正在阅读：服务器的“天生缺陷” 我们应该如何补救？服务器的“天生缺陷” 我们应该如何补救？

　　【PConline 杂谈】网络安全是个经久不衰的话题，尤其是随着互联网应用的普及，在越来越互联的今天，一台与互联网完全隔绝的服务器基本上也是“无用”的。

　　如果说互联网是一个公共的空间，服务器则就是相应用户的自留地，它是用户自身应用与数据面向互联网的最终门户，也将是企业应用最关键的安全命脉——很多安全话题看似与网络相关，但这些来自于网上的入侵最终的目标则都是获得服务器的主管权。

　　也正是出于这样的认识，越来越多的企业开始更加关注服务器外围乃至数据中心网络的安全防护，比如更严格的服务器访问管理、更先进的防火墙、更智能的入侵检测、更全面的行为分析等等。但正所谓“日防夜防，家贼难防”，又有多少人会考虑到来自服务器内部的“天生安全缺陷”呢?

　　服务器由内至外的先天安全缺陷

　　我们经常听到的，产生重大破坏后果的安全事件，大多是与木马相关的，而所谓的木马就是通过用户有意无意间的操作，而明目张胆的将贼请进家，并在家里开了一个貌似已经获得用户授权的后门，对此，很多安防系统也就无能为力了。

　　服务器也是如此，如果已经被植入木马，那么外围再安全的防护也于事无补。当然，不断加强的外围防护也正是意在将木马拦在数据中心之外，包括在服务器本地部署的安全软件，近几年清除操作环境(包括虚拟环境)中安全隐患的能力也在不断加强。可是，如果这个后门是服务器硬件本身先天就具备的，外围的守护者，不管是防火墙还是防护软件，也只能干瞪眼了。

　　服务器先天安全缺陷从何而来?

　　服务器内部的重要隐患在于每台服务器必备的基板管理控制器(BMC，Baseboard Management Controller)，这是一个特殊的处理器，用来监测服务器中相关组件的物理状态，比如I/O接口、I/O总线、CPU温度、电源状态、风扇转速等，配合智能平台管理接口(IPMI，Intelligent Platform Management Interface)，以便于管理员更好的进行服务器的运维，包括服务器本地和远程控制、配置管理、硬件诊断和故障排除等。显然，如果BMC出现漏洞也将近同于BIOS的失陷。

　　而在现实中，就出现了类似的BMC隐患，有些厂商的服务器存在BMC不经过鉴权访问的风险，而有些厂商的服务器的BMC则存在的安全漏洞，入侵者可模仿合法用户，查看用户记录及执行事务。

　　如何避免服务器的先天安全缺陷?

　　简单来说，服务器内部的先天安全缺陷主要就来源于BIOS与BMC，在这两个方面入手，尽量能做到知根知底，则可以最大限度杜绝最基础的安全隐患。不过这显然需要服务器厂商自己有更高的自我要求，与技术实现能力，以杜绝外界通用部件以及国外组件可能存在的安全隐患。

　　当我们越来越重视企业ICT系统与整体架构的安全性时，除了必要的更坚固的外围保护，服务器内部的安全因素，也必须引起更高的重视，否则有可能极大的损害企业在安全保护上的投资效益。[返回频道首页]