伺服器作業系統安全防護

　　伺服器的安全是保障系統執行的屏障，下面由小編為大家整理了的相關知識，希望對大家有幫助!

　　措施

　　伺服器是IT系統中的核心裝置。因此,伺服器的安全是每個使用者都必須重視的問題。本文從伺服器漏洞的修補、HIPS—主機入侵防護系統的應用、對“拒絕服務攻擊”的防範、從系統核心入手的保護四個方面進行論述，旨在保護伺服器，使其免受來自網路的威脅。

　　措施1、伺服器漏洞的修補

　　事實證明，99%的黑客攻擊事件都是利用未修補的漏洞與錯誤的設定。許多受到防火牆、IDS、防毒軟體保護的伺服器仍然遭受黑客、蠕蟲的攻擊，其主要原因是企業缺乏一套完整的弱點評估管理機制，未能落實定期評估與漏洞修補的工作，因而造成漏洞沒人理睬，最終成為黑客攻擊的管道，或者是病毒攻擊破壞的目標。

　　如何避免網路伺服器受網上那些惡意的攻擊行為。

　　1.1 構建好硬體安全防禦系統 選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的元件：防火牆、入侵檢測系統、路由系統等。

　　防火牆在安全系統中扮演一個保安的角色，可以很大程度上保證來自網路的非法訪問以及資料流量攻擊，如拒絕服務攻擊等;入侵檢測系統則是扮演一個監視器的角色，監視你的伺服器出***，非常智慧地過濾掉那些帶有入侵和攻擊性質的訪問。

　　1.2 選用英文的作業系統

　　要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠遠要比英文版多，而中文版的補丁向來是比英文版出的晚，也就是說，如果你的伺服器上裝的是中文版的windows系統，微軟漏洞公佈之後你還需要等上一段時間才能打好補丁，也許黑客、病毒就利用這段時間入侵了你的系統。

　　另外，企業需要使用漏洞掃描和風險評估工具定期對伺服器進行掃描，以發現潛在的安全問題，並確保升級或修改配置等正常的維護工作不會帶來安全問題。

　　漏洞掃描就是對重要計算機資訊系統進行檢查，發現其中可被黑客利用的漏洞。基於主機的漏洞掃描器通常在目標系統上安裝了一個代理***Agent***或者是服務***Server***,以便能夠訪問所有的檔案與程序，這也使得基於主機的漏洞掃描器能夠掃描更多的漏洞。

　　以某公司的主機漏洞掃描器為例，它是基於主機的Client/Server三層體系結構的漏洞掃描工具，這三層分別為控制檯、管理器和代理。控制檯安裝在一臺計算機中，管理器安裝在企業網路中，代理安裝完後，需要向管理器註冊。當代理收到管理器發來的掃描指令時，代理單獨完成本目標系統的漏洞掃描任務。掃描結束後，代理將結果傳給管理器。終端使用者可以通過控制檯瀏覽掃描報告。

　　基於主機的漏洞掃描器有很多優點。

　　掃描的漏洞數量多。由於在目標系統上安裝了一個代理或者是服務，以便能夠訪問所有的檔案與程序，這使得基於主機的漏洞掃描器能夠掃描更多的漏洞。

　　集中化管理。基於主機的漏洞掃描器通常都有一個集中的伺服器作為掃描伺服器。所有掃描的指令均從伺服器進行控制。這一點與基於網路的掃描器類似。這種集中化管理模式，使得基於主機的漏洞掃描器能夠實現快速部署。

　　網路流量負載小。由於管理器與代理之間只有通訊的資料包，漏洞掃描部分都由代理單獨完成，這就大大減少了網路的流量負載。當掃描結束後，代理再次與管理器進行通訊，將掃描結果傳送給管理器。

　　措施2、HIPS-主機入侵防護系統的應用

　　HIPS-主機入侵防護系統通過在主機/伺服器上安裝軟體代理程式，防止網路攻擊入侵作業系統以及應用程式。HIPS能夠保護伺服器的安全弱點不被不法分子所利用，它可以阻斷緩衝區溢位、改變登入口令、改寫動態連結庫以及其他試圖從作業系統奪取控制權的入侵行為。HIPS提升了主機的安全水平，在防範蠕蟲的攻擊中，起到了很好的防護作用。

　　在技術上，HIPS採用獨特的伺服器保護途徑，利用包過濾、狀態包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護伺服器的敏感內容，既可以通過攔截針對作業系統的可疑呼叫，提供對主機的安全防護，也可以更改作業系統核心程式的方式，提供比作業系統更加嚴謹的安全控制機制。

　　由於HIPS工作在受保護的主機/伺服器上，它不但能夠利用特徵和行為規則檢測，阻止諸如緩衝區溢位之類的已知攻擊，還能夠防範未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器作業系統平臺緊密相關，不同的平臺需要不同的軟體代理程式。

　　措施3、對“拒絕服務攻擊”的防範

　　目前網路中有一種攻擊讓網路管理員最為頭疼，就是拒絕服務攻擊***DoS***和分散式拒絕服務攻擊***DDoS***。它是一種濫用資源性的攻擊，目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對伺服器進行訪問造成伺服器的服務失效甚至宕機。

　　防DDoS攻擊的軟體防火牆可全面應用在IDC機房託管、虛擬主機、電子商務網站、郵件伺服器上。但有一些產品僅有防禦DoS攻擊的功能，遇到針對伺服器攻擊的黑客，仍然無任何作用，好的產品應該擁有強大的網路協議解析能力。可過濾經過精心偽裝的惡意程式碼和攻擊，有效阻止和預警各種攻擊行為，可完全抵禦ACK、DoS、DDoS、SYN、Flood、FATBOY等攻擊，以及具有埠防護、HTTP指紋檢測、埠應用方式定點過濾等功能，並且不限制伺服器連線數。

　　措施4、從系統核心入手的保護

　　針對伺服器的安全，國內還出現了作業系統安全加固技術***Reinforcement Operating System Technique Rost***，結合其他層面的安全技術，能夠很好地滿足現有各種複雜的網路環境的應用需求，並已達到了國家等級保護三級技術的要求。

　　ROST是一項利用安全核心來提升作業系統安全等級的技術，這項技術的核心就是在作業系統的核心層重構作業系統的許可權訪問模型，實現真正的強訪問控制，使作業系統達到第三等級***B1級***的安全技術要求。此外，ROST在最大程度地確保作業系統安全的基礎上，對伺服器安全的概念進行了重新定義。以往談到伺服器安全，多半會想到硬體安全，例如容錯、災備等，而ROST所指的安全伺服器需要具備4項安全指標：安全的物理裝置***比如控制硬體的拔插、硬體各零件狀態的管理檢測等***、安全的作業系統、安全的應用系統***在ROST支援下的應用系統***、專業的管理系統。

　　伺服器安全防護措施的應用，使得伺服器得到了較高的安全防護。當然隨著計算機技術的飛速發展，更為隱密、手段更加高明的不安全措施的增加，為我們繼續開發新的伺服器安全防護措施提供了更高的要求。

　　也許你會對伺服器的執行感到納悶，為什麼它能同時向外界提供類似資訊下載服務、頁面瀏覽服務、***服務呢，這麼多服務同時進行工作，怎麼不會發生衝突呢?其實，伺服器所開通的任何一種服務，都是通過某一埠來實現的，不同的服務使用的伺服器埠號是完全不一樣的，而伺服器同時可以開通若干個通訊埠，這樣的話任何一種服務使用不同的埠工作時，就不會發生衝突現象。當然，伺服器的埠被各種網路服務充分利用的同時，它們也會被一些非法攻擊者利用，這麼一來埠有時也會成為黑客攻擊伺服器的一種“通道”。如果對這樣的“通道”不妥善管理的話，伺服器的安全將會受到極大的威脅。