服务器运维环境安全体系（下篇）

五年前的 6 月 1 日，我国首部网络安全领域的基础性法律文件《中华人民共和国网络安全法》正式施行。关注【融云全球互联网通信云】了解更多

这五年，是网络安全越来越受到重视的五年。国家出台一系列政策，为维护国家网络安全，筑牢国家网络安全屏障奠定基石。

在企业层面，任何企业的安全生产都离不开安全相关的技术保障。因此，每一个企业都需要构建一套自上而下完善的安全解决方案。

上周，我们通过​ ​服务器运维环境安全体系（上篇）​​分析了网络安全现状，解析了企业安全技术架构及相关技术栈。

今天，我们分享（下篇）——落地实践方案和防护策略。

---

落地实践方案和防护策略

DDoS（Distributed Denial of Service，分布式拒绝服务）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起 DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。

通常，攻击者使用一个非法账号将 DDoS 主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

（安全架构示意图）

可以从几个方面着手缓解 DDoS 攻击的威胁：

①隔离资源和不相关的业务，降低被攻击的风险。

②优化业务架构，利用公共云的特性设计弹性伸缩和灾备切换的系统。

③服务器安全加固，提升服务器自身的连接数等性能。

④做好业务监控和应急响应。

⑤选择合适的商业安全方案。

WAF（Web Application Firewall，Web 应用防护系统，也叫网站应用级入侵防御系统）通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护。有如下特性：

①提供 Web 应用攻击防护。

②缓解恶意 CC 攻击，过滤恶意的 Bot 流量，保障服务器性能正常。

③提供业务风控方案，解决业务接口被恶意滥刷等业务安全风险。

④提供网站一键 HTTPS 和 HTTP 回源，降低源站负载压力。

⑤支持对 HTTP 和 HTTPS 流量进行精准的访问控制。

常见 Web 应用攻击防护

防御 OWASP 常见威胁：支持防御 SQL 注入、XSS 跨站、Webshell 上传、后门隔离保护、命令注入、非法 HTTP 协议请求、常见 Web 服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等常见威胁。

网站隐身：不对攻击者暴露站点地址、避免其绕过 Web 应用防火墙直接攻击。

友好的观察模式：针对网站新上线的业务开启观察模式，对于匹配中防护规则的疑似攻击只告警不阻断，方便统计业务误报状况。

（WAF 攻击防护原理）

堡垒机，即在一个特定的网络环境下，运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责，保障网络和数据不受来自外部和内部用户的入侵和破坏。

堡垒机是在跳板机基础上，能够实现运维更加安全地操作目标集群服务器，提供安全保证。其主要功能如下：

①资产集中管理（统一管理）。

②审计、记录、视频回放操作记录。

③限制如 rm，dd 等危险命令的执行。

④限制登陆目标服务器的身份权限。

对于运维管理人员来说这些含有重要数据信息（用户登录信息、系统错误信息、磁盘信息、数据库信息等）的日志非常重要，可以通过这些日志信息对整体系统进行分析并查找问题根源解决问题。

也就是说，通过日志，IT 管理人员可以了解系统的运行状况、安全状况。

在一个完整的信息系统中，日志是一个很重要的功能组成部分。当系统中出现一些管理员操作或者系统本身的报错行为时，日志就相当于系统这一天的工作汇报。系统每天都干了什么，有没有告警信息，哪些出了问题，问题可不可识别；在系统遭受安全攻击时，系统的登陆错误、异常访问等都会以日志的形式记录下来。

通过分析这些日志，读懂这些系统的工作汇报便可以知道系统这一天遭受了哪些攻击、完成了哪些任务。同时查看日志也为安全事件发生以后，查明何人所为及具体动作有了一个很好的取证信息来源。

漏洞扫描和修复

漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。

通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。

根据扫描结果，网络管理员可以更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。

如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。企业定期进行网络漏洞扫描还有如下好处：

①定期网络安全自我检测、评估

配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助企业最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效利用已有系统，优化资源，提高网络的运行效率。

②安装新软件、启动新服务后的检查

由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。

③网络建设和网络改造前后的安全规划评估和成效检验

网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统方便企业进行安全规划评估和检验网络的安全系统建设方案和建设成效评估。

④网络承担重要任务前的安全性测试

网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，把出现事故的概率降到最低。网络漏洞扫描/网络评估系统方便企业进行安全性测试。

⑤网络安全事故后的分析调查

网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多地提供资料方便调查攻击来源。

⑥重大网络安全事件前的准备

重大网络安全事件前，网络漏洞扫描/网络评估系统能够及时地找出网络中存在的隐患和漏洞，及时弥补漏洞。

---

安全制度约束

2017 年 6 月 1 日，《中华人民共和国网络安全法》明确提出了“国家实施网络安全等级保护制度”。企业应按照国家要求每年进行等级保护的安全测评，并根据《网络安全等级保护基本要求》进行整改。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；

另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

（等级保护办理流程）

推行等级分类，确保信息安全和系统优化正常运作，如下是目前的安全方面的管理制度和组织规划。

（安全方面管理制度和组织规划）

制订安全管理制度体系的目的是为了给信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。