張亮++黃子君

本文介紹了什么是服務器網(wǎng)絡安全，分析了現(xiàn)存的主服務器安全防護技術，最后在現(xiàn)有安全技術的基礎上，提出了服務器防護系統(tǒng)體系結構設計。

【關鍵詞】服務器 網(wǎng)絡安全

1 服務器網(wǎng)絡安全概述

服務器網(wǎng)絡安全由服務器安全與網(wǎng)絡安全同時構成，其是指服務器網(wǎng)絡資源安全，即服務器網(wǎng)絡信息系統(tǒng)資源和用戶信息資源不被自然與非自然因素的威脅。服務器網(wǎng)絡安全是指通過應用服務器系統(tǒng)管理措施和各種技術來使得網(wǎng)絡系統(tǒng)可以正常運行，進而確保服務器網(wǎng)絡資料可以正常傳輸、使用和保密。

2 服務器安全防護技術

2.1 系統(tǒng)訪問IP過濾

基于服務器訪問的IP過濾，實質上就是要對軟件防火墻進行構建，對于那些經(jīng)過服務器的IP 數(shù)據(jù)包進行過濾，對那些沒有經(jīng)過授權網(wǎng)站的訪問以及某些比較特別的指定協(xié)議進行有效的控制。由于該技術需要對IP進行設置，因此其保護性高，但設置較為繁瑣，對于過濾IP地址發(fā)送數(shù)據(jù)包一律禁止，對于服務器來說一般不適用。

2.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)根據(jù)不同的分類標準，可以分為不同的類型。根據(jù)其提取的入侵數(shù)據(jù)的地點，將其分為兩大類，即基于網(wǎng)絡的入侵檢測和基于服務器的入侵檢測。這種方法獲取的信息量大實時性高，但原始的信息包居多，分析量比較大。應用范圍較小，并不會對威脅進行阻攔。主要針對利用操作系統(tǒng)和應用程序的漏洞及運行特征進行的攻擊行為。

2.3 防火墻技術

防火墻可以配置成許多不同的級別，用戶可以根據(jù)自己的需要來控制。防火墻能強化服務器網(wǎng)絡安全，可以最大范圍地記錄互聯(lián)網(wǎng)上的活動，防火墻還能防止暴露用戶網(wǎng)絡點，它還可以用來隔開網(wǎng)絡中一個網(wǎng)段與其他網(wǎng)段的連接。但由于防火墻只是被動的進行對可疑數(shù)據(jù)進行阻攔，并沒有主動去記錄以及分析，因此其對于應用層的防御較為薄弱，對于新興威脅無法阻攔。

2.4 加密技術

在需要使用加密技術的服務器網(wǎng)絡的進出口處設置用于檢查信息資源加密情況的網(wǎng)關，對內(nèi)部網(wǎng)內(nèi)出網(wǎng)的信息資源，規(guī)定其必須加蓋保密印章標識，并對信息資源進行加密和檢查；對無密級的文件，允許出關。驅動層加密由于其是對數(shù)據(jù)進行加密，因此其部署在數(shù)據(jù)庫的最前方，但可能會對系統(tǒng)性能以及其他驅動產(chǎn)生影響，而在應用層進行加密則更容易被黑客尋找到漏洞。

2.5 服務器安全防護待解決問題

由于服務器網(wǎng)絡安全需對服務器安全以及網(wǎng)絡安全同時進行考慮，而由于這些防御技術其都是獨立的，兼容性并不是很好。服務器安全與網(wǎng)絡安全的防御技術很難進行有效結合，易被黑客分而破之。例如，當網(wǎng)絡用戶需要遠程訪問以及登入服務器系統(tǒng)時，最安全的服務器防護措施就是不允許其控制，這樣可以避免大部分的黑客入侵。而這對系統(tǒng)管理員來說則不便捷。而如果允許登入，那么就很難確定訪問者是不是用合法的方式登入，而一旦非法用戶通過一些手段登入系統(tǒng)其就可以獲得與管理員相當?shù)臋嘞?，這樣對于服務器來說威脅相當大。

現(xiàn)有的保護措施采用的技術基本是在服務器之外的，例如硬件防火墻，安全路由器以及其他一些保護手段難以獲得實時的網(wǎng)絡訪問特性，且對外部環(huán)境依賴性大。而內(nèi)置防火墻主要是對網(wǎng)絡安全進行考慮，并沒有過多去考慮服務器方面的安全，對于冒充管理員的的攻擊方式無法進行很好防御。

3 服務器網(wǎng)絡安全系統(tǒng)體系結構設計

隨著現(xiàn)代社會對于網(wǎng)絡的需求度不斷增加，單一的安全防護措施已經(jīng)不足以應付現(xiàn)有的安全問題，因此如何建立一個全面的安全系統(tǒng)體系已經(jīng)成為如今網(wǎng)絡安全的主要研究方向。

3.1 服務器網(wǎng)絡安全系統(tǒng)體系結構構想

服務器網(wǎng)絡安全中對用戶進行的訪問進行嚴格分類是最基本工作特點，其可以對訪問資源類型分為外部資源訪問與內(nèi)部資源訪問控制。在服務器網(wǎng)絡安全系統(tǒng)體系結構模型中，外網(wǎng)安全檢測其的作用與防火墻類似，是指通過按照用戶設定的安全級別對來往數(shù)據(jù)包進行過濾。

內(nèi)部系統(tǒng)資源中對于非用戶級資源為了盡可能使其方便，可以在其通過外網(wǎng)安全檢測后直接對資源進行訪問。而對于用戶級資源則需要其通過外網(wǎng)登入驗證系統(tǒng)來進行進一步安全驗證，這里可以使用通過對移動端發(fā)送驗證請求使移動端產(chǎn)生一個隨機驗證碼，通過在外網(wǎng)登入驗證中輸入驗證碼與移動端進行對比從而確定其是否為非法用戶，對于通過驗證的將訪問請求發(fā)回登入端并調(diào)用其需要訪問的用戶級資源或權限。對于沒有通過或非法繞過登入的服務器可以在無法抵御的情況下進行自動關機防止網(wǎng)絡用戶利用系統(tǒng)漏洞從而獲取ROOT權限以及服務器資料。

網(wǎng)絡用戶對于外部資源的訪問，通過外部資源訪問控制器，通過對控制器進行設置，防止網(wǎng)絡用戶以本地服務器名義對其他服務器進行訪問。

3.2 相關技術難點分析

服務器網(wǎng)絡安全技術是對現(xiàn)有單一技術進行整合并推出一個盡可能全面的防護系統(tǒng)。其可以說是把防火墻技術以及入侵檢測系統(tǒng)等一系列技術結合在一起，通過防護與檢測的有效結合，來實現(xiàn)網(wǎng)絡用戶對于資源訪問的有效控制。現(xiàn)如今，入侵檢測系統(tǒng)以及防火墻技術都相當成熟，但如何就入侵檢測系統(tǒng)以及防火墻技術在與操作系統(tǒng)有效結合起來進行工作卻是如今網(wǎng)絡安全技術的難題所在。比如，如何把外網(wǎng)登入系統(tǒng)與移動端口有效結合使用，如何終止網(wǎng)絡用戶對服務器的連接并同時拉入IP過濾名單中，如何實時監(jiān)控網(wǎng)絡用戶是否在對訪問服務器進行攻擊。而要克服這些難題，必定會涉及到服務器中的主網(wǎng)絡系統(tǒng)以及其他一些系統(tǒng)設置問題。這些問題對于現(xiàn)階段處于外掛式的服務器網(wǎng)絡安全系統(tǒng)來說還是及其困難的難題。

解決問題的辦法有：

（1）把服務器網(wǎng)絡安全系統(tǒng)內(nèi)嵌至主系統(tǒng)中，這是最根本的解決方式。但它對主系統(tǒng)提供者的依賴度極高。

（2）對現(xiàn)有英特網(wǎng)協(xié)議棧進行修訂與對服務器中軟件進行設置，其相對應的嵌入防火墻技術與對資源進行細致化分類。其特點是可操作性強，實用性較高。但同時，其的工作量極為巨大。

參考文獻

[1]李應勇，馬玉春，李壯.網(wǎng)絡環(huán)境下的主機信息安全研究[J].瓊州學院學報，2011.

[2]胡衛(wèi)紅.淺談網(wǎng)站主機的網(wǎng)絡安全[J].計算機與網(wǎng)絡，2013.

作者簡介

張亮（1982-），碩士學位?，F(xiàn)為南昌大學人民武裝學院講師。

作者單位

1.南昌大學人民武裝學院 江西省南昌市 330043

2.南昌師范學院 江西省南昌市 330029endprint