服务器端安全架构的设计 服务器架构方案

如何构建安全的网络架构的方案

“人在江湖漂，哪能不挨刀”--这应该算得上是引用率非常高的一句经典俏皮话。如今，企业在网络中如何避免这句谶语落到自家头上也成了企业互相慰问或扪心自问时常常想起的一件事。而在构建安全的企业网络这样一个并不简单的问题上，看看别人的应用实践和组网思路，应该可以让企业尽早懂得如何利用自己的长处来保护自己。 网络江湖防身术 - 实践中，网络平台从总体上可以分为用户接入区和应用服务区。应用服务区从结构上又可以分成三部分:发布区即外部区域，面向公众供直接访问的开放网络;数据区，通过防火墙隔离的、相对安全和封闭的数据资源区，把大量重要的信息资源服务器放置在该区域内，在较严密的安全策略控制下，不直接和外网访问用户发生连接;内部工作区主要连接内网服务器和工作站，完成网站管理、信息采集编辑等方面的工作。 布阵 采用两台防火墙将整个网络的接入区和应用服务区彻底分开。接入区通过接入交换机，利用光纤、微波、电话线等通信介质，实现各部门、地市的网络接入。出于性能和安全上的考虑，数据区放在第二道防火墙之后。对于Web服务器的服务请求，由Web服务器提交应用服务器、数据库服务器后，进行相关操作。 为避免网站内容遭到入侵后被篡改，在数据区还设置一个Web页面恢复系统，通过内部通讯机制，Web恢复系统会实时检测WWW服务器的页面内容，如果发现未授权的更改，恢复系统会自动将一份拷贝发送到Web服务器上，实现Web页面的自动恢复。发布区域的主机充分暴露，有WWW、FTP、DNS、E-mail。在与二个防火墙的两个接口上使用入侵检测系统实时检测网络的使用情况，防止对系统的滥用和入侵行为。 中心交换机可选用高性能路由交换器，例如Catalyst 6000，它具有提供虚网划分及内部路由连接功能，避免了网络广播风暴，减轻了网络负荷，同时也提供了一定的安全性。冗余电源及冗余连接为网络正常运行打下了较好的基础，把第二层交换机的转发性能和路由器的可伸缩性及控制能力融于一身。第二级交换机可选用类似Catalyst 3500级别的设备，它支持VLAN功能，交换能力强大，提供高密度端口集成，配置光纤模块，提供与Catalyst 6000的高带宽上行连接，保证了部门接入网络、工作站的高带宽应用。 网络平台总体结构图 招数 首先，把第一台防火墙设置在路由器与核心交换机之间，实现较粗的访问控制，以降低安全风险。设置第二台防火墙则主要为了保护数据区内的服务器，合理地配置安全策略，使服务器的安全风险降到最低。只开放服务器必要的服务端口，对于不必要的服务端口一律禁止。 其次，IP地址分配。所有部门的接入网络都在防火墙之后，一律使用内部保留IP地址。每个部门各分配一个完整的C类地址。 再次，中心交换机VLAN配置。具体划分采用基于端口的虚拟LAN方式，将每一个部门作为一个 VLAN， VLAN间的路由协议采用 RIP。 此外，通用信息服务设计。外网的建设，突出了统一规划、资源共享的原则。除了在安全问题上由网络平台统一考虑外，对于各部门需要通用的信息服务系统如域名系统、邮件系统、代理系统等，也统一设计、统一实施。 最后，邮件服务器统一规划，采用集中的邮件服务，给用户提供了完整的TCP/IP支持下的邮件系统。 秘笈 网站建设主要体现以下技术特点: 其一，网站应用系统从传统的两层客户机/服务器结构，转向BWAD(浏览器+Web 应用服务器+数据库)的三层体系架构。这种跨平台、多技术融合的三层结构的技术方案，保证网站应用系统的先进性和可扩展性。 其二，采用非结构化和结构化数据库技术，灵活支持、方便扩展宽带应用和多媒体应用，使用户界面不只是文字和图片，而是以文字、声音、图像、视频等发布的全媒体界面,提高用户的关注率、提升服务水平。 其三，采用自主开发的网站动态管理平台技术，可以任意组合和改变网页界面风格，定义不同模板，将网站管理的人力成本降低，并降低由于网站管理复杂而产生的技术风险和人员更迭风险。降低和减少了页面开发的工作量，使大量的人力可以投入到具体的政务应用系统中去。 其四，网站管理系统为网站的建设、管理、维护、统计分析提供了一个统一的环境。提供各类业务系统上网发布接口，以及信息发布模板和工具，使普通用户不需要编程就可建立信息发布栏目，并可自行对栏目信息进行编辑与维护。网站管理系统具有灵活的功能，方便的内容创作环境，灵活的发布方式，强大的信息查询能力，能进行实用而有效的模板设计、支持丰富的内容类型，按照栏目结构进行信息组织。它采用了ASP、JSP和数据库的技术，基于B/S结构，还可以对用户的IP地址进行限定信息检索功能。 战绩 从运行的效果上看，所设定的方案合理、可靠，有效地保护了内部网络，因为所有的访问都是一个间接过程，直接攻击比较困难。代理技术的使用，随着内部网络规模的扩大，重复访问的可能性就越大，使传输效果的改善也就越明显，同时也提高了信道的利用率，降低了网络使用成本。

创新互联专注于润州网站建设服务及定制，我们拥有丰富的企业做网站经验。 热诚为您提供润州营销型网站建设，润州网站制作、润州网页设计、润州网站官网定制、成都小程序开发服务，打造润州网络公司原创品牌,更为您提供润州网站排名全网营销落地服务。

基于Web的MES系统安全架构设计及分析(2)

基于Web的MES系统安全架构设计及分析

3.2.2基于角色的访问控制

在对MES系统业务功能、业务流程及其干系人分析整理的基础上，能够抽象出系统的各种用户角色，每种角色通过一组系统功能完成一定的业务处理，需要将这一组系统功能赋予该角色，使其具有完成这一业务的能力，也就形成了允许访问控制表，包括菜单的允许访问列表和功能的允许操作列表。

为了构成系统的完全访问边界，需要明确禁止某类操作。因此设计了禁止访问控制表，包括：菜单的禁止访问列表和功能的禁止操作列表。

3.2.3用户及权限管理

构建了角色的访问控制，将角色赋予用户，用户即具备了相应的访问权限。在企业的MES应用中，每个企业用户都具有一个系统访问账号，这个账号是用户身份的唯一标识。为保证系统账号的合法性，所有用户的账号只能由系统的账号管理员进行分配和管理。同时，每个用户在企业承担着某个岗位的职责，对应于MES系统来说，这个用户就具备着一个或者多个系统角色，通过角色权限的控制形成用户的权限控制。本着最小权限的原则，应当合理分配和控制角色权限，并通过禁止访问控制表限制用户的`访问范围，构成系统的安全访问边界。

3.3 安全运行管理

多数MES系统都采用单一管理员(甚至是超级用户)对系统进行管理。虽然简单易行，但却存在巨大安全隐患。一旦管理员账号信息泄露，其他安全措施将形同虚设。因此必须进行系统权限的分割，使其相互制约，避免权限过分集中。本架构的划分策略：首先是用户管理员，只负责企业用户账号的分配、锁定和吊销，用户岗位角色的分配，以及用户密码的复位操作;其次是安全管理员，负责菜单与功能矩阵的维护，以及角色访问控制列表的制定。

用户管理员和安全管理员相互制约，只有协调一致才能够完成用户的权限分配。同时又可以分级管理，按照分厂、车间等组织架构，或者依据业务范围，划分出不同层级、不同范围的用户管理员和安全管理员，他们只能在自己的权限范围内行使权力。由此形成了可集中管理也可分化管理的技术模型，企业可以依据自身规模和管理模式灵活组织设计。

3.4 系统安全审计

本架构设计了完备的行为捕获和记录系统，对系统关键执行动作留有记录，对用户的操作和行踪留有日志，同时记录了非法用户的入侵尝试，且满足不可抵赖性，形成可靠证据。尤其是用户和安全管理员的所有操作，是系统监控的重点。企业安全审计人员可以随时调取这些记录，进行审计，一旦发现有违反安全策略的行为，即可对行为后果进行调查，采取相应处理措施。

3.5 会话安全策略

HTTP是一个无状态的协议，此协议无法维护两个事务之间的联系，而MES系统的大量应用需要与用户进行交互操作，并且记录这些交互，这就需要保持会话状态。会话状态通常需要在客户端cookie中记录用户信息，或者是在服务器端session中记录，但也需要在用户请求与服务器应用程序间传递一个会话ID，这些信息都会成为攻击的对象，一旦被窃取，会话就可能被冒用，成为会话劫持，造成超越权限的访问和数据操作。为防范此类攻击，一方面对用户信息、会话ID等薄弱环节采取加密措施，增加截获难度。另一方面制定安全策略监视会话状态，进行会话锁定和异常保护及报警。

会话锁定：提供交互式会话的锁定和解锁能力及终止会话能力。在会话进入非活动周期后对终端进行锁定或结束会话。在用户的静止期超过规定的值时，通过以下方式锁定该用户的交互式会话：(1)在显示设备上清除或涂抹，使当前的内容不可读;(2)取消会话解锁之外的所有用户数据的存取/显示的任何活动;(3)在会话解锁之前再次进行身份鉴别。

异常保护及报警：在会话期间通过用户请求进行监视分析用户操作行为，对异常行为采取操作保护动作，并产生记录和报警，如频繁、重复的数据操作，或者同一用户在不同地点创建多个会话的请求等等。

3.6 Web安全防护策略

基于Web的MES系统遭受的典型网络攻击事件包括SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等，只有建立涵盖事前、事中、事后的综合防控体系，事前及时识别隐患和漏洞并采取修补措施，事中实时监测，积极防御，早发现，早处置，才能将风险和损失降到最小。

本架构针对Web设计了安全防护策略，实现自动化的Web漏洞检测，以及对网页被挂马、网页被篡改、网页出现敏感信息、系统被拒绝服务等攻击事件的一体化监测预警。从而帮助企业构建自动化的系统安全监测系统，第一时间掌握MES应用的安全状况，降低系统安全风险，增强安全防护等级。

4 MES系统运行安全的防护措施

MES系统的运行安全不能仅仅依靠MES自身的安全设计，需要根据企业对MES的技术经济要求，综合考虑信息安全技术和安全管理与防护措施。

在物理安全层面，建立MES系统安全运行相适应的安全环境，包括机房安全防护、设备安全可用、存储介质安全等。

数据库系统的安全至关重要，需要对数据依据其敏感性进行分类进行不同强度的加密，防止敏感信息泄露。同时数据库要制定有备份和容灾措施，数据库管理人员定时对系统进行备份，防止系统数据损坏和丢失。一旦在系统崩溃或瘫痪的情况下，可利用备份数据迅速将系统恢复起来。

在运行安全方面，通过安全风险分析与评估，制定系统安全运行策略，建立安全检测与监控机制，加强安全审计和系统边界安全防护，采用防火墙、安全认证、入侵检测等措施来阻止攻击，综合运用数据加密和VPN等技术，对包括计算机病毒在内的恶意代码进行必要的安全防护，确保网络传输的安全要求。运用入侵检测技术，主动保护MES系统免受攻击，为MES系统提供了实时保护，是防火墙之后的第二道安全闸门。

依据国家计算机应急响应中心发布的数据，信息系统安全问题中的95%是可以通过科学的信息安全管理措施来避免。因此，加强信息安全意识，制定有效的安全运维策略是保障信息安全的重要基础，已经成为企业管理的一个重要组成部分。

;

如何设计安全的架构

安全技术体系架构过程的目标 是 建立可持续改进的安全技术体系架构的能力。

OSI参考模型：物理、数据链路、网络、传输、会话、表示、应用。

根据网络中风险威胁的存在实体划分出5个层次的实体对象：应用、存储、主机、网络、物理。

信息系统安全规划是一个非常细致和非常重要的工作，需要对企业信息化发展的历史情况进行深入和全面的调研。

信息系统安全体系主要是由技术体系、组织结构体系、管理体系三部分共同构成。

技术体系由物理安全技术和系统安全技术两大类组成。

组织体系由机构、岗位、人事三个模块构成。

管理体系由法律管理、制度管理、培训管理三部分组成。

人员安全包括 安全管理的组织结构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。

如何设计一个安全的DNS架构

在今天的网络环境里，设计DNS (Domain Name System)架构时不再只是简单地考虑满足DNS查询量的要求了。企业需要一个集成的高度安全的DNS架构，安全已成为DNS架构设计中的基本要求。

DNS在今天的企业里不仅仅是一项IT技术，更成为企业核心业务的组成部分。DNS系统将网络域名转换为计算机之间可以沟通的IP地址。如果离开了DNS，物联网之间的沟通将不可能实现，企业基于互联网的业务基本瘫痪。

有几种办法来分类DNS服务器，本文相关的是主DNS服务器和从DNS服务器。主DNS服务器可以被定义为拥有最原始DNS区记录的服务器，而从DNS服务器可以接受从主DNS服务器的DNS区拷贝。有多种原因需要使用从DNS服务器，比如性能或隐藏主服务器等。

你的客户需要使用你的DNS系统访问你的网站。如果没有一个好的DNS架构，你的企业将从互联网上消失。电商公司将无法销售它们的产品和服务。即使是一个经营砖和水泥的普通公司依然需要DNS服务器来推销他们的产品。简而言之，没有了DNS协议就没有了互联网。

当一个企业的产品和服务需求增长时，DNS服务器的负载也会加重。当一个企业的DNS服务器不管是因为合法流量的增长还是遭到DDoS攻击导致的流量增加，当性能达到DNS服务器的极限时，企业首先想到的是增加DNS服务的QPS能力(即每秒查询速度)。

解决这个性能问题的一个办法是为主DNS服务器增加一个更快的从DNS服务器。如果这两台服务器是通过集成方法使用相同的数据库和交互界面，就会工作得更加有效。但如果用两台完全分立的服务器，在备份，回复，报表和管理等基本功能上会导致互操作不一致的问题。为了保护投资，主从DNS服务器有一个统一的交互界面是一个很重要的考虑因素。

解决这个性能问题的另一个办法是在一台均衡负载器后面部署多台DNS服务器。如果所有的服务器都有统一的管理和配置策略，这个方法也会让DNS服务器工作得更好。

当设计一个DNS架构时，不仅仅是根据当前的需求量来设计，更要考虑未来的业务增长。另外重要的一点是，要考虑DNS易受攻击的特性所带来的安全威胁。我们下面将讨论这一点。

现在每天都会发生大量的DNS攻击且增长趋势明显。传统的DNS服务器有多个可以被利用的攻击界面和外部端口，比如80端口和25端口。黑客可以利用这些端口进入到操作系统攻击你的服务器。如果你的DNS服务器不支持分层设计的安全特权，任何用户都有可能获得进入到操作系统级别的账号特权，导致配置更改从而让你的服务器受到攻击。另外传统DNS服务器需要花费大量时间用在人工操作的流程上。

另外一个需要考虑的是保护DNS服务器免受外部攻击。企业的授权DNS服务器是可以从互联网上访问到达的，这就使得这些服务器容易受到外部攻击，比如：DNS洪水和放大，DNS劫持，DNS漏洞等。这些攻击会导致你的DNS服务器停止响应或危害到DNS服务的完整性。同样重要的是，要防止这些已经受到攻击的服务器把自身作为攻击工具去攻击其他的DNS服务器(DNS反射攻击)。DNS反射攻击可以破坏你公司的声誉，影响公司长远财务营收。

尽管你的授权DNS服务器是放在防火墙的后面，但这些针对DNS的攻击是不能被传统防火墙消除的。防火墙在保护应用层免受攻击方面是有先天缺陷的。即使是号称新一代防火墙(NextGen Firewall)也几乎没有覆盖到DNS协议的安全。这些防火墙方案通常是将安全策略扩展覆盖到大量协议上，但却牺牲了覆盖的深度和幅度。

负载均衡器提供了基本的功能来防范DNS Floods。但是黑客有一整套基于DNS的攻击手段攻击你的外部授权服务器，这是负载均衡器无法解决的。举个例子，负载均衡器无法识别恶意的DNS查询，当遇到DDoS攻击时，负载均衡器只能通过使用IP Anycast将负载扩展到多个设备上。仅仅增加负载均衡器已经被证明是低效和高成本的应对DNS攻击的手段。

无论你采用何种防护技术，最重要的是你需要领先攻击者一步。让你的DNS安全防护系统持保持最新的防护状态,跟上威胁的持续进化和攻击形式的不断改变。同样重要的是这些防护策略的更新必须是自动完成，无需手工干预。

通过DNS发生的数据泄露事故也在以令人震惊的速度发生着，现在每天新的恶意软件样本有超过十万种被归类。按照Cisco2014年的安全报告，100%的商业网络里都有恶意软件流向各个网站。

投资在下一代防火墙和入侵检测系统上，看起来可以阻止一些恶意软件和高级持续攻击进入到网络里，但事实并非如此。现在越来越流行将自己的个人设备(BYOD)带入到公司网络中，这让IT环境更加复杂，同时也新的通道让恶意软件进入网络并潜伏下来。

由于恶意软件的增长变得更加复杂和传统防护方法的失灵，导致在一个大型网络中发现恶意软件行为变得几乎不可能。Fast flux, Proxy CC networks, anonymous TOR和其他的一些高级技术可以轻易地绕开防护的边界。在内部的网络里，一旦恶意软件利用DNS和外部的僵尸网络和命令控制服务器进行通讯，可能会导致企业的敏感数据泄露。

希望对你有帮助，祝你好运！