服务器安全管控探讨及风险分析.pdfVIP

服务器安全管控的探讨——安全小课堂第十三期

安全小课堂第十三期作为网络的产品，服务器技术相对复杂，尤其是在肆虐的网络时代，安全问题显得更

加突出。本期我们来聊一聊服务器的安全管控。

本期邀请到了万达安全专家唯品会安全专家向坤，还有京东团队的，来和大家探讨交流

哟~

12豌豆妹请问服务器安全管控哪些风险呢？葫芦娃Windows服务器已经不是主流，我们今天可以着重聊聊

Linux方面。

哆啦A梦先来抛个板砖吧。从安全性考虑，那必然是防止服务器被，从广义的安全三要素来说，保证服

务器的可用性，其实也算是服务器安全管控的一个，不过现在这块其实跟运维也有点关系，所以，目前大部分

的门，是不太会介入这个方面的管控。

小新简单列举下吧，以下都可能造成服务器被口令、通过web上传webshell等途径被拿到主机权限：

1、主机运行的网络服务没有安全评估、加固；2、开源软件、框架存在的通用；3、开发人员没有足够的安全

编码意识等。简单来说，就是技术安全+管理安全风险。

豌豆妹那服务器安全管控应该注意什么呢？小丸子我觉得，首先是建立一个服务器的行为安全基线，这个是判断服

务器有没有异常行为的重要，我现在的思路就是找出异常的模型，当然这个异常的行为，就是需要有一个尺度，

也就是用基线去衡量。没有这个基线的话，很多东西，都没法去判断，例如每天服务器的登录情况，文件的变化情

况，网络的流量情况等，都需要一个基线。

哆啦A梦举双手同意。服务器的行为安全基线是Linux服务器安全的基础。没有这个，后面的管控技术和管理

都是没有办法落地的。当然，这个应该也是比较难做的事情，需要一个积累的过程，其实挺枯燥。

2豌豆妹大家能谈谈HIDS和NIDS的区别么？葫芦娃HIDS就是主机IDS，主要负责主机的情况，比如主机的

文件变化，端口开放情况，本机的网络连接情况，与本机相关的本地操作等，顾名思义，主要侧重点就是主机。

NIDS，网络IDS，侧重点是网络。主要负责的就是对网络中的流量进行分析。NIDS因为具有网络分析能力2层以上

的包都能解开，因此可以发现很多网络的，最简单的可以基于网络中的流量包里的关键字进行检测。HIDS是横

向扩展的，NIDS有性能瓶颈。

小新有很多互联网公司，在自研HIDS，需求也是定制化的，HIDS检测的安全风险主要包括发现行为、检

测Trojans/rootkit/backdoor、服务器安全检测等等。在理想情况下，HIDS可以发现一切主机被的行为，

当然，这只是在理想的情况下。

3豌豆妹HIDS能发现哪些安全风险呢？葫芦娃就拿OSSEC来说，可以通过文件变化情况，发现webshell，可以通

过端口变化，发现反射后门，当然还可以通过使用OSSEC的针对syslog或者自定义的log发现其他的行为，例如暴

力，IP异常登陆等等。

豌豆妹HIDS在互联网企业的应用多吗?小丸子在大的互联网公司是刚需，而且在支付牌照申请、合规检测等场景中

也是有明确要求的，目前，主流的云厂商也都了HIDS防护产品，很多公司的HIDS功能，可能是和其他一些运

维系统整合在一起的。

葫芦娃我个人觉得，用的人不多。HIDS需要非常有经验的人去部署策略，所以使用的企业应该不多，而且若因为设

置的不好，反而会产生大量的误报。

4豌豆妹那服务器安全的配置工具都有哪些呢？有好用的推荐么？

哆啦A梦级的可以用安全狗、青藤，Windows和Linux都支持，可以一定程度提高门槛，但不能100%防

御。自动化的产品主要是一些商业产品，比如，趋势、McAfee等几个大的安全厂商都有。

互联网企业的加固估计都是自己写的吧。

5豌豆妹企业级Web服务器安全该怎么做呢？小丸子现在我们在尝试或者已经在做的事情，比如的统一管

理（PIM），主机HIDS对主机的行为、配置、进行检测和，服务器上线前的基线检查和加固，定期的服务

器基线检查和安全扫描，HIDS日志需要发送到SOC进行和审计等等。

哆啦A梦服务器安全