基于SaaS的服务器安全防护系统设计

李英杰

（湖南环境生物职业技术学院，湖南 衡阳 421005）

0 引言

服务器是计算机系统的核心，一旦服务器出现故障，系统便会瘫痪。对企事业单位来说，文件多、信息存储量大，日常运转对系统依赖性较强，所以做好服务器安全防护工作是很有必要的。对服务器安全问题来说，部分学者通过构建安全防护系统来提升服务器的安全系数，无论是第一次创建的安防系统，还是升级改造的安防系统，都存在防护能力弱、稳定前欠佳的问题，不能有效阻断服务器数据的窃取与入侵行为，无法满足用户的现实需要。Software-as-a-Service（软件即服务，SaaS）是随着大数据技术发展而兴起的一种软件应用模式，具有容错性高、可通过集群对服务器数据进行高速运算等优势，企事业单位能够通过 SaaS 模式享受全面的多机备份保护[1]。鉴于此，以SaaS为基础，设计一种基于SaaS的服务器安全防护系统，经过测试可知，该系统的现实应用效果比传统的系统更佳，具有良好的应用价值与应用前景。

1 整体架构

基于SaaS的服务器安全防护系统整体架构设计如图1所示。

图1 系统整体架构

1.1 防火墙

系统整体分为客户端、虚拟区、应用区以及数据库4个应用区域。1层防火墙负责隔离客户端与服务器，服务器可在外部打开HTTP服务，但要尽可能减少暴露；2层防火墙将核心的应用区与静态资源分离，使其可用于外部接口[2]；3层防火墙负责对数据进行隔离，该层防火墙能够将数据从其他模块中分离，并在不同功能模块被入侵或破坏时进行数据抢救性保护。

1.2 认证服务器

该服务器的实质是进行服务器代理与HTTP拦截，其会拦截全部HTTP请求，从中获取认证信息并通过用户信息服务器进行数据匹配，识别其中的合法信息。如果合法，本条请求会被发送到后端服务器；如果非法，请求会被立刻终止，且状态码信息会被转发至客户端。

1.3 用户信息服务器

用户信息服务器负责提供外部用户信息的访问认证工作，以便高效进行信息读取。采用Lightweight Directory Access Protocol（轻型目录访问协议，LDAP），因其属于轻型目录访问协议，结构能够提供快速读取服务，所以适用于验证用户身份。

1.4 安全策略服务器

安全策略是指用户、资源及权限三者间的关系，通过定义安全策略来界定用户的资源权限[3]。服务器配置了系统全部安全策略，从用户信息服务器中提取用户信息，从应用区提取资源信息，同时结合安全策略为服务器提供安防服务。

1.5 安全授权服务器

该服务器通过上述服务器提供的用户、资源以及安全策略信息来判断用户请求是否拥有权限，并在对其认证后进行相关授权。

2 硬件设计

为提高服务器的安防能力与系统硬件性能，以SaaS为基础，对系统硬件设备进行设计，弥补传统系统缺陷，整合传统系统优势，根据硬件性能的不同划分操作模块，由此提升系统的整体稳定性，从而获得更好的安防效果。

2.1 控制器

设计控制器，调整服务器状态，提升系统对程序、设备的控制，使系统更稳定。控制器选择PERC H345，采用模块化设计理念，分解主控功能，将内存、寄存器以及CNA等功能模块进行抽象化，在各模块的协作中实现控制，由此减少防护时间与模块感染，提高系统稳定性。

2.2 处理器

根据数据特点，对服务器数据进行安全处理，处理器结构如图2所示。处理器采用PCM1725U，通过HDFS架构与模块化设计将各处理核心共享浮力单元，由寄存器、累加器、逻辑单元共同组成，提升系统数据处理效率，将各类数据分类保存，根据用户与服务器间的协议，在数据上进行密钥协商，并标示数据来源、时间及用户等基本信息，使数据都具有特殊性。如果缺失数据，那么签名也必然会不完整，采用签名匹配来蓝短数据是否可验证[4]。密钥协商后，根据法则打开数据，即使信息被窃取也会因缺少法则无法完全读取数据，保障服务器安全。

图2 处理器结构

3 软件设计

基于上述硬件设备，结合各类技术，将软硬件程序、设备进行结合，设计软件程序防护流程，如图3所示。

根据图3的防护流程，集中保护服务器数据，调节系统参数，使其具有拦截非法访问、查杀病毒等安防功能，并设置判断公式，如公式（1）所示。

图3 系统软件程序防护流程

式中：A为访问判断参数，如果A为1说明访问安全，如果不为1说明为本次访问非法；v为访问频率；c为访问常数；i为访问指数。经处理判断访问是否安全，拦截异常行为，并根据流程进行病毒查杀工作，调整参数后设置病毒识别公式，如公式（2）所示。

式中：P为病毒识别参数；S为标准病毒识别信息；R为识别速率；T为病毒转化常数。根据P值判断系统是否被病毒入侵。如果存在病毒应及时查找并清除，保障服务器数据安全。由于服务器与客户端存在一定的数据交换，因此要保证数据传输过程的完整与保密，此时可进行密钥与签名的匹配。结合上述流程，将密钥和签名的匹配度融入算法，如公式（3）所示。

式中：K为密钥与签字匹配参数；F为首次匹配；Q为二次匹配；E为密钥匹配常数；M为签字匹配常数；D为匹配数据调整数；N为调整次数。按照算法对数据的签字和密钥匹配度进行判断，分析数据在传输时是否被窃取，如果出现异常行为应及时维护，尽可能地保障数据的安全与完整。

4 系统测试

为验证设计的基于SaaS的服务器安全防护系统的实际安防效果，进行比较测试，选用传统服务器安防系统，创建匹配的实验环境，在相同条件下对比两种系统的安防效果。鉴于服务器数据的数量庞大与服务器安全防护系统的复杂，应对测试环境进行状态设置，根据上述系统软硬件的运行流程调整系统控制能力与数据处理性能，根据系统安全防护算法调节系统状态，优化服务器数据传输与信号识别功能，从而获得良好的安防效果，并进行如下测试。

首先，以SaaS为技术基础，将应提高安全性能的服务器数据通过系统传输通道传输，确保数据在系统可控的范围内，同时调整好系统参数，对软硬件功能进行整合，使元件与参数更贴合。此外，还要测试系统存储功能是否稳定，根据服务器数据特点采用分类存储，这样能够保证已处理或未处理的数据完整性[5]；其次，通过控制器增强系统稳定性，从整体上提升管控水平，将需要处理的服务器数据传输到处理器，处理器对这些数据进行分类化处理，排除其中的同类数据与不安全数据，并做好加密处理与保存工作，从而提高数据的安全性；最后，将处理后的数据传输至中心反应堆，通过监测装置实时监控数据，模拟窃取与攻击行为，在观察数据情况后判断系统是否充分发挥安防功能[6]。如果判断为“绿”，表示系统有效防治非法入侵，数据得到保护；如果判断为“红”，则表示系统本次没有成功防护非法入侵，系统安防功能未得到发挥。

在系统测试中，根据不同参数进行比较测试，从而提升整体对比效果，保证试验结果真实可靠，具体测试参数见表1。

表1 测试参数

根据上述参数，该系统与传统服务器安全防护系统的稳定性及安防效果对比如图4、图5所示。

由图4可知，传统服务器安全防护系统稳定性较不稳定，存在一定误差，而该研究设计的基于SaaS的服务器安全防护系统的稳定性较好，优于传统系统。导致这种差异的原因是该系统在设计时遵循模块化理念，将系统分解为多个能够彼此协作的功能模块，模块均由控制器统一控制，彼此既联系又不干扰，运行效率高，从而使系统的稳定性良好。与其不同的是，传统系统多采用普通硬件，虽然存储量较高，但是技术较为落后，数据处理速率较慢，系统不稳定，易使内部发生故障，影响其发挥应有功能，导致在安防过程中易出现漏判、误判的问题。

图4 不同安防系统稳定性比较

由图5可知，该系统的安防效果优于传统系统，存在以下差异：该系统以SaaS为基础，由控制器控制系统状态，同时采用处理器与安防系统，进一步处理服务器处理，反应速度快，可及时发现并处理非法访问与窃取问题，能够迅速发现危险元素并清除，从整体上提升系统安防效果。传统服务器安全防护系统受技术所限，无法拦截高技术窃取，安防效果不理想，仍存在部分发展空间。

图5 不同安防系统防护次数比较

由此可知，基于SaaS的服务器安全防护系统具有较高的稳定性与安防效果，可更好地处理并维护服务器数据，运行时速快、反应迅速，应用效果较好，能够满足用户的服务器数据安全需要。

5 结语

综上所述，该文根据传统服务器安全防护系统设计经验，基于SaaS设计了一种全新的服务器安全防护系统，通过整合软硬件技术优势，加强系统控制与数据处理，在减少系统之间干扰的过程中，还可大幅提高系统的安防效果与稳定性。经系统比较测试后发现，该系统具有比传统系统更好的现实应用效果，能够有效排除潜在风险、拦截非法访问，可在一定程度上满足用户对服务器安全的现实需求，具有良好的应用效果与应用前景。