一個完整和全面的云服務(wù)器安全方案應(yīng)該是什么樣子

安全的改變

創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站與策劃設(shè)計(jì),扎魯特旗網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:扎魯特旗等地區(qū)。扎魯特旗做網(wǎng)站價格咨詢:18980820575

隨著云計(jì)算技術(shù)的普及，越來越多的企業(yè)將其系統(tǒng)向云端遷移，云計(jì)算便捷、可靠和廉價的特性被廣大用戶接受。

從另一方面來說，盡管距離商業(yè)化公有云業(yè)務(wù)的推出已經(jīng)超過10年，根據(jù)CSA（CloudSecurityAlliance，云安全聯(lián)盟）在今年年初發(fā)布的《CloudAdoption,PracticesandPrioritiesSurveyReport》調(diào)研報告，73%的受訪對象表示安全仍舊是企業(yè)上云的首要顧慮。

對于很多企業(yè)用戶來來說，由于云服務(wù)器替代傳統(tǒng)服務(wù)器承載了與企業(yè)生存發(fā)展息息相關(guān)的互聯(lián)網(wǎng)業(yè)務(wù)，使得用戶對云安全的疑問很大程度上聚焦在云服務(wù)器的安全上。

云服務(wù)器安全嗎？這個問題不僅僅限定在看不到摸不著的虛擬化層面，讓用戶感觸更為深刻的是——突然發(fā)現(xiàn)，之前很多常見和常用的安全防護(hù)系統(tǒng)，特別是“硬件盒子”，都從采購名單上消失了。云計(jì)算環(huán)境對于安全防護(hù)的改變可見一斑。

這樣一來，云服務(wù)器的安全該如何實(shí)現(xiàn)呢？

不變的安全

正像云計(jì)算對于互聯(lián)網(wǎng)業(yè)務(wù)革命性的改變一樣，對安全的改變也是徹底的，不僅體現(xiàn)在安全防護(hù)理念上，還對安全交付方式的改變。

不過，安全的本質(zhì)并沒有因?yàn)樵朴?jì)算技術(shù)的引入發(fā)生改變。事實(shí)上，部署在傳統(tǒng)環(huán)境下的服務(wù)器和云環(huán)境下的服務(wù)器，從安全風(fēng)險角度上講沒有太多不同。

從上圖可見，云服務(wù)器的安全風(fēng)險主要包括：

（1）自身存在的脆弱性，例如漏洞（包括虛擬化層面）、錯誤的配置、不該開放的端口等；

（2）外部威脅，例如后門、木馬、暴力破解攻擊等。

不管是部署在傳統(tǒng)數(shù)據(jù)中心還是云數(shù)據(jù)中心中，服務(wù)器安全都要面對和解決上述兩個方面的風(fēng)險。

對于云服務(wù)器來說，首先需要解決的是自身脆弱性的問題，特別是漏洞。存在漏洞的系統(tǒng)就像一間打開窗戶的房間，不管安裝了多么先進(jìn)的門禁系統(tǒng)，也無法阻擋小偷的光臨。此外，對服務(wù)器關(guān)鍵配置和端口的檢查和監(jiān)控，一方面可以減少攻擊面，另一個方面可以隨時掌握系統(tǒng)安全狀態(tài)。從外部威脅角度上講，暴力破解仍舊是云服務(wù)器最大的網(wǎng)絡(luò)威脅。暴力破解防護(hù)需要覆蓋系統(tǒng)、應(yīng)用和數(shù)據(jù)庫三個層面，任何一個層面的缺失都會增大系統(tǒng)遭受入侵的概率。最后，能否快速發(fā)現(xiàn)和清除云服務(wù)器上的病毒、木馬和后門是對防護(hù)能力的重大考驗(yàn)。

雙重挑戰(zhàn)

然而，現(xiàn)實(shí)是骨感的。云服務(wù)器安全面臨來自內(nèi)部和外部的雙重挑戰(zhàn)。

首先，云服務(wù)器的脆弱性突出體現(xiàn)在未被修復(fù)的漏洞上。根據(jù)國外某安全機(jī)構(gòu)的統(tǒng)計(jì)，在金融行業(yè)，漏洞平均修復(fù)時間長達(dá)176天。采用云計(jì)算后這個數(shù)字稍微有所改善，然而，云服務(wù)器漏洞的平均修復(fù)時間仍舊是50天。無論是176天還是50天，對于進(jìn)攻一方來說，足夠遍歷整個服務(wù)器。

其次，根據(jù)國外某安全公司的測試，“黑客”成功入侵AWS服務(wù)器只需要4個小時。表面看是系統(tǒng)脆弱性導(dǎo)致，背后實(shí)際上是黑客的暴力破解行為。在云計(jì)算環(huán)境中，大部分云服務(wù)提供商并不提供暴力破解防護(hù)服務(wù)，而是建議用戶在服務(wù)器上安裝三方防護(hù)軟件。事實(shí)上，市面流行的云服務(wù)器安全軟件一般只提供操作系統(tǒng)層面的暴力破解防護(hù)，并沒有覆蓋到應(yīng)用和數(shù)據(jù)庫層面。應(yīng)用和數(shù)據(jù)庫層面的缺失無疑是在云服務(wù)器防護(hù)上玩起了“鋸箭”法——操作系統(tǒng)我管，上面的找別人。

第三，絕大多數(shù)云服務(wù)器安全系統(tǒng)／方案體現(xiàn)為單點(diǎn)防護(hù)。單點(diǎn)防護(hù)具有兩個特點(diǎn)：橫向上針對服務(wù)器個體的防護(hù)以及縱向上在服務(wù)器一個層面進(jìn)行防護(hù)。橫向上的單點(diǎn)防護(hù)體現(xiàn)為每個云服務(wù)器都是彼此孤立的個體。在木馬、后門變異樣本層出不窮的今天，如果惡意樣本采集不是實(shí)時的，分析和策略分享、下發(fā)不能快速完成，將無異于將主動權(quán)拱手讓給入侵者?？v向上的單點(diǎn)體現(xiàn)在，同時也是常見云服務(wù)器安全軟件的“通病”，無論是網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)防護(hù)都依靠安裝在云服務(wù)器上的軟件來完成。先不說防護(hù)效果，啟用防護(hù)功能需要調(diào)用大量的系統(tǒng)資源，等同于發(fā)起一場自殘式的拒絕服務(wù)攻擊。

最后，安全攻防的背后是人的技能、智慧以及經(jīng)驗(yàn)的對抗。在特定情況下，要求人員介入，快速完成樣本收集、取證、分析和攻擊阻斷。然而，對于大多數(shù)企業(yè)來說，建立一支具有專業(yè)技能的安全攻防團(tuán)隊(duì)是不現(xiàn)實(shí)的。

因此，云服務(wù)器的安全防護(hù)是對平臺化、體系化以及包括快速響應(yīng)、技術(shù)經(jīng)驗(yàn)在內(nèi)運(yùn)營能力的全面挑戰(zhàn)，而不是簡簡單單安裝一個主機(jī)防護(hù)軟件就可以實(shí)現(xiàn)的。

云服務(wù)器防護(hù)應(yīng)該是什么樣子？

一個完整和全面的云服務(wù)器防護(hù)方案應(yīng)該包含對內(nèi)部脆弱性（漏洞、配置、端口等）的快速定位、修復(fù)以及對外部威脅的迅速發(fā)現(xiàn)和阻斷。

對于內(nèi)部脆弱性，特別是嚴(yán)重威脅云服務(wù)器安全的漏洞，不僅要求精準(zhǔn)定位，對于絕大部分漏洞來說，自動化的漏洞修復(fù)將有效提升安全防護(hù)的效率和效果。對于關(guān)鍵服務(wù)器或有嚴(yán)格合規(guī)／業(yè)務(wù)規(guī)定的服務(wù)器，云服務(wù)商應(yīng)該提供漏洞修復(fù)的風(fēng)險提示，這個工作不應(yīng)該交給用戶。云盾安騎士軟件提供自動化漏洞修復(fù)功能，以及針對補(bǔ)丁的風(fēng)險評估及修復(fù)建議。

其次，對于云服務(wù)器首要的外部威脅——暴力破解，防護(hù)系統(tǒng)必須涵蓋系統(tǒng)、應(yīng)用和數(shù)據(jù)庫。云盾安騎士軟件支持WINDOWS系統(tǒng)和LINUX系統(tǒng)兩大平臺，同時針對SSH，RDP，Telnet，F(xiàn)tp，MySql，SqlServer等等常見應(yīng)用和數(shù)據(jù)庫提供安全監(jiān)控，隨時發(fā)現(xiàn)黑客的暴力破解行為。

Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個安全的Web服務(wù)器，是很多人關(guān)心的話題。要創(chuàng)建一個安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

我們通過以下幾個方面對您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個與之對應(yīng)的匿名訪問帳號并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問SAM帳號和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時不存儲LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時選擇記失敗，這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。

請問一般服務(wù)器安全怎么維護(hù)？

首先，這些惡意的攻擊行為，旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至攻擊到服務(wù)器所在網(wǎng)絡(luò)癱瘓。還有一方面，就是入侵行為，這種大多與某些利益有關(guān)聯(lián)，有的涉及到企業(yè)的敏感信息，有的是同行相煎。

第一，做好硬件維護(hù)

當(dāng)處理數(shù)據(jù)越來越多，占用資源也隨之增多時，服務(wù)器就需要更多的內(nèi)存和硬盤容量來儲存這些資源，因此，每隔段時間后服務(wù)器需要升級，可是需要注意的增加內(nèi)存或者硬盤時，要考慮到兼容性、穩(wěn)定性，否則不同型號的內(nèi)存有可能會引起系統(tǒng)出錯。

還有對設(shè)備進(jìn)行卸載和更換時，需要仔細(xì)閱讀說明書，不要強(qiáng)行拆卸，而且必須在完全斷電，服務(wù)器接地良好的情況下進(jìn)行，防止靜電對設(shè)備造成損壞。

同樣，服務(wù)器的最大殺手塵土，因此需要定期給服務(wù)器除塵。特別要注意電源的除塵。

第二，做好數(shù)據(jù)的備份

對企業(yè)來說，服務(wù)器上的數(shù)據(jù)是非常寶貴，如果數(shù)據(jù)庫丟失了，損失是非常巨大的，因此，企業(yè)需對數(shù)據(jù)進(jìn)行定期備份，以防萬一。一般企業(yè)都需要每天對服務(wù)器上的數(shù)據(jù)進(jìn)行備份，而且要將備份數(shù)據(jù)放置在不同服務(wù)器上，

數(shù)據(jù)需要備份，同樣需要防盜?？梢酝ㄟ^密碼保護(hù)好磁帶并且如果你的備份程序支持加密功能，你還可以加密這些數(shù)據(jù)。同時，要定好備份時間，通常備份的過程會選擇在晚上10點(diǎn)以后進(jìn)行，到半夜結(jié)束。

第三，定期做好網(wǎng)絡(luò)檢查

第四，關(guān)閉不必要的服務(wù)，只開該開的端口

對于初學(xué)者，建議在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統(tǒng)。如果你并不想這樣做，那么至少使用Windows NT。你可以鎖定工作站，使得一些沒有安全訪問權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

或者關(guān)閉那些不必要開的服務(wù)，做好本地管理和組管理。Windows系統(tǒng)有很多默認(rèn)的服務(wù)其實(shí)沒必要開的，甚至可以說是危險的，比如：默認(rèn)的共享遠(yuǎn)程注冊表訪問(Remote Registry Service)，系統(tǒng)很多敏感的信息都是寫在注冊表里的，如pcanywhere的加密密碼等。

關(guān)閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統(tǒng)的敏感信息，如windows 2000 server默認(rèn)開啟的IIS服務(wù)就告訴對方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是linux或者unix系統(tǒng)，因?yàn)?9是這些操作系統(tǒng)下默認(rèn)的tftp服務(wù)使用的端口。對端口的進(jìn)一步訪問，還可以返回該服務(wù)器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。此外，開啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門戶。

以上是服務(wù)器日常操作安全維護(hù)的一些技巧。

如何有效保障服務(wù)器及網(wǎng)絡(luò)安全？

服務(wù)器安全一般都是采用軟件輔助+手工服務(wù)的安全設(shè)置，有錢人都是買好幾W的硬件來做服務(wù)器安全。但是對于我一個小小的站長，哪能承受的了。一年的服務(wù)器托管才5000多，建議你找專業(yè)做服務(wù)器安全的公司或者團(tuán)隊(duì)，來給你做服務(wù)器安全維護(hù)。

安全這問題，很重要，我上次就是為了省錢，在網(wǎng)上搜索了一些服務(wù)器安全設(shè)置的文章，對著文章，我一個一個的設(shè)置起來，費(fèi)了好幾天的時間才設(shè)置完，沒想到，服務(wù)器竟然癱瘓了，網(wǎng)站都打不開了，也最終明白了，免費(fèi)的東西，也是最貴的，損失真的很大，數(shù)據(jù)庫都給我回檔了，我哪個后悔啊。娘個咪的。最后還是讓機(jī)房把系統(tǒng)重裝了，然后找的sine安全公司給做的網(wǎng)站服務(wù)器安全維護(hù)。跟他們還簽了合同，真的是一份價格一份服務(wù)，專業(yè)的服務(wù) 安全非常穩(wěn)定。也只有網(wǎng)站安全了，才能帶來安全穩(wěn)定的客戶源。道理也是經(jīng)歷了才明白。說了這么多經(jīng)歷，希望能幫到更多和我一樣的網(wǎng)站站長。

下面是關(guān)于安全方面的解決辦法！

建站一段時間后總能聽得到什么什么網(wǎng)站被掛馬，什么網(wǎng)站被黑。好像入侵掛馬似乎是件很簡單的事情。其實(shí)，入侵不簡單，簡單的是你的網(wǎng)站的必要安全措施并未做好。

有條件建議找專業(yè)做網(wǎng)站安全的sine安全來做安全維護(hù)。

一：掛馬預(yù)防措施：

1、建議用戶通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝asp的上傳程序。

2、定期對網(wǎng)站進(jìn)行安全的檢測，具體可以利用網(wǎng)上一些工具，如sinesafe網(wǎng)站掛馬檢測工具！

3、asp程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換。

4、到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。

5、要盡量保持程序是最新版本。

6、不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護(hù)后刪除后臺管理程序的登陸頁面，下次維護(hù)時再通過ftp上傳即可。

8、要時常備份數(shù)據(jù)庫等重要文件。

9、日常要多維護(hù)，并注意空間中是否有來歷不明的asp文件。記?。阂环趾顾瑩Q一分安全!

10、一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇。

二：掛馬恢復(fù)措施：

1.修改帳號密碼

不管是商業(yè)或不是，初始密碼多半都是admin。因此你接到網(wǎng)站程序第一件事情就是“修改帳號密碼”。

帳號密碼就不要在使用以前你習(xí)慣的，換點(diǎn)特別的。盡量將字母數(shù)字及符號一起。此外密碼最好超過15位。尚若你使用SQL的話應(yīng)該使用特別點(diǎn)的帳號密碼，不要在使用什么什么admin之類，否則很容易被入侵。

2.創(chuàng)建一個robots.txt

Robots能夠有效的防范利用搜索引擎竊取信息的駭客。

3.修改后臺文件

第一步：修改后臺里的驗(yàn)證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對數(shù)據(jù)庫加密后在修改conn.asp。

第三步：修改ACESS數(shù)據(jù)庫名稱，越復(fù)雜越好，可以的話將數(shù)據(jù)所在目錄的換一下。

4.限制登陸后臺IP

此方法是最有效的，每位虛擬主機(jī)用戶應(yīng)該都有個功能。你的IP不固定的話就麻煩點(diǎn)每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的后臺一些重要文件及檢查網(wǎng)頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網(wǎng)站程序

注意一下網(wǎng)站程序是否本身存在漏洞，好壞你我心里該有把秤。

7.謹(jǐn)慎上傳漏洞

據(jù)悉，上傳漏洞往往是最簡單也是最嚴(yán)重的，能夠讓黑客或駭客們輕松控制你的網(wǎng)站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業(yè)做網(wǎng)站安全的sinesafe公司。

8. cookie 保護(hù)

登陸時盡量不要去訪問其他站點(diǎn)，以防止 cookie 泄密。切記退出時要點(diǎn)退出在關(guān)閉所有瀏覽器。

9.目錄權(quán)限

請管理員設(shè)置好一些重要的目錄權(quán)限，防止非正常的訪問。如不要給上傳目錄執(zhí)行腳本權(quán)限及不要給非上傳目錄給于寫入權(quán)。

10.自我測試

如今在網(wǎng)上黑客工具一籮筐，不防找一些來測試下你的網(wǎng)站是否OK。

11.例行維護(hù)

a.定期備份數(shù)據(jù)。最好每日備份一次，下載了備份文件后應(yīng)該及時刪除主機(jī)上的備份文件。

b.定期更改數(shù)據(jù)庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最后修改時間以及文件數(shù)，檢查是文件是否有異常，以及查看是否有異常的賬號。

網(wǎng)站被掛馬一般都是網(wǎng)站程序存在漏洞或者服務(wù)器安全性能不達(dá)標(biāo)被不法黑客入侵攻擊而掛馬的。

網(wǎng)站被掛馬是普遍存在現(xiàn)象然而也是每一個網(wǎng)站運(yùn)營者的心腹之患。

您是否因?yàn)榫W(wǎng)站和服務(wù)器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因?yàn)椴惶私饩W(wǎng)站技術(shù)的問題而耽誤了網(wǎng)站的運(yùn)營，您是否也因?yàn)榫倪\(yùn)營的網(wǎng)站反反復(fù)復(fù)被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業(yè)做網(wǎng)站安全的sine安全來做安全維護(hù)。