網(wǎng)站托管服務(wù)器安全實(shí)施策略

泉州網(wǎng)是國務(wù)院新聞辦批準(zhǔn)的具有新聞登載資格的福建省重點(diǎn)新聞網(wǎng)站之一，也是泉州市惟一的新聞網(wǎng)站和區(qū)域門戶網(wǎng)站。2007年，泉州網(wǎng)的硬件平臺(tái)進(jìn)行了全面的升級(jí)，帶寬也從原來的10兆接入提高到共享100兆。網(wǎng)站接入帶寬提速后，網(wǎng)站的訪問量明顯提高。與此同時(shí)，網(wǎng)站的安全問題也日益顯現(xiàn)。如何有效地對(duì)網(wǎng)站運(yùn)營服務(wù)器進(jìn)行安全加固，并使安全投資最優(yōu)化，成為泉州網(wǎng)系統(tǒng)維護(hù)人員面臨的新難題。2007年年底，泉州網(wǎng)與泉州電信公司簽署主機(jī)托管合作協(xié)議，根據(jù)網(wǎng)站運(yùn)行的實(shí)際情況，著力健全網(wǎng)站主動(dòng)防御安全體系，從根源上解決目前日益多樣化的網(wǎng)絡(luò)安全事件給泉州網(wǎng)帶來的潛在危害。本次項(xiàng)目的實(shí)施得到了綠盟科技專業(yè)安全工程師的大力支持。

如圖所示，泉州網(wǎng)的服務(wù)器（web站點(diǎn)、論壇、視頻、應(yīng)用、備份）都托管在泉州電信東海IDC機(jī)房。

目前，對(duì)泉州網(wǎng)服務(wù)器除進(jìn)行日常的數(shù)據(jù)更新和維護(hù)外，技術(shù)人員還針對(duì)每臺(tái)服務(wù)器進(jìn)行不定時(shí)安全加固，每周服務(wù)器風(fēng)險(xiǎn)評(píng)估，實(shí)時(shí)在線過濾，針對(duì)問題隨時(shí)進(jìn)行故障應(yīng)急響應(yīng)等相關(guān)工作。

安全加固

首先是對(duì)泉州網(wǎng)的托管服務(wù)器在入網(wǎng)前進(jìn)行專業(yè)服務(wù)器安全加固。主要從系統(tǒng)補(bǔ)丁安裝、系統(tǒng)殺毒軟件強(qiáng)制升級(jí)和防火墻策略更新、系統(tǒng)帳戶權(quán)限強(qiáng)化，加強(qiáng)服務(wù)器系統(tǒng)日志審核，過濾常見危險(xiǎn)服務(wù)、系統(tǒng)關(guān)鍵文件權(quán)限限制、相關(guān)應(yīng)用服務(wù)（如IIS、Apache、SQL）強(qiáng)化等多方面來進(jìn)行。

風(fēng)險(xiǎn)評(píng)估

通過“極光”遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)泉州網(wǎng)的服務(wù)器進(jìn)行及時(shí)漏洞檢測和漏洞修補(bǔ)，并自動(dòng)反復(fù)確認(rèn)補(bǔ)丁修補(bǔ)情況，具體的風(fēng)險(xiǎn)評(píng)估過程包含以下5個(gè)部分：

1）對(duì)所有服務(wù)器進(jìn)行相關(guān)資產(chǎn)（包括硬件信息和軟件信息）登記；

2）自動(dòng)周期（每周一次）對(duì)服務(wù)器的漏洞（含系統(tǒng)和應(yīng)用程序漏洞）進(jìn)行評(píng)估，并將結(jié)果自動(dòng)發(fā)送和保存；

3）對(duì)漏洞評(píng)估的結(jié)果進(jìn)行定性和定量的風(fēng)險(xiǎn)分析，并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案；

4）根據(jù)漏洞修復(fù)方案對(duì)服務(wù)器存在的漏洞進(jìn)行合理的修復(fù)；

5）自動(dòng)對(duì)修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn)。

另外，通過“極光”遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)所有站點(diǎn)進(jìn)行深入細(xì)致的SQL注入節(jié)點(diǎn)檢測，及時(shí)修補(bǔ)站點(diǎn)可能存在的SQL注入節(jié)點(diǎn)。

在線過濾

如圖所示，我們在城域網(wǎng)核心路由器和IDC核心交換機(jī)之間，旁路部署“黑洞”抗拒絕服務(wù)設(shè)備，以及在泉州網(wǎng)服務(wù)器的接入層部署了“冰之眼”入侵保護(hù)系統(tǒng)。

通過“冰之眼”入侵保護(hù)系統(tǒng)主動(dòng)防御已知和未知攻擊，實(shí)時(shí)阻斷各種黑客攻擊，如緩沖區(qū)溢出、SQL注入、暴力猜測、掃描探測、非授權(quán)訪問、蠕蟲病毒、木馬后門、間諜軟件等，廣泛精細(xì)的應(yīng)用防護(hù)避免服務(wù)器遭受安全損失。

在IDC和城域網(wǎng)之間旁路部署“黑洞”抗拒絕系統(tǒng)，通過自動(dòng)檢測、旁路牽引的方式對(duì)到達(dá)托管服務(wù)器的DDOS攻擊流量進(jìn)行有效過濾。

通過“黑洞”抗拒絕服務(wù)系統(tǒng)對(duì)SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的攻擊行為能夠有效識(shí)別，并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷。具體“黑洞”旁路部署的實(shí)現(xiàn)機(jī)制及工作原理如下：

1）流量監(jiān)控：流量監(jiān)控和攻擊檢測是通過黑洞Probe設(shè)備來實(shí)現(xiàn)的。在路由器Cisco7609-1和Cisco7609-2上啟用Netflow功能，配置Netflow流指向黑洞集群Probe，Probe設(shè)備對(duì)發(fā)來的數(shù)據(jù)進(jìn)行分析，進(jìn)行流量監(jiān)控和檢測流量中是否有DDOS攻擊。

2）攻擊流量牽引：當(dāng)Probe檢測到有DDOS攻擊后，會(huì)向4臺(tái)Defender設(shè)備發(fā)送通告，通知黑洞集群Defender設(shè)備進(jìn)行相應(yīng)流量牽引操作，將攻擊流量牽引至黑洞設(shè)備，進(jìn)行相應(yīng)流量凈化。牽引流量將直接從城域網(wǎng)核心設(shè)備Juniper M320及Cisco GSR12816進(jìn)入黑洞Defender，保證了網(wǎng)絡(luò)的出口帶寬不受攻擊流量的影響。

3）流量凈化：攻擊流量經(jīng)流量牽引至黑洞集群Defender，黑洞Defender設(shè)備將根據(jù)攻擊特征進(jìn)行相應(yīng)流量凈化，將流量攻擊部分進(jìn)行過濾，而包含在攻擊流量中的正常用戶訪問流量將不受影響，在流量凈化后依然返回IDC核心交換機(jī)Cisco 7609。

4）流量的注入：經(jīng)過流量凈化的正常用戶訪問流量將通過黑洞集群Defender注入回Cisco 7609，再由Cisco 7609通過正常路由鏈路將流量送到服務(wù)器。

通過部署“冰之眼”入侵檢測系統(tǒng)和“黑洞”抗拒絕服務(wù)系統(tǒng)，對(duì)泉州網(wǎng)托管服務(wù)器進(jìn)行實(shí)時(shí)在線攻擊行為過濾，整個(gè)在線過濾凈化過程全部自動(dòng)完成，無需人員參與，大大減少了工作人員的勞動(dòng)強(qiáng)度、提高了遭受攻擊的反應(yīng)速度，保證泉州網(wǎng)安全穩(wěn)定運(yùn)行。

應(yīng)急響應(yīng)

泉州網(wǎng)托管服務(wù)器采取“專人負(fù)責(zé)、及時(shí)響應(yīng)、限時(shí)處理”的維護(hù)機(jī)制，有資深的信息安全工程師負(fù)責(zé)維護(hù)，應(yīng)急響應(yīng)的主要內(nèi)容有病毒事件響應(yīng)、系統(tǒng)入侵事件響應(yīng)、網(wǎng)絡(luò)故障事件響應(yīng)、拒絕服務(wù)攻擊事件響應(yīng)。

綜上所述，泉州網(wǎng)目前通過入網(wǎng)服務(wù)器安全加固、定時(shí)服務(wù)器風(fēng)險(xiǎn)評(píng)估、實(shí)時(shí)在線攻擊過濾、專業(yè)組織應(yīng)急響應(yīng)，可以有效地保證重點(diǎn)新聞網(wǎng)站泉州網(wǎng)高效、安全、穩(wěn)定的運(yùn)行。