服務(wù)器網(wǎng)絡(luò)安全分析與研究

張亮++黃子君

本文介紹了什么是服務(wù)器網(wǎng)絡(luò)安全，分析了現(xiàn)存的主服務(wù)器安全防護(hù)技術(shù)，最后在現(xiàn)有安全技術(shù)的基礎(chǔ)上，提出了服務(wù)器防護(hù)系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)。

【關(guān)鍵詞】服務(wù)器 網(wǎng)絡(luò)安全

1 服務(wù)器網(wǎng)絡(luò)安全概述

服務(wù)器網(wǎng)絡(luò)安全由服務(wù)器安全與網(wǎng)絡(luò)安全同時構(gòu)成，其是指服務(wù)器網(wǎng)絡(luò)資源安全，即服務(wù)器網(wǎng)絡(luò)信息系統(tǒng)資源和用戶信息資源不被自然與非自然因素的威脅。服務(wù)器網(wǎng)絡(luò)安全是指通過應(yīng)用服務(wù)器系統(tǒng)管理措施和各種技術(shù)來使得網(wǎng)絡(luò)系統(tǒng)可以正常運(yùn)行，進(jìn)而確保服務(wù)器網(wǎng)絡(luò)資料可以正常傳輸、使用和保密。

2 服務(wù)器安全防護(hù)技術(shù)

2.1 系統(tǒng)訪問IP過濾

基于服務(wù)器訪問的IP過濾，實(shí)質(zhì)上就是要對軟件防火墻進(jìn)行構(gòu)建，對于那些經(jīng)過服務(wù)器的IP 數(shù)據(jù)包進(jìn)行過濾，對那些沒有經(jīng)過授權(quán)網(wǎng)站的訪問以及某些比較特別的指定協(xié)議進(jìn)行有效的控制。由于該技術(shù)需要對IP進(jìn)行設(shè)置，因此其保護(hù)性高，但設(shè)置較為繁瑣，對于過濾IP地址發(fā)送數(shù)據(jù)包一律禁止，對于服務(wù)器來說一般不適用。

2.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)根據(jù)不同的分類標(biāo)準(zhǔn)，可以分為不同的類型。根據(jù)其提取的入侵?jǐn)?shù)據(jù)的地點(diǎn)，將其分為兩大類，即基于網(wǎng)絡(luò)的入侵檢測和基于服務(wù)器的入侵檢測。這種方法獲取的信息量大實(shí)時性高，但原始的信息包居多，分析量比較大。應(yīng)用范圍較小，并不會對威脅進(jìn)行阻攔。主要針對利用操作系統(tǒng)和應(yīng)用程序的漏洞及運(yùn)行特征進(jìn)行的攻擊行為。

2.3 防火墻技術(shù)

防火墻可以配置成許多不同的級別，用戶可以根據(jù)自己的需要來控制。防火墻能強(qiáng)化服務(wù)器網(wǎng)絡(luò)安全，可以最大范圍地記錄互聯(lián)網(wǎng)上的活動，防火墻還能防止暴露用戶網(wǎng)絡(luò)點(diǎn)，它還可以用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與其他網(wǎng)段的連接。但由于防火墻只是被動的進(jìn)行對可疑數(shù)據(jù)進(jìn)行阻攔，并沒有主動去記錄以及分析，因此其對于應(yīng)用層的防御較為薄弱，對于新興威脅無法阻攔。

2.4 加密技術(shù)

在需要使用加密技術(shù)的服務(wù)器網(wǎng)絡(luò)的進(jìn)出口處設(shè)置用于檢查信息資源加密情況的網(wǎng)關(guān)，對內(nèi)部網(wǎng)內(nèi)出網(wǎng)的信息資源，規(guī)定其必須加蓋保密印章標(biāo)識，并對信息資源進(jìn)行加密和檢查；對無密級的文件，允許出關(guān)。驅(qū)動層加密由于其是對數(shù)據(jù)進(jìn)行加密，因此其部署在數(shù)據(jù)庫的最前方，但可能會對系統(tǒng)性能以及其他驅(qū)動產(chǎn)生影響，而在應(yīng)用層進(jìn)行加密則更容易被黑客尋找到漏洞。

2.5 服務(wù)器安全防護(hù)待解決問題

由于服務(wù)器網(wǎng)絡(luò)安全需對服務(wù)器安全以及網(wǎng)絡(luò)安全同時進(jìn)行考慮，而由于這些防御技術(shù)其都是獨(dú)立的，兼容性并不是很好。服務(wù)器安全與網(wǎng)絡(luò)安全的防御技術(shù)很難進(jìn)行有效結(jié)合，易被黑客分而破之。例如，當(dāng)網(wǎng)絡(luò)用戶需要遠(yuǎn)程訪問以及登入服務(wù)器系統(tǒng)時，最安全的服務(wù)器防護(hù)措施就是不允許其控制，這樣可以避免大部分的黑客入侵。而這對系統(tǒng)管理員來說則不便捷。而如果允許登入，那么就很難確定訪問者是不是用合法的方式登入，而一旦非法用戶通過一些手段登入系統(tǒng)其就可以獲得與管理員相當(dāng)?shù)臋?quán)限，這樣對于服務(wù)器來說威脅相當(dāng)大。

現(xiàn)有的保護(hù)措施采用的技術(shù)基本是在服務(wù)器之外的，例如硬件防火墻，安全路由器以及其他一些保護(hù)手段難以獲得實(shí)時的網(wǎng)絡(luò)訪問特性，且對外部環(huán)境依賴性大。而內(nèi)置防火墻主要是對網(wǎng)絡(luò)安全進(jìn)行考慮，并沒有過多去考慮服務(wù)器方面的安全，對于冒充管理員的的攻擊方式無法進(jìn)行很好防御。

3 服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)

隨著現(xiàn)代社會對于網(wǎng)絡(luò)的需求度不斷增加，單一的安全防護(hù)措施已經(jīng)不足以應(yīng)付現(xiàn)有的安全問題，因此如何建立一個全面的安全系統(tǒng)體系已經(jīng)成為如今網(wǎng)絡(luò)安全的主要研究方向。

3.1 服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu)構(gòu)想

服務(wù)器網(wǎng)絡(luò)安全中對用戶進(jìn)行的訪問進(jìn)行嚴(yán)格分類是最基本工作特點(diǎn)，其可以對訪問資源類型分為外部資源訪問與內(nèi)部資源訪問控制。在服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu)模型中，外網(wǎng)安全檢測其的作用與防火墻類似，是指通過按照用戶設(shè)定的安全級別對來往數(shù)據(jù)包進(jìn)行過濾。

內(nèi)部系統(tǒng)資源中對于非用戶級資源為了盡可能使其方便，可以在其通過外網(wǎng)安全檢測后直接對資源進(jìn)行訪問。而對于用戶級資源則需要其通過外網(wǎng)登入驗(yàn)證系統(tǒng)來進(jìn)行進(jìn)一步安全驗(yàn)證，這里可以使用通過對移動端發(fā)送驗(yàn)證請求使移動端產(chǎn)生一個隨機(jī)驗(yàn)證碼，通過在外網(wǎng)登入驗(yàn)證中輸入驗(yàn)證碼與移動端進(jìn)行對比從而確定其是否為非法用戶，對于通過驗(yàn)證的將訪問請求發(fā)回登入端并調(diào)用其需要訪問的用戶級資源或權(quán)限。對于沒有通過或非法繞過登入的服務(wù)器可以在無法抵御的情況下進(jìn)行自動關(guān)機(jī)防止網(wǎng)絡(luò)用戶利用系統(tǒng)漏洞從而獲取ROOT權(quán)限以及服務(wù)器資料。

網(wǎng)絡(luò)用戶對于外部資源的訪問，通過外部資源訪問控制器，通過對控制器進(jìn)行設(shè)置，防止網(wǎng)絡(luò)用戶以本地服務(wù)器名義對其他服務(wù)器進(jìn)行訪問。

3.2 相關(guān)技術(shù)難點(diǎn)分析

服務(wù)器網(wǎng)絡(luò)安全技術(shù)是對現(xiàn)有單一技術(shù)進(jìn)行整合并推出一個盡可能全面的防護(hù)系統(tǒng)。其可以說是把防火墻技術(shù)以及入侵檢測系統(tǒng)等一系列技術(shù)結(jié)合在一起，通過防護(hù)與檢測的有效結(jié)合，來實(shí)現(xiàn)網(wǎng)絡(luò)用戶對于資源訪問的有效控制。現(xiàn)如今，入侵檢測系統(tǒng)以及防火墻技術(shù)都相當(dāng)成熟，但如何就入侵檢測系統(tǒng)以及防火墻技術(shù)在與操作系統(tǒng)有效結(jié)合起來進(jìn)行工作卻是如今網(wǎng)絡(luò)安全技術(shù)的難題所在。比如，如何把外網(wǎng)登入系統(tǒng)與移動端口有效結(jié)合使用，如何終止網(wǎng)絡(luò)用戶對服務(wù)器的連接并同時拉入IP過濾名單中，如何實(shí)時監(jiān)控網(wǎng)絡(luò)用戶是否在對訪問服務(wù)器進(jìn)行攻擊。而要克服這些難題，必定會涉及到服務(wù)器中的主網(wǎng)絡(luò)系統(tǒng)以及其他一些系統(tǒng)設(shè)置問題。這些問題對于現(xiàn)階段處于外掛式的服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)來說還是及其困難的難題。

解決問題的辦法有：

（1）把服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)內(nèi)嵌至主系統(tǒng)中，這是最根本的解決方式。但它對主系統(tǒng)提供者的依賴度極高。

（2）對現(xiàn)有英特網(wǎng)協(xié)議棧進(jìn)行修訂與對服務(wù)器中軟件進(jìn)行設(shè)置，其相對應(yīng)的嵌入防火墻技術(shù)與對資源進(jìn)行細(xì)致化分類。其特點(diǎn)是可操作性強(qiáng)，實(shí)用性較高。但同時，其的工作量極為巨大。

參考文獻(xiàn)

[1]李應(yīng)勇，馬玉春，李壯.網(wǎng)絡(luò)環(huán)境下的主機(jī)信息安全研究[J].瓊州學(xué)院學(xué)報，2011.

[2]胡衛(wèi)紅.淺談網(wǎng)站主機(jī)的網(wǎng)絡(luò)安全[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2013.

作者簡介

張亮（1982-），碩士學(xué)位。現(xiàn)為南昌大學(xué)人民武裝學(xué)院講師。

作者單位

1.南昌大學(xué)人民武裝學(xué)院 江西省南昌市 330043

2.南昌師范學(xué)院 江西省南昌市 330029endprint