你的服务器真的安全吗？-服务器专区

你的服务器真的安全吗？

作者：陶然编辑：厂商动态 2015-08-28 10:38 IT168网站原创

　　【IT168厂商动态】安全——毫无疑问是一个永恒的话题，尤其是随着互联网应用的普及，在越来越互联的今天，一台与互联网完全隔绝的服务器基本上也是“无用”的。

　你的服务器真的安全吗？

　　如果说互联网是一个公共的空间，服务器则就是相应用户的自留地，它是用户自身应用与数据面向互联网的最终门户，也将是企业应用最关键的安全命脉——很多安全话题看似与网络相关，但这些来自于网上的入侵最终的目标则都是获得服务器的主管权。

　　也正是出于这样的认识，越来越多的企业开始更加关注服务器外围乃至数据中心网络的安全防护，比如更严格的服务器访问管理、更先进的防火墙、更智能的入侵检测、更全面的行为分析等等。但正所谓“日防夜防，家贼难防”，又有多少人会考虑到来自服务器内部的“天生安全缺陷”呢?

服务器由内至外的先天安全缺陷

　　很多时候，看似铜墙铁壁的防护，都禁不住来自内部的轻轻一击。就好比，在足球场上，就算你的防守再稳固，也架不住“自摆乌龙”。 ICT设备也是如此。

　　我们经常听到的，产生重大破坏后果的安全事件，大多是与木马相关的，而所谓的木马就是通过用户有意无意间的操作，而明目张胆的将贼请进家，并在家里开了一个貌似已经获得用户授权的后门，对此，很多安防系统也就无能为力了。比如前不久流行的一个木马骗局，手机上收到一条短信：“你的老婆(老公)在外面有人了，以下就是相关视频的URL，点击观看”，如果点击了短信中的URL，也就为木马敞开了大门，接下来就是你手机上的绝密安全信息，会源源不断的发送给木马的持有者。

　　服务器也是如此，如果已经被植入木马，那么外围再安全的防护也于事无补。当然，不断加强的外围防护也正是意在将木马拦在数据中心之外，包括在服务器本地部署的安全软件，近几年清除操作环境(包括虚拟环境)中安全隐患的能力也在不断加强。可是，如果这个后门是服务器硬件本身先天就具备的，外围的守护者，不管是防火墙还是防护软件，也只能干瞪眼了。

服务器先天安全缺陷从何而来?

　　服务器内部的重要隐患在于每台服务器必备的基板管理控制器(BMC，Baseboard Management Controller)，这是一个特殊的处理器，用来监测服务器中相关组件的物理状态，比如I/O接口、I/O总线、CPU温度、电源状态、风扇转速等，配合智能平台管理接口(IPMI，Intelligent Platform Management Interface)，以便于管理员更好的进行服务器的运维，包括服务器本地和远程控制、配置管理、硬件诊断和故障排除等。显然，如果BMC出现漏洞也将近同于BIOS的失陷。

　　而在现实中，就出现了类似的BMC隐患，有些厂商的服务器存在BMC不经过鉴权访问的风险，而有些厂商的服务器的BMC则存在的安全漏洞，入侵者可模仿合法用户，查看用户记录及执行事务。

　　如何避免服务器的先天安全缺陷?

　　明白了服务器内部安全隐患的要点，不难体会到在挑选服务器时，也应该在相关方面予以重视。

　　简单来说，服务器内部的先天安全缺陷主要就来源于BIOS与BMC，在这两个方面入手，尽量能做到知根知底，则可以最大限度杜绝最基础的安全隐患。不过这显然需要服务器厂商自己有更高的自我要求，与技术实现能力，以杜绝外界通用部件以及国外组件可能存在的安全隐患。但是就目前中国内部市场来说，坦白的讲并不乐观，一方面是这方面的安全意识普遍不强，另一方面相应的技术研发也没有及时跟上。

　　说到此，不能不提一下华为，这家一直主张自主创新、技术研发的ICT厂商，在服务器领域也坚守着这一原则，这也使其在服务器基础安全层面体现出了与众不同。

　　首先，华为创新研发了服务器CPU以外的所有主要芯片，其中就包括BMC芯片及配套软件，消除了BMC安全隐患。此外，华为还研发了RAID控制器、SSD主控、I/O控制芯片(单芯片、针对FC、iSCSI、FCoE存储接口，支持TCP /iSCSI /FCoE /RDMA协议加速)以及QPI节点控制器(用于英特尔至强E7平台8路以上服务器的架构扩展，最高可实现32插槽设计)。

　　其次，在服务器的底层软件平台上，华为也在BIOS和管理软件开发方面布以重兵，把去除软件黑箱化作为目标：

　　系统管理软件 eSight 和BMC 管理软件已经实现了代码100%华为研发;

　　BIOS 软件实现了100%的源代码可见，华为购买全部源代码，并进行二次代码开发，不存在二进制库文件、封装文件、嵌套文件等不可见源码的“黑箱”。

　　由上文可知，通过恶意代码驻留BIOS，是服务器安全风险的核心关键点。由于华为的BIOS源代码100%可见，支持三方机构开源安全扫描，安全风险也就大为降低了。

　　当我们越来越重视企业ICT系统与整体架构的安全性时，除了必要的更坚固的外围保护，服务器内部的安全因素，也必须引起更高的重视，否则有可能极大的损害企业在安全保护上的投资效益。被披露的ANT产品目录无疑给了我们很大的警示——在服务器关键性组件上实现开放透明，显然是必要的，而在这方面，华为服务器确实为我们提供了有益的参考。

特别提醒：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。