基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)設(shè)計(jì)

李英杰

（湖南環(huán)境生物職業(yè)技術(shù)學(xué)院，湖南 衡陽(yáng) 421005）

0 引言

服務(wù)器是計(jì)算機(jī)系統(tǒng)的核心，一旦服務(wù)器出現(xiàn)故障，系統(tǒng)便會(huì)癱瘓。對(duì)企事業(yè)單位來(lái)說(shuō)，文件多、信息存儲(chǔ)量大，日常運(yùn)轉(zhuǎn)對(duì)系統(tǒng)依賴性較強(qiáng)，所以做好服務(wù)器安全防護(hù)工作是很有必要的。對(duì)服務(wù)器安全問題來(lái)說(shuō)，部分學(xué)者通過(guò)構(gòu)建安全防護(hù)系統(tǒng)來(lái)提升服務(wù)器的安全系數(shù)，無(wú)論是第一次創(chuàng)建的安防系統(tǒng)，還是升級(jí)改造的安防系統(tǒng)，都存在防護(hù)能力弱、穩(wěn)定前欠佳的問題，不能有效阻斷服務(wù)器數(shù)據(jù)的竊取與入侵行為，無(wú)法滿足用戶的現(xiàn)實(shí)需要。Software-as-a-Service（軟件即服務(wù)，SaaS）是隨著大數(shù)據(jù)技術(shù)發(fā)展而興起的一種軟件應(yīng)用模式，具有容錯(cuò)性高、可通過(guò)集群對(duì)服務(wù)器數(shù)據(jù)進(jìn)行高速運(yùn)算等優(yōu)勢(shì)，企事業(yè)單位能夠通過(guò) SaaS 模式享受全面的多機(jī)備份保護(hù)[1]。鑒于此，以SaaS為基礎(chǔ)，設(shè)計(jì)一種基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)，經(jīng)過(guò)測(cè)試可知，該系統(tǒng)的現(xiàn)實(shí)應(yīng)用效果比傳統(tǒng)的系統(tǒng)更佳，具有良好的應(yīng)用價(jià)值與應(yīng)用前景。

1 整體架構(gòu)

基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)整體架構(gòu)設(shè)計(jì)如圖1所示。

圖1 系統(tǒng)整體架構(gòu)

1.1 防火墻

系統(tǒng)整體分為客戶端、虛擬區(qū)、應(yīng)用區(qū)以及數(shù)據(jù)庫(kù)4個(gè)應(yīng)用區(qū)域。1層防火墻負(fù)責(zé)隔離客戶端與服務(wù)器，服務(wù)器可在外部打開HTTP服務(wù)，但要盡可能減少暴露；2層防火墻將核心的應(yīng)用區(qū)與靜態(tài)資源分離，使其可用于外部接口[2]；3層防火墻負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行隔離，該層防火墻能夠?qū)?shù)據(jù)從其他模塊中分離，并在不同功能模塊被入侵或破壞時(shí)進(jìn)行數(shù)據(jù)搶救性保護(hù)。

1.2 認(rèn)證服務(wù)器

該服務(wù)器的實(shí)質(zhì)是進(jìn)行服務(wù)器代理與HTTP攔截，其會(huì)攔截全部HTTP請(qǐng)求，從中獲取認(rèn)證信息并通過(guò)用戶信息服務(wù)器進(jìn)行數(shù)據(jù)匹配，識(shí)別其中的合法信息。如果合法，本條請(qǐng)求會(huì)被發(fā)送到后端服務(wù)器；如果非法，請(qǐng)求會(huì)被立刻終止，且狀態(tài)碼信息會(huì)被轉(zhuǎn)發(fā)至客戶端。

1.3 用戶信息服務(wù)器

用戶信息服務(wù)器負(fù)責(zé)提供外部用戶信息的訪問認(rèn)證工作，以便高效進(jìn)行信息讀取。采用Lightweight Directory Access Protocol（輕型目錄訪問協(xié)議，LDAP），因其屬于輕型目錄訪問協(xié)議，結(jié)構(gòu)能夠提供快速讀取服務(wù)，所以適用于驗(yàn)證用戶身份。

1.4 安全策略服務(wù)器

安全策略是指用戶、資源及權(quán)限三者間的關(guān)系，通過(guò)定義安全策略來(lái)界定用戶的資源權(quán)限[3]。服務(wù)器配置了系統(tǒng)全部安全策略，從用戶信息服務(wù)器中提取用戶信息，從應(yīng)用區(qū)提取資源信息，同時(shí)結(jié)合安全策略為服務(wù)器提供安防服務(wù)。

1.5 安全授權(quán)服務(wù)器

該服務(wù)器通過(guò)上述服務(wù)器提供的用戶、資源以及安全策略信息來(lái)判斷用戶請(qǐng)求是否擁有權(quán)限，并在對(duì)其認(rèn)證后進(jìn)行相關(guān)授權(quán)。

2 硬件設(shè)計(jì)

為提高服務(wù)器的安防能力與系統(tǒng)硬件性能，以SaaS為基礎(chǔ)，對(duì)系統(tǒng)硬件設(shè)備進(jìn)行設(shè)計(jì)，彌補(bǔ)傳統(tǒng)系統(tǒng)缺陷，整合傳統(tǒng)系統(tǒng)優(yōu)勢(shì)，根據(jù)硬件性能的不同劃分操作模塊，由此提升系統(tǒng)的整體穩(wěn)定性，從而獲得更好的安防效果。

2.1 控制器

設(shè)計(jì)控制器，調(diào)整服務(wù)器狀態(tài)，提升系統(tǒng)對(duì)程序、設(shè)備的控制，使系統(tǒng)更穩(wěn)定。控制器選擇PERC H345，采用模塊化設(shè)計(jì)理念，分解主控功能，將內(nèi)存、寄存器以及CNA等功能模塊進(jìn)行抽象化，在各模塊的協(xié)作中實(shí)現(xiàn)控制，由此減少防護(hù)時(shí)間與模塊感染，提高系統(tǒng)穩(wěn)定性。

2.2 處理器

根據(jù)數(shù)據(jù)特點(diǎn)，對(duì)服務(wù)器數(shù)據(jù)進(jìn)行安全處理，處理器結(jié)構(gòu)如圖2所示。處理器采用PCM1725U，通過(guò)HDFS架構(gòu)與模塊化設(shè)計(jì)將各處理核心共享浮力單元，由寄存器、累加器、邏輯單元共同組成，提升系統(tǒng)數(shù)據(jù)處理效率，將各類數(shù)據(jù)分類保存，根據(jù)用戶與服務(wù)器間的協(xié)議，在數(shù)據(jù)上進(jìn)行密鑰協(xié)商，并標(biāo)示數(shù)據(jù)來(lái)源、時(shí)間及用戶等基本信息，使數(shù)據(jù)都具有特殊性。如果缺失數(shù)據(jù)，那么簽名也必然會(huì)不完整，采用簽名匹配來(lái)藍(lán)短數(shù)據(jù)是否可驗(yàn)證[4]。密鑰協(xié)商后，根據(jù)法則打開數(shù)據(jù)，即使信息被竊取也會(huì)因缺少法則無(wú)法完全讀取數(shù)據(jù)，保障服務(wù)器安全。

圖2 處理器結(jié)構(gòu)

3 軟件設(shè)計(jì)

基于上述硬件設(shè)備，結(jié)合各類技術(shù)，將軟硬件程序、設(shè)備進(jìn)行結(jié)合，設(shè)計(jì)軟件程序防護(hù)流程，如圖3所示。

根據(jù)圖3的防護(hù)流程，集中保護(hù)服務(wù)器數(shù)據(jù)，調(diào)節(jié)系統(tǒng)參數(shù)，使其具有攔截非法訪問、查殺病毒等安防功能，并設(shè)置判斷公式，如公式（1）所示。

圖3 系統(tǒng)軟件程序防護(hù)流程

式中：A為訪問判斷參數(shù)，如果A為1說(shuō)明訪問安全，如果不為1說(shuō)明為本次訪問非法；v為訪問頻率；c為訪問常數(shù)；i為訪問指數(shù)。經(jīng)處理判斷訪問是否安全，攔截異常行為，并根據(jù)流程進(jìn)行病毒查殺工作，調(diào)整參數(shù)后設(shè)置病毒識(shí)別公式，如公式（2）所示。

式中：P為病毒識(shí)別參數(shù)；S為標(biāo)準(zhǔn)病毒識(shí)別信息；R為識(shí)別速率；T為病毒轉(zhuǎn)化常數(shù)。根據(jù)P值判斷系統(tǒng)是否被病毒入侵。如果存在病毒應(yīng)及時(shí)查找并清除，保障服務(wù)器數(shù)據(jù)安全。由于服務(wù)器與客戶端存在一定的數(shù)據(jù)交換，因此要保證數(shù)據(jù)傳輸過(guò)程的完整與保密，此時(shí)可進(jìn)行密鑰與簽名的匹配。結(jié)合上述流程，將密鑰和簽名的匹配度融入算法，如公式（3）所示。

式中：K為密鑰與簽字匹配參數(shù)；F為首次匹配；Q為二次匹配；E為密鑰匹配常數(shù)；M為簽字匹配常數(shù)；D為匹配數(shù)據(jù)調(diào)整數(shù)；N為調(diào)整次數(shù)。按照算法對(duì)數(shù)據(jù)的簽字和密鑰匹配度進(jìn)行判斷，分析數(shù)據(jù)在傳輸時(shí)是否被竊取，如果出現(xiàn)異常行為應(yīng)及時(shí)維護(hù)，盡可能地保障數(shù)據(jù)的安全與完整。

4 系統(tǒng)測(cè)試

為驗(yàn)證設(shè)計(jì)的基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)的實(shí)際安防效果，進(jìn)行比較測(cè)試，選用傳統(tǒng)服務(wù)器安防系統(tǒng)，創(chuàng)建匹配的實(shí)驗(yàn)環(huán)境，在相同條件下對(duì)比兩種系統(tǒng)的安防效果。鑒于服務(wù)器數(shù)據(jù)的數(shù)量龐大與服務(wù)器安全防護(hù)系統(tǒng)的復(fù)雜，應(yīng)對(duì)測(cè)試環(huán)境進(jìn)行狀態(tài)設(shè)置，根據(jù)上述系統(tǒng)軟硬件的運(yùn)行流程調(diào)整系統(tǒng)控制能力與數(shù)據(jù)處理性能，根據(jù)系統(tǒng)安全防護(hù)算法調(diào)節(jié)系統(tǒng)狀態(tài)，優(yōu)化服務(wù)器數(shù)據(jù)傳輸與信號(hào)識(shí)別功能，從而獲得良好的安防效果，并進(jìn)行如下測(cè)試。

首先，以SaaS為技術(shù)基礎(chǔ)，將應(yīng)提高安全性能的服務(wù)器數(shù)據(jù)通過(guò)系統(tǒng)傳輸通道傳輸，確保數(shù)據(jù)在系統(tǒng)可控的范圍內(nèi)，同時(shí)調(diào)整好系統(tǒng)參數(shù)，對(duì)軟硬件功能進(jìn)行整合，使元件與參數(shù)更貼合。此外，還要測(cè)試系統(tǒng)存儲(chǔ)功能是否穩(wěn)定，根據(jù)服務(wù)器數(shù)據(jù)特點(diǎn)采用分類存儲(chǔ)，這樣能夠保證已處理或未處理的數(shù)據(jù)完整性[5]；其次，通過(guò)控制器增強(qiáng)系統(tǒng)穩(wěn)定性，從整體上提升管控水平，將需要處理的服務(wù)器數(shù)據(jù)傳輸?shù)教幚砥鳎幚砥鲗?duì)這些數(shù)據(jù)進(jìn)行分類化處理，排除其中的同類數(shù)據(jù)與不安全數(shù)據(jù)，并做好加密處理與保存工作，從而提高數(shù)據(jù)的安全性；最后，將處理后的數(shù)據(jù)傳輸至中心反應(yīng)堆，通過(guò)監(jiān)測(cè)裝置實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，模擬竊取與攻擊行為，在觀察數(shù)據(jù)情況后判斷系統(tǒng)是否充分發(fā)揮安防功能[6]。如果判斷為“綠”，表示系統(tǒng)有效防治非法入侵，數(shù)據(jù)得到保護(hù)；如果判斷為“紅”，則表示系統(tǒng)本次沒有成功防護(hù)非法入侵，系統(tǒng)安防功能未得到發(fā)揮。

在系統(tǒng)測(cè)試中，根據(jù)不同參數(shù)進(jìn)行比較測(cè)試，從而提升整體對(duì)比效果，保證試驗(yàn)結(jié)果真實(shí)可靠，具體測(cè)試參數(shù)見表1。

表1 測(cè)試參數(shù)

根據(jù)上述參數(shù)，該系統(tǒng)與傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)的穩(wěn)定性及安防效果對(duì)比如圖4、圖5所示。

由圖4可知，傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)穩(wěn)定性較不穩(wěn)定，存在一定誤差，而該研究設(shè)計(jì)的基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)的穩(wěn)定性較好，優(yōu)于傳統(tǒng)系統(tǒng)。導(dǎo)致這種差異的原因是該系統(tǒng)在設(shè)計(jì)時(shí)遵循模塊化理念，將系統(tǒng)分解為多個(gè)能夠彼此協(xié)作的功能模塊，模塊均由控制器統(tǒng)一控制，彼此既聯(lián)系又不干擾，運(yùn)行效率高，從而使系統(tǒng)的穩(wěn)定性良好。與其不同的是，傳統(tǒng)系統(tǒng)多采用普通硬件，雖然存儲(chǔ)量較高，但是技術(shù)較為落后，數(shù)據(jù)處理速率較慢，系統(tǒng)不穩(wěn)定，易使內(nèi)部發(fā)生故障，影響其發(fā)揮應(yīng)有功能，導(dǎo)致在安防過(guò)程中易出現(xiàn)漏判、誤判的問題。

圖4 不同安防系統(tǒng)穩(wěn)定性比較

由圖5可知，該系統(tǒng)的安防效果優(yōu)于傳統(tǒng)系統(tǒng)，存在以下差異：該系統(tǒng)以SaaS為基礎(chǔ)，由控制器控制系統(tǒng)狀態(tài)，同時(shí)采用處理器與安防系統(tǒng)，進(jìn)一步處理服務(wù)器處理，反應(yīng)速度快，可及時(shí)發(fā)現(xiàn)并處理非法訪問與竊取問題，能夠迅速發(fā)現(xiàn)危險(xiǎn)元素并清除，從整體上提升系統(tǒng)安防效果。傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)受技術(shù)所限，無(wú)法攔截高技術(shù)竊取，安防效果不理想，仍存在部分發(fā)展空間。

圖5 不同安防系統(tǒng)防護(hù)次數(shù)比較

由此可知，基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)具有較高的穩(wěn)定性與安防效果，可更好地處理并維護(hù)服務(wù)器數(shù)據(jù)，運(yùn)行時(shí)速快、反應(yīng)迅速，應(yīng)用效果較好，能夠滿足用戶的服務(wù)器數(shù)據(jù)安全需要。

5 結(jié)語(yǔ)

綜上所述，該文根據(jù)傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)設(shè)計(jì)經(jīng)驗(yàn)，基于SaaS設(shè)計(jì)了一種全新的服務(wù)器安全防護(hù)系統(tǒng)，通過(guò)整合軟硬件技術(shù)優(yōu)勢(shì)，加強(qiáng)系統(tǒng)控制與數(shù)據(jù)處理，在減少系統(tǒng)之間干擾的過(guò)程中，還可大幅提高系統(tǒng)的安防效果與穩(wěn)定性。經(jīng)系統(tǒng)比較測(cè)試后發(fā)現(xiàn)，該系統(tǒng)具有比傳統(tǒng)系統(tǒng)更好的現(xiàn)實(shí)應(yīng)用效果，能夠有效排除潛在風(fēng)險(xiǎn)、攔截非法訪問，可在一定程度上滿足用戶對(duì)服務(wù)器安全的現(xiàn)實(shí)需求，具有良好的應(yīng)用效果與應(yīng)用前景。