本文针对企业应用服务器面临日益严峻的安全问题,从系统安全、入侵防护、访问控制、数据安全、备份容灾诸方面,介绍了对关键应用服务器进行全面有效的安全防护的方法,旨在保障服务器处于稳定可靠状态。
1、服务器概况
服务器是企业信息系统的核心,主要有文件服务器、数据库服务器和应用服务器3 种类型。以“应用服务器”泛指这3 种类型。应用服务器上运行着重要的业务系统,在网络环境下为客户机提供服务。应用服务器种类很多,如域控制器、DNS、电子邮件、Web、OA 等。一台硬件服务器能同时提供多种服务,逻辑上构成多个应用服务器,一种服务也可以分布运行在多个硬件平台上。
服务器有RISC 架构(采用安腾、PowerPC、Sparc 等CPU) 和CISC (采用Intel、AMD CPU) 架构(又称IA、x86或PC 服务器)。操作系统基本上是Unix/Linux和Windows两大系列。中高端服务器多采用Unix,低端服务器或PC 服务器采用Windows、Linux 或Solaris。Windows 系统以WindowsServer 2003 或2008 为主, Unix系统以IBM AIX、HP UX、Sun Solaris 及FreeBSD 为常见,Linux
系统则以RedHat 和SUSE为多。
2、安全威胁
服务器面临的安全威胁依然是病毒、恶意攻击、系统漏洞、数据泄密、数据损坏几类。其中病毒和网络攻击是最大的安全威胁,病毒从外网或移动介质等途径进入内网,有的会攻击服务器破坏数据或植入木马进而窃取机密数据。无论是病毒攻击还是人为攻击,大都以破坏、窃密或传播病毒为目的。
漏洞是服务器存在的重大安全隐患之一,既有操作系统的漏洞也有管理方面的疏漏。操作系统、数据库管理系统和应用系统中存在的系统漏洞有可能被黑客利用进行攻击、传播病毒和木马。另外,服务器开放了很多并不使用的端口和服务,给黑客攻击提供了潜在的途径。系统管理存在疏漏,如系统管理员账户未设口令,或者过于简单。某些服务默认的管理口令没有更改,使外人能够轻易获得管理权。
泄密风险包括来自内外部网络的窃密、内部泄密、访问控制策略不当或存储介质丢失泄密等情况。
3、服务器的安全保障
应用服务器一旦发生故障,就可能引起服务中断或数据丢失,给企业造成重大损失,故安全防护的最高目标是保障安全、稳定、高效、连续不间断地运行。服务器安全防护尤其要在系统安全、访问控制和备份容灾方面下大功夫。
3.1 系统安全加固
定期对服务器的系统配置进行安全优化,对服务器和数据库系统进行全面的漏洞扫描和安全评估。及时对漏洞进行修复加固[1],及时下载最新的补丁并测试后安装。系统安装时建立的各种管理员账户,必须及时设置强口令,并经常更换。禁用默认的账户名,另建新的。禁用服务器不必要的服务和端口。
3.2 按区域防护
按应用类别把服务器放置在不同区域,分别采用不同的安全策略。通常把面向外部服务的服务器放置在DMZ 服务器区,如Web、E-mail 等,把面向内部服务的服务器放置在应用服务器区,如OA 等,对核心业务服务器,如ERP、生产系统、财务系统等,应单独放置在一个封闭的区域内,在边界部署防火墙予以重点保护,禁止无关的用户或主机访问。
3.3 边界防御
对内部网与互联网、外联网的出口边界进行安全防护,如采取物理隔离,部署防火墙、入侵检测与入侵防护(IDS/IPS) 设施等。
DMZ 区的对外服务器须用防火墙保护。应封锁无关的服务端口,防止从外网扫描服务器系统的端口。控制对系统的访问,记录并分析通过防火墙的访问日志。必要时部署IDS/IPS 监控网络流量,及时发现入侵和攻击。为简化多种设备的多级连接,减少故障点,可采用集防火墙、防病毒、入侵检测/防御、反垃圾邮件等多项功能于一身的UTM 设备,易于配置使用。
3.4 病毒防治
服务器必须采取完善的病毒防治措施。杀毒软件必须设定每天自动更新病毒库,确保为最新。启用病毒自动防护功能对进出的文件进行实时扫描。经常检查杀毒软件的日志记录和实时防护报告。
3.5 访问控制
充分利用网络设备的访问控制机能,对服务器的操作系统和数据库系统进行严格的访问控制,控制用户或进程对服务器、目录、文件等资源的访问,保证不被非法使用和访问。对用户或进程设置不同的访问权限,实行分级的强制性账户安全策略,对目录和文件设置相应的安全级别等措施,杜绝非授权用户对文件的非法访问。
对服务器的系统管理员或应用操作人员进行身份认证和授权。传统的静态用户名加密码认证不够安全,易被破解或被木马程序窃取。IC 卡认证方式由于IC 卡中的身份信息容易被扫描截取也不十分安全。动态口令能够让用户密码不断动态变化,每次认证密码都不相同,可有效地保证用户身份的安全认证。
PKI/CA 身份认证使用数字证书通过数据加密和解密、数字签名技术,确保信息的机密性、完整性和身份的真实性,是目前最具安全性与可靠性的用户认证手段[2]。把数字证书存储在USB Key 中,便于携带和使用。通过建立企业的PKI/CA系统,实现用户的单点登录、用户身份认证和访问控制,较为理想。
3.6 远程访问与远程管理控制
移动用户从公网访问企业内网服务器以VPN 方式较为安全。用户登录时插入存有数字证书的USB Key,并输入Pin 码进行双因素认证,安全强度远远高于仅使用用户名加密码的方式,保证了客户认证信息不会被盗用或者破解。须严加控制远程登录、远程管理访问中传输的信息必须加密,控制策略应设置为只允许管理员从特定的IP 地址对服务器远程管理,所有的远程登录日志必须记录。
3.7 数据加密
为防止机密数据在网络上传输时被窃取造成泄密,传输前要对数据实施加密。常用的有基于IP 协议的加密和VPN 加密。还有一种通过文档加密系统对文件实施加密的方式,只能在授权的环境下才能解密恢复为明文,否则是不可读的。
3.8 安全防护
3.8.1 活动目录服务器
Windows 活动目录(AD) 是为了便于对分布在企业网络各处的各类对象(如用户、计算机) 及各类资源(如打印机、文件夹、程序) 进行集中管理而建立的。AD 包含一个或多个域,每个域内可设置多台域控制器供冗余。如果域控分布在不同地域,则需要在每一个地方创建一个站点,以达到平衡域控信息复制、加快用户登录身份验证的目的。AD 域数据应经常备份。
3.8.2 Web 服务器
企业对外网站的Web 服务器很容易成为外部攻击的目标,攻击者利用各种系统漏洞、口令破解等途径实施攻击,进行内容篡改、盗取管理员密码、数据库注入、网站挂马、木马植入、窃取数据等破坏活动。
为保证网站免受攻击、篡改,需部署网页防篡改系统,对网页内容进行实时监控,一旦发现有文件被篡改则自动进行恢复。
3.8.3 数据库服务器
数据库系统本身的安全性至关重要。通过数据库管理系统具有的诸如用户身份认证、存取控制、数据加密、数据库审计、备份与恢复等一系列的安全机制来保障数据库的保密性、完整性和可用性。同时,由于数据库系统都是以文件形式存在的,所以在操作系统下要对数据库文件的访问权限进行严格管理,防止通过此途径对数据库进行的破坏。在网络上应防止对数据库实施攻击、窃取、篡改和破坏活动。还要做好数据库的容灾备份,对重要的数据库服务器配备双机热备实现高可用性。
3.8.4 电子邮件服务器
邮件服务器首先要保证系统自身的安全性,只开放SMTP端口,POP3 端口则视情况限定开放范围。对每个用户的邮箱总容量和单个邮件的大小进行限制,以免磁盘空间耗尽引起系统崩溃。限期删除发送队列里长时间发不出去的邮件。启用SMTP 认证对发送邮件做身份验证防止转发垃圾邮件。反垃圾邮件是必要的,应使用智能化和识别准确率高的硬件设备。
3.9 集群与双机热备
集群是一组运行相同软件系统的计算机,对外作为一台服务器为客户端服务。集群一般使用两台服务器,均安装同样的应用系统,当一台出现故障时,另一台可以在短时间内接管它的应用,保证业务系统的不间断服务,实现高可用性。集群一般要共享使用存储设备,如磁盘阵列或光纤SAN,两台服务器使用同样的数据。
3.10 服务器负载均衡
在互联网上对外提供连续不间断服务的应用系统,为满足大访问量和高可用性的需求,往往配置多台服务器同时提供服务,供用户均衡访问。
服务器负载均衡技术能够实现在一组服务器上同时运行一种服务,为多个用户提供服务。当有服务请求时,按照负载均衡分摊算法调度其中一台服务器执行服务。当某台服务器出现故障时,其他服务器会继续提供服务,保证服务的连续性。最简单的负载均衡可通过DNS 实现,但效果不好。反向代理技术也可实现负载均衡。专业的服务器负载均衡以硬件设备效果较好,软件方式则成本较低。
3.11 备份与容灾
当前最新的备份技术是基于存储虚拟化的快照和持续数据保护(CDP) 技术[4]。快照是对特定时刻的系统和数据的复制,相当于一个数据集的静态图像,而CDP 则是对系统和数据进行的连续复制与存储,就像是视频一样连续,能够在应用服务器的故障瞬间完成任何时间点的故障恢复。快照和CDP 适合于大型不间断运行的应用环境,对操作系统、数据库系统、应用系统和数据都要进行实时备份和故障恢复。扩展到异地可实现异地容灾。
对业务连续性要求不高的普通服务器,可使用传统的备份手段利用磁盘阵列或磁带介质实行静态备份。
利用虚拟机技术实现服务器容灾也是一种可行的方法。针对正在运行的实服务器创建对应的虚机,平时作为实机的备份。或者对实物理服务器作一次实转虚,生成一个虚机副本映像。当实服务器出现灾难性故障时,或者启动备份虚机,或者执行虚机映像,在最短的时间内恢复实服务器上的重要业务。
3.12 系统日志审计
通过对操作系统、应用系统、数据库系统和网络设备的系统日志进行监控和审计来检查有无可疑现象,是否有入侵者侵入过,是否留过后门等,据此及时采取措施,消除各类安全隐患。
由于系统日志信息数量巨大,靠人工很难进行审计,可使用专业的日志服务器通过syslog 协议把所有的系统日志收集集中,统一进行分析,生成各种形式的报表,供管理员使用。
4、结语
保障应用服务器及网络安全是个永恒的话题。随着网络应用的发展,安全防护也必然会遇到新的挑战,只有与时俱进,应对危机,不断提高防护能力,才能保证信息安全。