（文章來源：迷你數(shù)智）

中國在2016年推出了《網絡安全法》，同時，在2019年12月發(fā)布了《等級保護》2.0。這里頭都對網絡安全要求提高到了更高的高度。按國家要求，我們安全至少需要從兩方面來防護：在計算機安全技術上，我們可以從4個方面來著手分析服務器存在的風險，以及防范措施。物理環(huán)境就是指我們服務器存放的位置，我們需要分析它是否存在如下風險：

如果是自有服務器，你必須要有相對隔離的專用空間，并配上門禁和視頻監(jiān)控控制出入。因為如果服務器人人都可以觸碰到它，那它沒有任何安全可言。因為只要物理上可以接觸到，那就有可能會被惡意的人盜走服務器，然后在慢慢破解服務器，獲取服務器的信息。如果服務器是托管，你必須要求托管方有上面提到的門禁、視頻監(jiān)控等。不過，一般都會有。如果是云服務器，也就是虛擬機，那你要求云服務商的物理服務器必須在國內，同樣有上面提到的基本物理安全。②、通訊網絡安全。

通訊網絡就是服務器需要對外提供服務使用的網絡系統(tǒng)。這一塊是我們比較熟悉的。我們需要做如下措施來保障安全：

出口必須有防火墻，（有條件用雙機）通過防火墻的的規(guī)則，可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。服務器和桌面終端不能在同一個區(qū)域，至少需要劃分VLAN隔離。對外服務的訪問盡量采用加密訪問，比如：web服務就盡量采用HTTPS來提供；有分支結構訪問的，采用加密IPsec VPN或者SSL VPN來訪問。服務器本身需要有 TPM 芯片（現(xiàn)在一般都有），該芯片是可信計算模塊，可以幫助我們的服務器對內部的計算信息進行加密。確保不會在計算過程中因為信息被竊取而出現(xiàn)安全問題。③、區(qū)域邊界安全。

這里說的區(qū)域是指我們內部網絡進行區(qū)域劃分，比如：桌面處于一個區(qū)域（安全級別較低），服務器處于一個區(qū)域（安全級別較高）；

不同的區(qū)域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統(tǒng)，讓低安全等級的區(qū)域不能隨意進入高安全等級區(qū)域。出口的邊界區(qū)域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統(tǒng)IPS、來防范攻擊。因為防火墻只是收窄了攻擊面。相當于只是一個小區(qū)保安幫忙過濾了一下進出人員。但無法防范偽冒正常流量的攻擊。所以需要配備IPS，來對入侵進行防御。服務器必須配備防病毒系統(tǒng)。如果服務器眾多，可以配備防病毒網關。服務器就1-2臺，那就在服務器上安全企業(yè)殺毒軟件，防止病毒入侵。④、計算安全

計算安全就是服務器本身的計算安全。這里需要防止服務器本身的軟硬件不安全和內部人員的惡意行為。

系統(tǒng)要加固，也就是操作系統(tǒng)要及時打補丁，尤其是安全補丁。如果服務器眾多，可以考慮上服務器加固系統(tǒng)。身份安全：也就是服務器的密碼必須復雜口令、并且定時更換。有條件的可以采用動態(tài)密碼和靜態(tài)密碼結合的雙因子認證。定期要進行漏洞掃描，防止服務器在使用過程中出現(xiàn)漏洞。一旦掃描發(fā)現(xiàn)漏洞，需要立即進行修復。服務器日志要集中收集，運維人員定時分析日志。發(fā)現(xiàn)異常入侵行為日志，應該立即預警，并作出防御行動。最后，為了防止內部人員惡意入侵，我們還需要一套堡壘機，通過堡壘機來控制所有的運維人員對服務器的操作。確保其權限始終，并且操作行為可被追蹤。管理手段

管理手段是指我們服務器在持續(xù)運營的階段，我們要保障它的安全性可以持續(xù)。我們需要通過建立以下管理手段：

建立安全管理制度，制定安全策略、發(fā)布完整的安全管理制度；建立安全管理機構：落實安全崗位、人員職責，并有監(jiān)督機制；人員安全管理：對安全人員要定期進行安全培訓，對人員入職、離職做好安全管理。對于來訪人員應該做好安全管控，比如：必須明確可以進入的區(qū)域，不能進入的區(qū)域；采購安全設備，要關注安全設備廠商的資質、設備的認證情況；建立安全運維制度：無論自己運維還是第三方運維，都必須有一套安全運維管理制度來管理整個安全運維結束語

從系統(tǒng)化思維出發(fā)，可以全面防范服務器入侵。由于整個安全防范是非常大的一個范圍。每個范圍都是很大的技術知識體系。這里只是簡要描述。
? ? ?