典型網(wǎng)站系統(tǒng)安全保護(hù)平臺(tái)研究

蔡 琳， 龔 雷

（1.合肥工業(yè)大學(xué) 管理學(xué)院，安徽 合肥 230009；2.96610部隊(duì) 北京 102208；3.信息工程大學(xué) 電子技術(shù)學(xué)院，河南 鄭州 450004）

信息技術(shù)的不斷進(jìn)步，使得計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展越來越迅速。大多數(shù)政府機(jī)關(guān)、企事業(yè)單位、商業(yè)機(jī)構(gòu)等都建立了相應(yīng)的網(wǎng)站系統(tǒng)，用以發(fā)布信息、樹立品牌形象。網(wǎng)站系統(tǒng)的建立拓寬了信息溝通渠道、提高了工作效率，但也面臨著一系列的安全威脅。其中，外部安全威脅主要包括，攻擊者利用系統(tǒng)漏洞的攻擊，利用病毒、木馬等惡意代碼實(shí)施的攻擊，利用惡意網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行攻擊；內(nèi)部安全威脅主要包括，內(nèi)部人員對(duì)資源的惡意操作和對(duì)信息的越權(quán)訪問等。如何在兼顧應(yīng)用的基礎(chǔ)上確保網(wǎng)站系統(tǒng)的安全，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域研究的重點(diǎn)問題之一。為此，筆者將通過對(duì)典型網(wǎng)站系統(tǒng)的分析，研究如何建立網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全保護(hù)平臺(tái)，以確保網(wǎng)站系統(tǒng)能夠安全可靠地運(yùn)行。

1 典型網(wǎng)站系統(tǒng)分析

文中搭建的典型網(wǎng)站系統(tǒng)如圖1所示，該系統(tǒng)由3個(gè)相對(duì)獨(dú)立的單元構(gòu)成，分別是辦公自動(dòng)化（OA）系統(tǒng)、內(nèi)容管理（CMS）系統(tǒng)，以及網(wǎng)頁（Web）服務(wù)系統(tǒng)。其中，OA系統(tǒng)為內(nèi)部用戶提供辦公環(huán)境，是公文流轉(zhuǎn)和文件審批的場(chǎng)所；CMS系統(tǒng)用于將可公開的信息上傳到Web服務(wù)器；Web服務(wù)器用于提供信息服務(wù)，供互聯(lián)網(wǎng)用戶瀏覽。

圖1 典型網(wǎng)站系統(tǒng)示意圖Fig.1 Structure diagram of typical network application system

該網(wǎng)站系統(tǒng)遵循如下的工作流程：1）辦事員起草新聞稿并上報(bào)給領(lǐng)導(dǎo)審批；2）OA的公文流轉(zhuǎn)機(jī)制將領(lǐng)導(dǎo)審批后的稿件下發(fā)給辦事員；3）辦事員將稿件提交到FTP服務(wù)器；4）新聞維護(hù)員登錄本地FTP，通過CMS系統(tǒng)將新聞稿內(nèi)容提交給上傳服務(wù)器，利用服務(wù)器之間的數(shù)據(jù)庫和文件同步機(jī)制，將新聞稿發(fā)送到網(wǎng)站服務(wù)器，供外部用戶瀏覽查閱。

為保證公文傳輸?shù)陌踩耘c可靠性，實(shí)際部前、事中和事后的安全保障。同時(shí)，在系統(tǒng)外圍增加安全防護(hù)措施，如利用防病毒軟件對(duì)已知病毒進(jìn)行查殺，利用防火墻對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析與過濾，利用入侵檢測(cè)系統(tǒng)對(duì)攻擊行為進(jìn)行報(bào)警和響應(yīng)。這些安全機(jī)制并不能從根本上解決系統(tǒng)所面臨的安全問題，一方面是由于它們?nèi)鄙賮碜杂布筒僮飨到y(tǒng)的安全支撐，容易被旁路；另一方面是由于它們之間是一種松散的耦合，不便于安全策略的制定與實(shí)施，對(duì)于新攻擊行為的防范具有一定的滯后性。

2 安全保護(hù)平臺(tái)總體架構(gòu)

2.1 設(shè)計(jì)思路

從系統(tǒng)工程學(xué)的角度來看，典型網(wǎng)站系統(tǒng)是由計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)3個(gè)層次組成。計(jì)算環(huán)境是用戶的工作環(huán)境，由完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其聯(lián)接部件組成；區(qū)域邊界是計(jì)算環(huán)境的邊界，信息需要從區(qū)域邊界流入或流出；通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間實(shí)現(xiàn)信息傳輸功能的部分。在網(wǎng)站系統(tǒng)的3個(gè)層次中，如果每一個(gè)使用者都是經(jīng)過認(rèn)證和授權(quán)的，并且其操作都是符合規(guī)定的，那么攻擊事件發(fā)生的可能性就會(huì)大為降低，系統(tǒng)的安全也就能得到保證。

基于上述考慮，網(wǎng)站系統(tǒng)安全保護(hù)平臺(tái)的設(shè)計(jì)可概括為“一個(gè)中心”支撐下的“三重防護(hù)體系”。所謂“一個(gè)中心”指的是安全管理中心，管理員通過分析系統(tǒng)工作流程和安全需求，量體裁衣地為其制訂安全策略，然后下發(fā)到系統(tǒng)的各安全模塊，實(shí)現(xiàn)安全機(jī)制的集中統(tǒng)一管理。“三重防護(hù)體系”由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)組成。安全計(jì)算環(huán)境從源頭上控制用戶和進(jìn)程對(duì)資源的訪問，構(gòu)建終端安全體系結(jié)構(gòu)；安全區(qū)域邊界通過制定相應(yīng)的安全策略，實(shí)現(xiàn)對(duì)出入邊界的信息流進(jìn)行攔截、分析和過濾；安全通信網(wǎng)絡(luò)則通過對(duì)數(shù)據(jù)包的封裝與加密，確保數(shù)據(jù)傳遞的機(jī)密性和完整性。

2.2 體系架構(gòu)

針對(duì)典型網(wǎng)站應(yīng)用系統(tǒng)，安全保護(hù)平臺(tái)的總體拓?fù)浣Y(jié)構(gòu)如圖2所示。安全保護(hù)平臺(tái)從終端安全入手，建立了從硬件平臺(tái)到上層的應(yīng)用信任鏈，同時(shí)對(duì)操作系統(tǒng)內(nèi)核進(jìn)行了安全加固[1]。該平臺(tái)以基于可信計(jì)算的Windows和Linux安全操作系統(tǒng)[2-3]為基礎(chǔ)，安全管理中心為核心，采用應(yīng)用防護(hù)墻、安全隔離與信息交換系統(tǒng)、安全通信網(wǎng)絡(luò)設(shè)備為重要的輔助手段，具備全方位、多層次安全保證。

安全管理中心基于安全增強(qiáng)的Windows操作系統(tǒng)，用于安全策略的制定與下發(fā)，是連接各安全部件和各安全保障層面的中樞。應(yīng)用防護(hù)墻基于安全增強(qiáng)的Linux操作系統(tǒng)，負(fù)責(zé)對(duì)終端訪問OA服務(wù)器或Web服務(wù)器的請(qǐng)求進(jìn)行控制，防止非授權(quán)行為的發(fā)生，阻斷典型的網(wǎng)絡(luò)攻擊。安全隔離與信息交換系統(tǒng)，負(fù)責(zé)對(duì)出入邊界的信息流進(jìn)行安全控制，實(shí)現(xiàn)外網(wǎng)系統(tǒng)和辦公系統(tǒng)的隔離。安全通信網(wǎng)絡(luò)設(shè)備，利用包含VPN功能的通信網(wǎng)關(guān)建立安全通信信道，保證數(shù)據(jù)的機(jī)密性和完整性。

可見，安全保護(hù)平臺(tái)圍繞安全管理中心，構(gòu)建了安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，保證了網(wǎng)站應(yīng)用系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行，有效防止用戶非授權(quán)訪問和越權(quán)訪問行為，阻斷惡意信息流的感染和傳播。

3 安全保護(hù)平臺(tái)關(guān)鍵技術(shù)

3.1 安全集中管理

安全保護(hù)平臺(tái)在網(wǎng)站系統(tǒng)的應(yīng)用服務(wù)器、維護(hù)終端、邊界設(shè)備以及通信設(shè)備上都設(shè)立了安全機(jī)制。為了便于對(duì)各個(gè)層面的軟硬件安全模塊進(jìn)行集中、統(tǒng)一、有效的監(jiān)控與管理，安全保護(hù)平臺(tái)建立了專門的安全管理中心。

安全管理中心依據(jù)“三權(quán)分立”的原則組織實(shí)施，分別設(shè)立了系統(tǒng)管理員、安全管理員和安全審計(jì)員。系統(tǒng)管理員負(fù)責(zé)用戶身份、資源及配置信息的管理，其操作權(quán)限由安全管理員制定，其行為受系統(tǒng)審計(jì)機(jī)制監(jiān)控；安全管理員負(fù)責(zé)主客體標(biāo)記、用戶授權(quán)以及安全策略的管理與維護(hù)，其一切操作行為都被記入審計(jì)日志；安全審計(jì)員負(fù)責(zé)定審計(jì)策略、收集審計(jì)信息，對(duì)敏感審計(jì)事件及時(shí)做出響應(yīng)。

圖2 安全保護(hù)平臺(tái)體系架構(gòu)Fig.2 Structure of security protective platform

3.2 可信身份鑒別

可信身份鑒別包括用戶身份鑒別和平臺(tái)身份鑒別[4-5]兩個(gè)方面。用戶身份鑒別利用個(gè)人身份識(shí)別碼 （PIN碼）和USB Key中的私鑰證書實(shí)現(xiàn)雙因子認(rèn)證，確保只有通過身份認(rèn)證的用戶才能使用維護(hù)終端。平臺(tái)身份鑒別由橋接于服務(wù)器前的應(yīng)用防護(hù)墻完成，它以存放在系統(tǒng)內(nèi)核中的策略為依據(jù)，確保只有經(jīng)過授權(quán)的維護(hù)終端才能訪問應(yīng)用服務(wù)器，從而將非授權(quán)接入內(nèi)部網(wǎng)絡(luò)的終端，以及內(nèi)部網(wǎng)絡(luò)上不安全的終端孤立起來，確保重要信息不會(huì)從這些終端泄露出去，同時(shí)阻斷這些終端可能對(duì)網(wǎng)站系統(tǒng)安全造成的破壞。

3.3 資源訪問控制

安全保護(hù)平臺(tái)將網(wǎng)站系統(tǒng)的資源目錄作為一個(gè)受控容器，只有經(jīng)過授權(quán)的網(wǎng)站維護(hù)人員，通過運(yùn)行授權(quán)的維護(hù)工具，啟動(dòng)經(jīng)過授權(quán)的網(wǎng)站服務(wù)進(jìn)程，根據(jù)安全管理中心制定的安全策略，才能對(duì)容器中的資源實(shí)施相應(yīng)操作。

根據(jù)用戶的權(quán)力和職責(zé)范圍，明確用戶能夠訪問的進(jìn)程、服務(wù)、文件、端口和設(shè)備，只賦予其完成某個(gè)任務(wù)所需的最小權(quán)限。例如：新聞發(fā)布人員只能將新聞內(nèi)容上傳至網(wǎng)站服務(wù)器的相應(yīng)目錄，無權(quán)修改網(wǎng)站配置或其它欄目及目錄。在限定用戶權(quán)限的前提下，安全保護(hù)平臺(tái)也只賦予可執(zhí)行程序正常完成任務(wù)的最小權(quán)限。例如，安全管理員可以在管理中心配置安全策略，規(guī)定IEXLPOER.EXE程序可以讀取哪些文件或者寫哪些文件，但不允許其修改系統(tǒng)內(nèi)的重要配置文件。

3.4 惡意代碼防護(hù)

用戶在運(yùn)行程序或腳本時(shí)，其訪問請(qǐng)求由操作系統(tǒng)安全內(nèi)核截獲，內(nèi)核以安全管理中心下發(fā)的策略為依據(jù)，確保只有那些添加到“用戶執(zhí)行程序列表”中的程序和腳本，才能由相應(yīng)用戶去執(zhí)行。安全管理中心禁止對(duì)“用戶執(zhí)行程序列表”進(jìn)行更改隨意更改，以確保下發(fā)的安全策略為初始的可信策略。

程序和腳本在啟動(dòng)時(shí)還需要通過可信度量模塊的可信校驗(yàn)，以確保它們的可信啟動(dòng)。具體過程如下：首先，度量模塊計(jì)算程序和代碼首次啟動(dòng)時(shí)所依賴的相關(guān)文件的摘要值，并將該摘要值作為可信度量的依據(jù)，由安全管理中心作為策略統(tǒng)一管理和分發(fā)；接著，當(dāng)程序或代碼再次運(yùn)行時(shí)，度量模塊會(huì)計(jì)算它們的校驗(yàn)值，當(dāng)度量結(jié)果和預(yù)存值相一致時(shí)，該程序或代碼才被認(rèn)為是可信的，從而允許啟動(dòng)，否則拒絕其運(yùn)行。這樣即使某個(gè)可執(zhí)行程序或代碼被病毒或木馬感染，由于其度量值發(fā)生了變化，操作系統(tǒng)安全內(nèi)核會(huì)禁止其運(yùn)行[6]，從而能有效阻止惡意代碼的繼續(xù)傳播與破壞。

3.5 網(wǎng)絡(luò)攻擊防護(hù)

網(wǎng)絡(luò)攻擊方式多種多樣，最為常見的是緩沖區(qū)溢出攻擊、SQL注入攻擊、跨站攻擊以及拒絕服務(wù)攻擊。安全保護(hù)平臺(tái)根據(jù)不同攻擊的特點(diǎn)，采用相應(yīng)的防范措施。

緩沖區(qū)溢出攻擊的目的是獲取管理員權(quán)限，進(jìn)而能夠竊取信息或篡改網(wǎng)頁內(nèi)容。安全保護(hù)平臺(tái)通過對(duì)操作系統(tǒng)內(nèi)核的安全增強(qiáng)，利用強(qiáng)制訪問控制技術(shù)，使得系統(tǒng)管理員不再擁有絕對(duì)的權(quán)力，其對(duì)資源的操作受到安全管理中心策略的約束；SQL注入、跨站腳本和拒絕服務(wù)是通過構(gòu)造惡意數(shù)據(jù)包達(dá)到攻擊目的，為此，安全保護(hù)平臺(tái)采用軟硬件結(jié)合的方式，將應(yīng)用防護(hù)墻橋接于網(wǎng)站服務(wù)器之前，通過對(duì)數(shù)據(jù)包的分析與過濾，實(shí)時(shí)阻斷惡意數(shù)據(jù)包，能夠在最大程度上保障網(wǎng)站服務(wù)器正常工作。

4 結(jié)束語

網(wǎng)站系統(tǒng)安全保護(hù)平臺(tái)通過安全管理中心對(duì)各軟硬件安全模塊進(jìn)行集中管理，實(shí)施統(tǒng)一的安全策略，確保運(yùn)行狀態(tài)始終可控可管，不僅能夠防范來自外部非授權(quán)人員的攻擊，同時(shí)還能有效防范內(nèi)部維護(hù)人員的越權(quán)訪問，有效達(dá)到了“防內(nèi)為主、內(nèi)外兼防”的安全目標(biāo)。

[1]師俊芳，李小將，李新明.基于TPM的安全操作系統(tǒng)的設(shè)計(jì)研究[J].裝備指揮技術(shù)學(xué)院學(xué)報(bào)，2009，20（5）：87-91.SHI Jun-fang， LI Xiao-jiang， LI Xin-ming.Study on design of security operating system based on TPM[J].Journal of the Academy of Equipment Command&Technology，2009，20（5）:87-91.

[2]卿斯?jié)h，劉文清，溫紅子.操作系統(tǒng)安全[M].北京：清華大學(xué)出版社，2004.

[3]毛韡鋒，平玲娣，姜?jiǎng)?lì)，等.安全操作系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程，2006，32（12）：179-181.MAO Wei-feng， PING Ling-di， JIANG Li， et al.Design of secure operating system[J].Computer Engineering，2006，32（12）:179-181.

[4]郝平，何恩.可信計(jì)算的安全防護(hù)機(jī)制及其在高可信網(wǎng)絡(luò)中的應(yīng)用[J].中國電子科學(xué)研究院學(xué)報(bào)，2008，3（1）：14-19.HAO Ping，HE En.Security protection mechanisms of trusted computing and its application in the highly trusted network[J].Journal of CAEIT，2008，3（1）：14-19.

[5]劉巍偉，韓臻，沈昌祥.基于終端行為的可信網(wǎng)絡(luò)連接控制方案[J].通信學(xué)報(bào)，2009，30（11）：127-134.LIU Wei-wei， HAN Zhen， SHEN Chang-Xiang.Trusted network connect control based on terminal behavior[J].Journal on Communications，2009，30（11）:127-134.

[6]陳麟，林宏剛，黃元飛.基于可信計(jì)算的惡意代碼防御機(jī)制研究[J].計(jì)算機(jī)應(yīng)用研究，2008，25（12）：3713-3715.CHEN Lin， LIN Hong-gang， HUANG Yuan-fei.Research on mechanism of resisting malicious code based on trusted computing[J].Application Research of Computers，2008，25（12）:3713-3715.