(jié)束后，代理再次與管理器進(jìn)行通信，將掃描結(jié)果傳送給管理器。

　　服務(wù)器操作系統(tǒng)安全防護(hù)措施2、HIPS-主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用

　　HIPS-主機(jī)入侵防護(hù)系統(tǒng)通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。HIPS能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用，它可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為。HIPS提升了主機(jī)的安全水平，在防范蠕蟲的攻擊中，起到了很好的防護(hù)作用。

　　在技術(shù)上，HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，利用包過濾、狀態(tài)包過濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以通過攔截針對(duì)操作系統(tǒng)的可疑調(diào)用，提供對(duì)主機(jī)的安全防護(hù)，也可以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。

　　由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測(cè)，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對(duì)Web頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)，不同的平臺(tái)需要不同的軟件代理程序。

　　服務(wù)器操作系統(tǒng)安全防護(hù)措施3、對(duì)“拒絕服務(wù)攻擊”的防范

　　目前網(wǎng)絡(luò)中有一種攻擊讓網(wǎng)絡(luò)管理員最為頭疼，就是拒絕服務(wù)攻擊(DoS)和分布式拒絕服務(wù)攻擊(DDoS)。它是一種濫用資源性的攻擊，目的就是利用自身的資源通過一種放大或不對(duì)等的方式來達(dá)到消耗對(duì)方資源的目的。同一時(shí)刻很多不同的IP對(duì)服務(wù)器進(jìn)行訪問造成服務(wù)器的服務(wù)失效甚至死機(jī)。

　　防DDoS攻擊的軟件防火墻可全面應(yīng)用在IDC機(jī)房托管、虛擬主機(jī)、電子商務(wù)網(wǎng)站、郵件服務(wù)器上。但有一些產(chǎn)品僅有防御DoS攻擊的功能，遇到針對(duì)服務(wù)器攻擊的黑客，仍然無任何作用，好的產(chǎn)品應(yīng)該擁有強(qiáng)大的網(wǎng)絡(luò)協(xié)議解析能力?？蛇^濾經(jīng)過精心偽裝的惡意代碼和攻擊，有效阻止和預(yù)警各種攻擊行為，可完全抵御ACK、DoS、DDoS、SYN、Flood、FATBOY等攻擊，以及具有端口防護(hù)、HTTP指紋檢測(cè)、端口應(yīng)用方式定點(diǎn)過濾等功能，并且不限制服務(wù)器連接數(shù)。

　　服務(wù)器操作系統(tǒng)安全防護(hù)措施4、從系統(tǒng)內(nèi)核入手的保護(hù)

　　針對(duì)服務(wù)器的安全，國內(nèi)還出現(xiàn)了操作系統(tǒng)安全加固技術(shù)(Reinforcement Operating System Technique Rost)，結(jié)合其他層面的安全技術(shù)，能夠很好地滿足現(xiàn)有各種復(fù)雜的網(wǎng)絡(luò)環(huán)境的應(yīng)用需求，并已達(dá)到了國家等級(jí)保護(hù)三級(jí)技術(shù)的要求。

　　ROST是一項(xiàng)利用安全內(nèi)核來提升操作系統(tǒng)安全等級(jí)的技術(shù)，這項(xiàng)技術(shù)的核心就是在操作系統(tǒng)的核心層重構(gòu)操作系統(tǒng)的權(quán)限訪問模型，實(shí)現(xiàn)真正的強(qiáng)訪問控制，使操作系統(tǒng)達(dá)到第三等級(jí)(B1級(jí))的安全技術(shù)要求。此外，ROST在最大程度地確保操作系統(tǒng)安全的基礎(chǔ)上，對(duì)服務(wù)器安全的概念進(jìn)行了重新定義。以往談到服務(wù)器安全，多半會(huì)想到硬件安全，例如容錯(cuò)、災(zāi)備等，而ROST所指的安全服務(wù)器需要具備4項(xiàng)安全指標(biāo)：安全的物理設(shè)備(比如控制硬件的拔插、硬件各零件狀態(tài)的管理檢測(cè)等)、安全的操作系統(tǒng)、安全的應(yīng)用系統(tǒng)(在ROST支持下的應(yīng)用系統(tǒng))、專業(yè)的管理系統(tǒng)。

　　服務(wù)器安全防護(hù)措施的應(yīng)用，使得服務(wù)器得到了較高的安全防護(hù)。當(dāng)然隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，更為隱密、手段更加高明的不安全措施的增加，為我們繼續(xù)開發(fā)新的服務(wù)器安全防護(hù)措施提供了更高的要求。

　　也許你會(huì)對(duì)服務(wù)器的運(yùn)行感到納悶，為什么它能同時(shí)向外界提供類似信息下載服務(wù)、頁面瀏覽服務(wù)、電子郵件服務(wù)呢，這么多服務(wù)同時(shí)進(jìn)行工作，怎么不會(huì)發(fā)生沖突呢?其實(shí)，服務(wù)器所開通的任何一種服務(wù)，都是通過某一端口來實(shí)現(xiàn)的，不同的服務(wù)使用的服務(wù)器端口號(hào)是完全不一樣的，而服務(wù)器同時(shí)可以開通若干個(gè)通信端口，這樣的話任何一種服務(wù)使用不同的端口工作時(shí)，就不會(huì)發(fā)生沖突現(xiàn)象。當(dāng)然，服務(wù)器的端口被各種網(wǎng)絡(luò)服務(wù)充分利用的同時(shí)，它們也會(huì)被一些非法攻擊者利用，這么一來端口有時(shí)也會(huì)成為黑客攻擊服務(wù)器的一種“通道”。如果對(duì)這樣的“通道”不妥善管理的話，服務(wù)器的安全將會(huì)受到極大的威脅。