伺服器運維環境安全體系（下篇）

五年前的 6 月 1 日，我國首部網路安全領域的基礎性法律檔案《中華人民共和國網路安全法》正式施行。

關注【融雲全球網際網路通訊雲】瞭解更多

這五年，是網路安全越來越受到重視的五年。

國家出臺一系列政策，為維護國家網路安全，築牢國家網路安全屏障奠定基石。

在企業層面，任何企業的安全生產都離不開安全相關的技術保障。因此，每一個企業都需要構建一套自上而下完善的安全解決方案。

今天，我們分享（下篇）——

落地實踐方案和防護策略。

落地實踐方案和防護策略

DDos

DDoS（Distributed Denial of Service，分散式拒絕服務）將多臺計算機聯合起來作為攻擊平臺，透過遠端連線利用惡意程式，對一個或多個目標發起 DDoS攻擊，消耗目標伺服器效能或網路頻寬，從而造成伺服器無法正常地提供服務。

通常，攻擊者使用一個非法賬號將 DDoS 主控程式安裝在一臺計算機上，並在網路上的多臺計算機上安裝代理程式。在所設定的時間內，主控程式與大量代理程式進行通訊，代理程式收到指令時對目標發動攻擊，主控程式甚至能在幾秒鐘內啟用成百上千次代理程式的執行。

（安全架構示意圖）

可以從幾個方面著手緩解 DDoS 攻擊的威脅：

①隔離資源和不相關的業務，降低被攻擊的風險。

②最佳化業務架構，利用公共雲的特性設計彈性伸縮和災備切換的系統。

③伺服器安全加固，提升伺服器自身的連線數等效能。

④做好業務監控和應急響應。

⑤選擇合適的商業安全方案。

WAF

WAF（Web Application Firewall，

Web 應用防護系統，也叫

網站應用級入侵防禦系統）透過執行一系列針對 HTTP/HTTPS 的安全策略來專門為 Web 應用提供保護。有如下特性：

①提供 Web 應用攻擊防護。

②緩解惡意 CC 攻擊，過濾惡意的 Bot 流量，保障伺服器效能正常。

③提供業務風控方案，解決業務介面被惡意濫刷等業務安全風險。

④提供網站一鍵 HTTPS 和 HTTP 回源，降低源站負載壓力。

⑤支援對 HTTP 和 HTTPS 流量進行精準的訪問控制。

常見 Web 應用攻擊防護

防禦 OWASP 常見威脅：

支援防禦 SQL 注入、XSS 跨站、Webshell 上傳、後門隔離保護、命令注入、非法 HTTP 協議請求、常見 Web 伺服器漏洞攻擊、核心檔案非授權訪問、路徑穿越、掃描防護等常見威脅。

網站隱身：

不對攻擊者暴露站點地址、避免其繞過 Web 應用防火牆直接攻擊。

友好的觀察模式：

針對網站新上線的業務開啟觀察模式，對於匹配中防護規則的疑似攻擊只告警不阻斷，方便統計業務誤報狀況。

（WAF 攻擊防護原理）

堡壘機

堡壘機，即在一個特定的網路環境下，運用各種技術手段監控和記錄運維人員對網路內的伺服器、網路裝置、安全裝置、資料庫等裝置的操作行為，以便

集中報警、及時處理及審計定責，

保障網路和資料不受來自外部和內部使用者的入侵和破壞。

堡壘機是在跳板機基礎上，能夠實現運維更加安全地操作目標叢集伺服器，提供安全保證。其主要功能如下：

①資產集中管理（統一管理）。

②審計、記錄、影片回放操作記錄。

③限制如 rm，dd 等危險命令的執行。

④限制登陸目標伺服器的身份許可權。

集中報警、及時處理

對於運維管理人員來說這些含有重要資料資訊（使用者登入資訊、系統錯誤資訊、磁碟資訊、資料庫資訊等）的日誌非常重要，可以透過這些日誌資訊對整體系統進行分析並查詢問題根源解決問題。

也就是說，透過日誌，IT 管理人員可以瞭解系統的執行狀況、安全狀況。

在一個完整的資訊系統中，日誌是一個很重要的功能組成部分。當系統中出現一些管理員操作或者系統本身的報錯行為時，日誌就相當於系統這一天的工作彙報。系統每天都幹了什麼，有沒有告警資訊，哪些出了問題，問題可不可識別；在系統遭受安全攻擊時，系統的登陸錯誤、異常訪問等都會以日誌的形式記錄下來。

透過分析這些日誌，讀懂這些系統的工作彙報便可以知道系統這一天遭受了哪些攻擊、完成了哪些任務。同時檢視日誌也為安全事件發生以後，查明何人所為及具體動作有了一個很好的取證資訊來源。

審計定責

漏洞掃描技術是一類重要的網路安全技術。它和防火牆、入侵檢測系統互相配合，能夠有效提高網路的安全性。

透過對網路的掃描，網路管理員能瞭解網路的安全設定和執行的應用服務，及時發現安全漏洞，客觀評估網路風險等級。

根據掃描結果，網路管理員可以更正網路安全漏洞和系統中的錯誤設定，在駭客攻擊前進行防範。

如果說防火牆和網路監視系統是被動的防禦手段，那麼

日誌審計

，能有效避免駭客攻擊行為，做到防患於未然。企業定期進行網路漏洞掃描還有如下好處：

漏洞掃描和修復

安全掃描就是一種主動的防範措施

配備漏洞掃描系統，網路管理人員可以定期進行網路安全檢測服務，安全檢測可幫助企業最大可能地消除安全隱患，儘可能早地發現安全漏洞並進

行修補，有效利用已有系統，最佳化資源，提高網路的執行效率。

①定期網路安全自我檢測、評估

由於漏洞和安全隱患的形式多種多樣，安裝新軟體和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之後應該重新掃描系統，才能使安全得到保障。

網路建設者必須建立整體安全規劃，以統領全域性，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得平衡，在多種多樣的安全產品和技術之間做出取捨。配備網路漏洞掃描/網路評估系統方便企業進行安全規劃評估和檢驗網路的安全系統建設方案和建設成效評估。

②安裝新軟體、啟動新服務後的檢查

網路承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網路安全和資訊保安的重視，形成立體防護，把出現事故的機率降到最低。網路漏洞掃描/網路評估系統方便企業進行安全性測試。

③網路建設和網路改造前後的安全規劃評估和成效檢驗

網路安全事故後可以透過網路漏洞掃描/網路評估系統分析確定網路被攻擊的漏洞所在，幫助彌補漏洞，儘可能多地提供資料方便調查攻擊來源。

④網路承擔重要任務前的安全性測試

⑤網路安全事故後的分析調查

重大網路安全事件前，網路漏洞掃描/網路評估系統能夠及時地找出網路中存在的隱患和漏洞，及時彌補漏洞。

安全制度約束

2017 年 6 月 1 日，《中華人民共和國網路安全法》明確提出了“國家實施網路安全等級保護制度”。企業應按照國家要求每年進行等級保護的安全測評，並根據《網路安全等級保護基本要求》進行整改。

⑥重大網路安全事件前的準備

是驗證資訊系統是否滿足相應安全保護等級的評估過程。資訊保安等級保護要求不同安全等級的資訊系統應具有不同的安全保護能力。

一方面透過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現；

另一方面分佈在資訊系統中的安全技術和安全管理上不同的安全控制，透過連線、互動、依賴、協調、協同等相互關聯關係，共同作用於資訊系統的安全功能，使資訊系統的整體安全功能與資訊系統的結構以及安全控制間、層面間和區域間的相互關聯關係密切相關。因此，資訊系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

資訊系統的安全保護等級分為以下五級，一至五級等級逐級增高：

第一級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級資訊系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。

第二級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行指導。

第三級，資訊系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行監督、檢查。

第四級，資訊系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行強制監督、檢查。

第五級，資訊系統受到破壞後，會對國家安全造成特別嚴重損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行專門監督、檢查。

（等級保護辦理流程）

推行等級分類，確保資訊保安和系統最佳化正常運作，如下是目前的安全方面的管理制度和組織規劃。

（安全方面管理制度和組織規劃）

制訂安全管理制度體系的目的是為了給資訊保安管理工作建立科學的體系，力爭透過科學規範的

，結合

資訊系統安全等級測評

，確保安全控制措施落實到位，為各項業務的安全執行提供保障。