李英杰

（湖南環(huán)境生物職業(yè)技術(shù)學(xué)院，湖南 衡陽 421005）

0 引言

服務(wù)器是計(jì)算機(jī)系統(tǒng)的核心，一旦服務(wù)器出現(xiàn)故障，系統(tǒng)便會癱瘓。對企事業(yè)單位來說，文件多、信息存儲量大，日常運(yùn)轉(zhuǎn)對系統(tǒng)依賴性較強(qiáng)，所以做好服務(wù)器安全防護(hù)工作是很有必要的。對服務(wù)器安全問題來說，部分學(xué)者通過構(gòu)建安全防護(hù)系統(tǒng)來提升服務(wù)器的安全系數(shù)，無論是第一次創(chuàng)建的安防系統(tǒng)，還是升級改造的安防系統(tǒng)，都存在防護(hù)能力弱、穩(wěn)定前欠佳的問題，不能有效阻斷服務(wù)器數(shù)據(jù)的竊取與入侵行為，無法滿足用戶的現(xiàn)實(shí)需要。Software-as-a-Service（軟件即服務(wù)，SaaS）是隨著大數(shù)據(jù)技術(shù)發(fā)展而興起的一種軟件應(yīng)用模式，具有容錯(cuò)性高、可通過集群對服務(wù)器數(shù)據(jù)進(jìn)行高速運(yùn)算等優(yōu)勢，企事業(yè)單位能夠通過 SaaS 模式享受全面的多機(jī)備份保護(hù)[1]。鑒于此，以SaaS為基礎(chǔ)，設(shè)計(jì)一種基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)，經(jīng)過測試可知，該系統(tǒng)的現(xiàn)實(shí)應(yīng)用效果比傳統(tǒng)的系統(tǒng)更佳，具有良好的應(yīng)用價(jià)值與應(yīng)用前景。

1 整體架構(gòu)

基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)整體架構(gòu)設(shè)計(jì)如圖1所示。

圖1 系統(tǒng)整體架構(gòu)

1.1 防火墻

系統(tǒng)整體分為客戶端、虛擬區(qū)、應(yīng)用區(qū)以及數(shù)據(jù)庫4個(gè)應(yīng)用區(qū)域。1層防火墻負(fù)責(zé)隔離客戶端與服務(wù)器，服務(wù)器可在外部打開HTTP服務(wù)，但要盡可能減少暴露；2層防火墻將核心的應(yīng)用區(qū)與靜態(tài)資源分離，使其可用于外部接口[2]；3層防火墻負(fù)責(zé)對數(shù)據(jù)進(jìn)行隔離，該層防火墻能夠?qū)?shù)據(jù)從其他模塊中分離，并在不同功能模塊被入侵或破壞時(shí)進(jìn)行數(shù)據(jù)搶救性保護(hù)。

1.2 認(rèn)證服務(wù)器

該服務(wù)器的實(shí)質(zhì)是進(jìn)行服務(wù)器代理與HTTP攔截，其會攔截全部HTTP請求，從中獲取認(rèn)證信息并通過用戶信息服務(wù)器進(jìn)行數(shù)據(jù)匹配，識別其中的合法信息。如果合法，本條請求會被發(fā)送到后端服務(wù)器；如果非法，請求會被立刻終止，且狀態(tài)碼信息會被轉(zhuǎn)發(fā)至客戶端。

1.3 用戶信息服務(wù)器

用戶信息服務(wù)器負(fù)責(zé)提供外部用戶信息的訪問認(rèn)證工作，以便高效進(jìn)行信息讀取。采用Lightweight Directory Access Protocol（輕型目錄訪問協(xié)議，LDAP），因其屬于輕型目錄訪問協(xié)議，結(jié)構(gòu)能夠提供快速讀取服務(wù)，所以適用于驗(yàn)證用戶身份。

1.4 安全策略服務(wù)器

安全策略是指用戶、資源及權(quán)限三者間的關(guān)系，通過定義安全策略來界定用戶的資源權(quán)限[3]。服務(wù)器配置了系統(tǒng)全部安全策略，從用戶信息服務(wù)器中提取用戶信息，從應(yīng)用區(qū)提取資源信息，同時(shí)結(jié)合安全策略為服務(wù)器提供安防服務(wù)。

1.5 安全授權(quán)服務(wù)器

該服務(wù)器通過上述服務(wù)器提供的用戶、資源以及安全策略信息來判斷用戶請求是否擁有權(quán)限，并在對其認(rèn)證后進(jìn)行相關(guān)授權(quán)。

2 硬件設(shè)計(jì)

為提高服務(wù)器的安防能力與系統(tǒng)硬件性能，以SaaS為基礎(chǔ)，對系統(tǒng)硬件設(shè)備進(jìn)行設(shè)計(jì)，彌補(bǔ)傳統(tǒng)系統(tǒng)缺陷，整合傳統(tǒng)系統(tǒng)優(yōu)勢，根據(jù)硬件性能的不同劃分操作模塊，由此提升系統(tǒng)的整體穩(wěn)定性，從而獲得更好的安防效果。

2.1 控制器

設(shè)計(jì)控制器，調(diào)整服務(wù)器狀態(tài)，提升系統(tǒng)對程序、設(shè)備的控制，使系統(tǒng)更穩(wěn)定?？刂破鬟x擇PERC H345，采用模塊化設(shè)計(jì)理念，分解主控功能，將內(nèi)存、寄存器以及CNA等功能模塊進(jìn)行抽象化，在各模塊的協(xié)作中實(shí)現(xiàn)控制，由此減少防護(hù)時(shí)間與模塊感染，提高系統(tǒng)穩(wěn)定性。

2.2 處理器

根據(jù)數(shù)據(jù)特點(diǎn)，對服務(wù)器數(shù)據(jù)進(jìn)行安全處理，處理器結(jié)構(gòu)如圖2所示。處理器采用PCM1725U，通過HDFS架構(gòu)與模塊化設(shè)計(jì)將各處理核心共享浮力單元，由寄存器、累加器、邏輯單元共同組成，提升系統(tǒng)數(shù)據(jù)處理效率，將各類數(shù)據(jù)分類保存，根據(jù)用戶與服務(wù)器間的協(xié)議，在數(shù)據(jù)上進(jìn)行密鑰協(xié)商，并標(biāo)示數(shù)據(jù)來源、時(shí)間及用戶等基本信息，使數(shù)據(jù)都具有特殊性。如果缺失數(shù)據(jù)，那么簽名也必然會不完整，采用簽名匹配來藍(lán)短數(shù)據(jù)是否可驗(yàn)證[4]。密鑰協(xié)商后，根據(jù)法則打開數(shù)據(jù)，即使信息被竊取也會因缺少法則無法完全讀取數(shù)據(jù)，保障服務(wù)器安全。

圖2 處理器結(jié)構(gòu)

3 軟件設(shè)計(jì)

基于上述硬件設(shè)備，結(jié)合各類技術(shù)，將軟硬件程序、設(shè)備進(jìn)行結(jié)合，設(shè)計(jì)軟件程序防護(hù)流程，如圖3所示。

根據(jù)圖3的防護(hù)流程，集中保護(hù)服務(wù)器數(shù)據(jù)，調(diào)節(jié)系統(tǒng)參數(shù)，使其具有攔截非法訪問、查殺病毒等安防功能，并設(shè)置判斷公式，如公式（1）所示。

圖3 系統(tǒng)軟件程序防護(hù)流程

式中：A為訪問判斷參數(shù)，如果A為1說明訪問安全，如果不為1說明為本次訪問非法；v為訪問頻率；c為訪問常數(shù)；i為訪問指數(shù)。經(jīng)處理判斷訪問是否安全，攔截異常行為，并根據(jù)流程進(jìn)行病毒查殺工作，調(diào)整參數(shù)后設(shè)置病毒識別公式，如公式（2）所示。

式中：P為病毒識別參數(shù)；S為標(biāo)準(zhǔn)病毒識別信息；R為識別速率；T為病毒轉(zhuǎn)化常數(shù)。根據(jù)P值判斷系統(tǒng)是否被病毒入侵。如果存在病毒應(yīng)及時(shí)查找并清除，保障服務(wù)器數(shù)據(jù)安全。由于服務(wù)器與客戶端存在一定的數(shù)據(jù)交換，因此要保證數(shù)據(jù)傳輸過程的完整與保密，此時(shí)可進(jìn)行密鑰與簽名的匹配。結(jié)合上述流程，將密鑰和簽名的匹配度融入算法，如公式（3）所示。

式中：K為密鑰與簽字匹配參數(shù)；F為首次匹配；Q為二次匹配；E為密鑰匹配常數(shù)；M為簽字匹配常數(shù)；D為匹配數(shù)據(jù)調(diào)整數(shù)；N為調(diào)整次數(shù)。按照算法對數(shù)據(jù)的簽字和密鑰匹配度進(jìn)行判斷，分析數(shù)據(jù)在傳輸時(shí)是否被竊取，如果出現(xiàn)異常行為應(yīng)及時(shí)維護(hù)，盡可能地保障數(shù)據(jù)的安全與完整。

4 系統(tǒng)測試

為驗(yàn)證設(shè)計(jì)的基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)的實(shí)際安防效果，進(jìn)行比較測試，選用傳統(tǒng)服務(wù)器安防系統(tǒng)，創(chuàng)建匹配的實(shí)驗(yàn)環(huán)境，在相同條件下對比兩種系統(tǒng)的安防效果。鑒于服務(wù)器數(shù)據(jù)的數(shù)量龐大與服務(wù)器安全防護(hù)系統(tǒng)的復(fù)雜，應(yīng)對測試環(huán)境進(jìn)行狀態(tài)設(shè)置，根據(jù)上述系統(tǒng)軟硬件的運(yùn)行流程調(diào)整系統(tǒng)控制能力與數(shù)據(jù)處理性能，根據(jù)系統(tǒng)安全防護(hù)算法調(diào)節(jié)系統(tǒng)狀態(tài)，優(yōu)化服務(wù)器數(shù)據(jù)傳輸與信號識別功能，從而獲得良好的安防效果，并進(jìn)行如下測試。

首先，以SaaS為技術(shù)基礎(chǔ)，將應(yīng)提高安全性能的服務(wù)器數(shù)據(jù)通過系統(tǒng)傳輸通道傳輸，確保數(shù)據(jù)在系統(tǒng)可控的范圍內(nèi)，同時(shí)調(diào)整好系統(tǒng)參數(shù)，對軟硬件功能進(jìn)行整合，使元件與參數(shù)更貼合。此外，還要測試系統(tǒng)存儲功能是否穩(wěn)定，根據(jù)服務(wù)器數(shù)據(jù)特點(diǎn)采用分類存儲，這樣能夠保證已處理或未處理的數(shù)據(jù)完整性[5]；其次，通過控制器增強(qiáng)系統(tǒng)穩(wěn)定性，從整體上提升管控水平，將需要處理的服務(wù)器數(shù)據(jù)傳輸?shù)教幚砥?，處理器對這些數(shù)據(jù)進(jìn)行分類化處理，排除其中的同類數(shù)據(jù)與不安全數(shù)據(jù)，并做好加密處理與保存工作，從而提高數(shù)據(jù)的安全性；最后，將處理后的數(shù)據(jù)傳輸至中心反應(yīng)堆，通過監(jiān)測裝置實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，模擬竊取與攻擊行為，在觀察數(shù)據(jù)情況后判斷系統(tǒng)是否充分發(fā)揮安防功能[6]。如果判斷為“綠”，表示系統(tǒng)有效防治非法入侵，數(shù)據(jù)得到保護(hù)；如果判斷為“紅”，則表示系統(tǒng)本次沒有成功防護(hù)非法入侵，系統(tǒng)安防功能未得到發(fā)揮。

在系統(tǒng)測試中，根據(jù)不同參數(shù)進(jìn)行比較測試，從而提升整體對比效果，保證試驗(yàn)結(jié)果真實(shí)可靠，具體測試參數(shù)見表1。

表1 測試參數(shù)

根據(jù)上述參數(shù)，該系統(tǒng)與傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)的穩(wěn)定性及安防效果對比如圖4、圖5所示。

由圖4可知，傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)穩(wěn)定性較不穩(wěn)定，存在一定誤差，而該研究設(shè)計(jì)的基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)的穩(wěn)定性較好，優(yōu)于傳統(tǒng)系統(tǒng)。導(dǎo)致這種差異的原因是該系統(tǒng)在設(shè)計(jì)時(shí)遵循模塊化理念，將系統(tǒng)分解為多個(gè)能夠彼此協(xié)作的功能模塊，模塊均由控制器統(tǒng)一控制，彼此既聯(lián)系又不干擾，運(yùn)行效率高，從而使系統(tǒng)的穩(wěn)定性良好。與其不同的是，傳統(tǒng)系統(tǒng)多采用普通硬件，雖然存儲量較高，但是技術(shù)較為落后，數(shù)據(jù)處理速率較慢，系統(tǒng)不穩(wěn)定，易使內(nèi)部發(fā)生故障，影響其發(fā)揮應(yīng)有功能，導(dǎo)致在安防過程中易出現(xiàn)漏判、誤判的問題。

圖4 不同安防系統(tǒng)穩(wěn)定性比較

由圖5可知，該系統(tǒng)的安防效果優(yōu)于傳統(tǒng)系統(tǒng)，存在以下差異：該系統(tǒng)以SaaS為基礎(chǔ)，由控制器控制系統(tǒng)狀態(tài)，同時(shí)采用處理器與安防系統(tǒng)，進(jìn)一步處理服務(wù)器處理，反應(yīng)速度快，可及時(shí)發(fā)現(xiàn)并處理非法訪問與竊取問題，能夠迅速發(fā)現(xiàn)危險(xiǎn)元素并清除，從整體上提升系統(tǒng)安防效果。傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)受技術(shù)所限，無法攔截高技術(shù)竊取，安防效果不理想，仍存在部分發(fā)展空間。

圖5 不同安防系統(tǒng)防護(hù)次數(shù)比較

由此可知，基于SaaS的服務(wù)器安全防護(hù)系統(tǒng)具有較高的穩(wěn)定性與安防效果，可更好地處理并維護(hù)服務(wù)器數(shù)據(jù)，運(yùn)行時(shí)速快、反應(yīng)迅速，應(yīng)用效果較好，能夠滿足用戶的服務(wù)器數(shù)據(jù)安全需要。

5 結(jié)語

綜上所述，該文根據(jù)傳統(tǒng)服務(wù)器安全防護(hù)系統(tǒng)設(shè)計(jì)經(jīng)驗(yàn)，基于SaaS設(shè)計(jì)了一種全新的服務(wù)器安全防護(hù)系統(tǒng)，通過整合軟硬件技術(shù)優(yōu)勢，加強(qiáng)系統(tǒng)控制與數(shù)據(jù)處理，在減少系統(tǒng)之間干擾的過程中，還可大幅提高系統(tǒng)的安防效果與穩(wěn)定性。經(jīng)系統(tǒng)比較測試后發(fā)現(xiàn)，該系統(tǒng)具有比傳統(tǒng)系統(tǒng)更好的現(xiàn)實(shí)應(yīng)用效果，能夠有效排除潛在風(fēng)險(xiǎn)、攔截非法訪問，可在一定程度上滿足用戶對服務(wù)器安全的現(xiàn)實(shí)需求，具有良好的應(yīng)用效果與應(yīng)用前景。