計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵和防御技術(shù)研究

◆李波

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵和防御技術(shù)研究

◆李波

（航空工業(yè)一飛院信息化與情報(bào)檔案研究所 陜西 710089）

計(jì)算機(jī)的發(fā)明及普及應(yīng)用極大便利了人們的生產(chǎn)生活，加快了行業(yè)信息化發(fā)展步伐。與此同時(shí)，因計(jì)算機(jī)網(wǎng)絡(luò)的開放性特征，也給計(jì)算機(jī)病毒及網(wǎng)絡(luò)黑客入侵計(jì)算機(jī)服務(wù)器提供了可乘之機(jī)?；诖?，本文研究計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器防病毒入侵技術(shù)手段，關(guān)系到計(jì)算機(jī)運(yùn)行環(huán)境的安全。

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器；入侵；防御技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器作為計(jì)算機(jī)信息輸入輸出的中樞，一旦遭受入侵，會(huì)導(dǎo)致計(jì)算機(jī)信息數(shù)據(jù)被破壞或竊取，給計(jì)算機(jī)用戶帶來巨大損失[1]。在計(jì)算機(jī)網(wǎng)絡(luò)滲入到各行業(yè)生產(chǎn)生活的背景下，需要著重梳理計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器遭入侵的途徑，然后據(jù)此采用先進(jìn)的防御技術(shù)加以預(yù)防化解。

1 計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器概述

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器，即SERVER，主要指的是在網(wǎng)絡(luò)環(huán)境下運(yùn)行相關(guān)軟件，向計(jì)算機(jī)用戶提供信息資源服務(wù)的高性能計(jì)算機(jī)。當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器面臨較為激烈的市場(chǎng)競(jìng)爭(zhēng)，國外主要有DELL、HP、IBM、SUN等廠商，我國則有浪潮、聯(lián)想、曙光等頭部廠商。從分類上看，基于PC體系結(jié)構(gòu)的IA架構(gòu)服務(wù)器，主要采用Intel或相兼容的處理器芯片，顯著特點(diǎn)優(yōu)勢(shì)是“穩(wěn)、巧、小”，性能可靠而成本較低；RISC架構(gòu)服務(wù)器與普通CPU相比，結(jié)構(gòu)完全不同，主要適用于集團(tuán)企業(yè)，具備高性能數(shù)據(jù)處理服務(wù)功能。

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器本質(zhì)上屬計(jì)算機(jī)范疇，與日常所用PC電腦存在架構(gòu)上的相似處，如總線、CPU、內(nèi)存、硬盤等，同時(shí)可滿足網(wǎng)絡(luò)、數(shù)據(jù)庫、Web應(yīng)用等共享服務(wù)需求[2]。計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器在運(yùn)算能力上更加可靠高效，具備極強(qiáng)的數(shù)據(jù)吞吐功能，可視為網(wǎng)絡(luò)信息架構(gòu)的核心及中樞?；谟?jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的重要性，為保證計(jì)算機(jī)用戶能夠在多任務(wù)運(yùn)行環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的可靠存儲(chǔ)及應(yīng)用，應(yīng)重點(diǎn)關(guān)注可能入侵計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的不安全因素，借助入侵防御技術(shù)，配合冗余技術(shù)、故障預(yù)報(bào)警技術(shù)、熱插拔技術(shù)、系統(tǒng)備份技術(shù)、內(nèi)存糾錯(cuò)技術(shù)、在線診斷技術(shù)及遠(yuǎn)程診斷技術(shù)等，封堵計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全隱患漏洞，提高計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的穩(wěn)定性及可管理性。

2 計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵路徑

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器在帶來多重功能的同時(shí)，由于自身的開放性特征，也為計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器入侵留下了隱患。近些年來，隨著計(jì)算機(jī)信息技術(shù)的發(fā)展，計(jì)算機(jī)入侵手段也趨于多樣，計(jì)算機(jī)病毒、木馬及黑客入侵等事件層出不窮。具體而言，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵路徑主要有如下幾種：

2.1 計(jì)算機(jī)口令入侵

在計(jì)算機(jī)信息安全防護(hù)上，計(jì)算機(jī)用戶主要采用設(shè)置登錄口令的方式，例如，計(jì)算機(jī)賬戶登錄、計(jì)算機(jī)信息數(shù)據(jù)儲(chǔ)存、計(jì)算機(jī)數(shù)據(jù)調(diào)用等，相應(yīng)地，通過計(jì)算機(jī)口令通道入侵計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器也就有了可乘之機(jī)。該入侵方式主要有以下兩種：第一，對(duì)口令進(jìn)行強(qiáng)行破解。入侵者使用列舉法及字典法對(duì)口令進(jìn)行嘗試破解，然后借助計(jì)算機(jī)數(shù)據(jù)處理能力達(dá)到口令破解的目的，竊取及破壞計(jì)算機(jī)系統(tǒng)數(shù)據(jù)[3]。第二，實(shí)施網(wǎng)絡(luò)監(jiān)聽。該手段主要是入侵者在相關(guān)網(wǎng)絡(luò)設(shè)備支持下，對(duì)計(jì)算機(jī)用戶的數(shù)據(jù)信息進(jìn)行截取，獲取計(jì)算機(jī)用戶的口令等。一般而言，如計(jì)算機(jī)用戶在數(shù)據(jù)信息傳輸中未進(jìn)行加密保護(hù)，遭受監(jiān)聽及竊取的概率大增。

2.2 計(jì)算機(jī)病毒木馬入侵

計(jì)算機(jī)木馬主要以計(jì)算機(jī)程序的形式展現(xiàn)，少數(shù)情況下偽裝在游戲軟件中，實(shí)則能夠極大損害計(jì)算機(jī)數(shù)據(jù)安全性。病毒木馬以程序的方式在目標(biāo)計(jì)算機(jī)中駐留，當(dāng)計(jì)算機(jī)啟動(dòng)后，木馬軟件可以連接并對(duì)計(jì)算機(jī)操作行為進(jìn)行偵聽，識(shí)別到計(jì)算機(jī)接收數(shù)據(jù)后，對(duì)相應(yīng)數(shù)據(jù)模塊進(jìn)行竊取或破壞。計(jì)算機(jī)木馬程序能夠?qū)崿F(xiàn)工作程序環(huán)節(jié)的隱身，例如以系統(tǒng)服務(wù)器來作為偽裝，當(dāng)計(jì)算機(jī)用戶啟動(dòng)服務(wù)器端或進(jìn)行網(wǎng)頁瀏覽時(shí)，木馬程序被同時(shí)加載使用，由木馬下載的信息傳輸給計(jì)算機(jī)黑客，黑客能夠?qū)τ?jì)算機(jī)數(shù)據(jù)進(jìn)行隨意篡改或破壞。注冊(cè)表、system.ini、win.ini.等路徑通常作為木馬程序的隱藏地。

2.3 計(jì)算機(jī)網(wǎng)頁欺騙

計(jì)算機(jī)網(wǎng)頁欺騙也成為Web欺騙，主要通過兩種技術(shù)手段實(shí)現(xiàn)，一是URL地址重寫，二是相關(guān)信息掩蓋技術(shù)。例如，分布式honeypot、欺騙空間技術(shù)等。IP欺騙、DNS欺騙、ARP欺騙、電子郵件欺騙、源路由欺騙、地址欺騙等都是其表現(xiàn)形式。例如，計(jì)算機(jī)用戶經(jīng)常瀏覽訪問的網(wǎng)頁站點(diǎn)，如購物網(wǎng)站，在線游戲網(wǎng)站及新聞?lì)惥W(wǎng)站等，由于用戶登錄頻率高，對(duì)網(wǎng)頁的安全性有所忽視，此時(shí)入侵者通過篡改網(wǎng)頁，在網(wǎng)頁中增加惡意鏈接，計(jì)算機(jī)用戶通常不易察覺，從而造成用戶計(jì)算機(jī)信息數(shù)據(jù)的丟失。

3 計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵防御技術(shù)途徑

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器作為網(wǎng)絡(luò)架構(gòu)的中樞，在運(yùn)行環(huán)境上要確保穩(wěn)定安全，在對(duì)入侵網(wǎng)絡(luò)服務(wù)器的路徑加以明確后，應(yīng)通過防御機(jī)制構(gòu)建及防御技術(shù)應(yīng)用相結(jié)合的方式，降低計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的安全隱患發(fā)生風(fēng)險(xiǎn)。具體而言，把握如下幾方面：

3.1 構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全管理體系

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器作為網(wǎng)絡(luò)核心部件，其需要與計(jì)算機(jī)設(shè)備元件共同進(jìn)行保護(hù)而不是采用隔離保護(hù)的方式。為此，應(yīng)針對(duì)網(wǎng)絡(luò)服務(wù)器及計(jì)算機(jī)其他設(shè)備構(gòu)建統(tǒng)一的安全管理體系。作為計(jì)算機(jī)用戶而言，應(yīng)提高計(jì)算機(jī)操作安全意識(shí)，在此基礎(chǔ)上，通過安全管理措施及安全技術(shù)措施建構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器運(yùn)行環(huán)境保障機(jī)制[4]。一是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器及計(jì)算機(jī)設(shè)備制定網(wǎng)絡(luò)行為規(guī)章制度，指導(dǎo)計(jì)算機(jī)用戶的操作行為。例如，明確計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全管理范圍及等級(jí)，對(duì)機(jī)房出入進(jìn)行嚴(yán)格管理，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)置維護(hù)及應(yīng)急方案等。二是側(cè)重采用有效的技術(shù)手段，如防火墻、殺毒軟件等，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器運(yùn)行環(huán)境進(jìn)行查殺。

3.2 采用防火墻技術(shù)防御黑客入侵

在計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵因素上，網(wǎng)絡(luò)黑客出現(xiàn)的頻率較高，針對(duì)黑客入侵，可采用防火墻技術(shù)進(jìn)行專門防御。防火墻技術(shù)通過技術(shù)手段可將黑客入侵行為進(jìn)行識(shí)別及隔離，保護(hù)計(jì)算機(jī)服務(wù)器的數(shù)據(jù)信息。在具體防御原理上，根據(jù)程序預(yù)先設(shè)定安全策略，然后控制計(jì)算機(jī)來訪的數(shù)據(jù)包及信息，以此防御外網(wǎng)對(duì)內(nèi)網(wǎng)的入侵。防火墻技術(shù)并非物理層面的隔離部件，本質(zhì)上屬于邏輯隔離部件。在具體組成形式上由硬件、軟件或軟硬結(jié)合等。在功能上，主要能夠?qū)崿F(xiàn)控制訪問、控制內(nèi)容、安全日志、集中管理，所運(yùn)用的技術(shù)有狀態(tài)檢測(cè)技術(shù)、包過濾技術(shù)、代理服務(wù)技術(shù)等。防火墻防御技術(shù)在技術(shù)成熟度上越來越高，在具體選用防火墻技術(shù)時(shí)應(yīng)結(jié)合網(wǎng)絡(luò)服務(wù)器的性能規(guī)格。在進(jìn)行網(wǎng)頁瀏覽時(shí)應(yīng)先由防火墻進(jìn)行過濾，使用ADSL、寬帶或光纖連接網(wǎng)絡(luò)時(shí)遭受黑客入侵的概率較高，如不需要傳輸數(shù)據(jù)，可對(duì)網(wǎng)絡(luò)連接進(jìn)行斷線操作，切斷黑客監(jiān)視及偵聽數(shù)據(jù)傳輸?shù)耐ǖ?。需要注意的是，防火墻有安全策略，但基于通信?nèi)容控制力度不強(qiáng)，在病毒木馬及惡意代碼的防護(hù)上能力相對(duì)較弱，為此，對(duì)防火墻技術(shù)應(yīng)進(jìn)行實(shí)時(shí)升級(jí)，以便其發(fā)揮病毒木馬識(shí)別查殺功能。為了有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器及計(jì)算機(jī)內(nèi)網(wǎng)，應(yīng)確保防火墻IP地址處于對(duì)外保密狀態(tài)，隱藏計(jì)算機(jī)用戶端IP地址[5]。

3.3 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的訪問控制管理

計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器入侵防御中，針對(duì)訪問控制進(jìn)行安全性管理是重要途徑之一。把握如下幾點(diǎn)：第一，驗(yàn)證計(jì)算機(jī)用戶的身份，特別是在訪問計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器數(shù)據(jù)時(shí)，要重點(diǎn)檢查計(jì)算機(jī)用戶名的合法性。第二，對(duì)計(jì)算機(jī)用戶的訪問密碼進(jìn)行加密，出現(xiàn)高頻次訪問操作時(shí)應(yīng)對(duì)相應(yīng)用戶進(jìn)行復(fù)核。例如，識(shí)別及驗(yàn)證用戶名、用戶口令、用戶賬號(hào)默認(rèn)檢查等。第三，設(shè)置必要的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器訪問權(quán)限，縮小訪問控制操作人員范圍，如發(fā)現(xiàn)違規(guī)操作及不明入侵，對(duì)用戶登錄的權(quán)限進(jìn)行限制。為了進(jìn)一步控制訪問操作，還可使用一次性用戶口令，或者使用智能卡等便攜式驗(yàn)證器對(duì)用戶身份進(jìn)行驗(yàn)證。如用戶在特定時(shí)間內(nèi)輸入多次假口令，則鎖定賬戶，由管理員對(duì)相應(yīng)賬戶進(jìn)行查看及解鎖。第四，劃分用戶權(quán)限分類，如系統(tǒng)管理員、具有分配操作權(quán)限的一般用戶、實(shí)施網(wǎng)絡(luò)安全控制的審計(jì)用戶等。

3.4 計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全掃描技術(shù)的應(yīng)用

在計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵上，入侵者還可以通過掃描木馬軟件獲取服務(wù)器的安全漏洞，然后實(shí)施數(shù)據(jù)信息的竊取及破壞。為此，可以通過安全掃描技術(shù)，不定時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器及重要的設(shè)備元件進(jìn)行安全掃描檢測(cè)，先期發(fā)展安全隱患，封堵入侵漏洞。具體應(yīng)用上，可以采用主動(dòng)安全掃描搭配被動(dòng)安全掃描的方式，通過對(duì)入侵行為特點(diǎn)及方式加以模擬熟悉，找出漏洞并修復(fù)。與此同時(shí)，通過被動(dòng)安全掃描，對(duì)網(wǎng)絡(luò)服務(wù)器設(shè)置、脆弱性口令、安全規(guī)則等進(jìn)行檢查核驗(yàn)，及時(shí)發(fā)現(xiàn)系統(tǒng)薄弱環(huán)節(jié)。此外，通過安全掃描技術(shù)輔助，計(jì)算機(jī)用戶應(yīng)對(duì)操作系統(tǒng)及程序等進(jìn)行實(shí)時(shí)更新，將軟件及系統(tǒng)漏洞第一時(shí)間修補(bǔ)。如經(jīng)過安全掃描技術(shù)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器在文件中隱藏有木馬，則應(yīng)檢查計(jì)算機(jī)用戶是否設(shè)置文件共享，設(shè)置高強(qiáng)度的密碼或非必要不開啟文件共享功能。針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器遭受入侵可能產(chǎn)生的數(shù)據(jù)丟失問題，計(jì)算機(jī)用戶應(yīng)定期做好數(shù)據(jù)的備份管理，通過設(shè)置加密鎖及復(fù)雜密碼等方式，保護(hù)計(jì)算機(jī)備份文件。例如，與FAT格式下存儲(chǔ)的磁盤數(shù)據(jù)相比NTFS格式要更容易被破壞，在磁盤分區(qū)設(shè)定上應(yīng)以NTFS格式為主，在數(shù)據(jù)備份上也盡量在NTFS磁盤分區(qū)中保存。

4 結(jié)語

計(jì)算機(jī)在各行業(yè)中應(yīng)用極為普遍，在帶來便捷性的同時(shí)也存在較大的安全隱患。為了抵御計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器入侵，保護(hù)行業(yè)安全，應(yīng)結(jié)合網(wǎng)絡(luò)服務(wù)器的構(gòu)成及運(yùn)行特點(diǎn)，采用先進(jìn)的入侵防御技術(shù)手段，做好防御技術(shù)的更新，以確保計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器能夠處于安全穩(wěn)定的運(yùn)行狀態(tài)，防護(hù)計(jì)算機(jī)用戶的信息數(shù)據(jù)。

[1]張昊.計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵和防御技術(shù)探討[J].信息記錄材料，2020（7）：201-203.

[2]鄭偉.論計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器防御入侵性能的優(yōu)化策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（12）：37-38.

[3]顧勤豐.計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的配置與管理[J].信息記錄材料，2020（7）：160-161.

[4]吳海嬌.淺析計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器日常安全與維護(hù)[J].環(huán)球市場(chǎng)，2019（11）：360.

[5]錢宇明，徐捷.計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)研究[J].數(shù)碼世界，2020（12）：253-254.