基于上海交通車管業務淺談多網絡多業務系統的網絡安全措施

【摘要】上海交通車管業務經過這幾年的努力，已逐步打造出一個較為完整的信息化平臺，該信息化平臺包括了多類型的網絡和多類型的業務系統；因此對于上海交通車管信息安全防范工作除了各個網絡的安全，還包括各個網絡的系統的信息交互的安全。本文就該信息化平臺采用的幾項網絡安全防范措施作簡要的介紹以供探討。

【關鍵詞】信息化網絡安全管理

上海市公安局交通警察總隊作為這樣的一個承擔著服務、管理、監管等一系列職能的部門在推動機動車和駕駛證業務管理創新上面臨著巨大的挑戰。正式在這樣的氛圍中，上海市公安局交通警察總隊在2009年下半年起調整業務管理模式將部分業務項目由公安網業務系統延伸至其它網絡的外圍業務管理系統，逐步向社會其它管理部門開放各項業務管理和業務監管，包括在互聯網上向普通辦事群眾開放業務辦理。經這幾年的努力，已逐步打造出一個較為完整的信息化平臺，該信息化平臺包括了多類型的網絡和多類型的業務系統，因此對于上海交通車管信息安全防范工作除了各個網絡的安全，還包括各個網絡的系統的信息交互的安全。

一、網絡存在的安全威脅分析

1、網絡威脅的種類

目前，網絡上的威脅多種多樣，屢禁不止，且難以清除；網絡上的威脅具有傳播廣和傳播快的特性。從威脅的來源可以分為這四類：漏洞利用、Web應用、病毒、終端內容。

2、網絡威脅的分析

（1）漏洞利用類威脅：各種通過操作系統、應用系統、協議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS攻擊、緩沖區溢出攻擊、協議異常攻擊、藍屏攻擊、權限提取等。

（2）Web應用類威脅：專門針對Web應用面臨的各種最新的威脅提供額外的安全防護，包括SQL注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應用信息探測、非法上傳威脅文件等，從根源上解決了Web系統被入侵、數據被篡改的可能性。

（3）病毒類威脅：除了傳統的HTTP、FTP、SMTP、POP3等協議，還可以針對商務應用（文件共享等）傳輸的文件進行精確的木馬、病毒、蠕蟲查殺。

（4）終端內容威脅：為了避免終端訪問Web應用內容而被竊取隱私等信息或被用作肉雞，需要有效過濾惡意網站、惡意文件、惡意控件、惡意腳本等內容威脅的訪問。

二、網絡安全的主要內容

網絡安全包括網絡系統的安全和網絡上的信息安全。網絡系統的安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷；凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性.那么信息安全怎么理解呢，信息安全是整體的、發展的、非傳統的安全。

三、網絡安全新技術的發展

1、硬件方面：新一代7層防火墻是目前較為成熟且使用較為廣泛的硬件產品。

實現內核級聯動，是一個“2-7層完整的安全防護產品”。這也是Gartner定義的”額外的防火墻智能”實現的前提，做到真正的內核級聯動，才能為用戶的業務系統提供一個安全防護的“銅墻鐵壁”。

2、安全策略：盡管計算機網絡信息安全受到威脅，但是采取恰當的防護措施也能有效的保護網絡信息的安全。以下幾種方法基本可以確保在策略上保護網絡信息的安全：

（1）隱藏IP地址、關閉不必要的端口。入侵者經常利用一些網絡探測技術來查看我們的主機信息，主要目的就是得到網絡中主機的IP地址和端口。IP地址在網絡安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發動各種進攻，如DoS（拒絕服務）攻擊、Floop溢出攻擊等。將業務應用服務器和數據庫服務器部署在防火墻和應用負載均衡后面，可以有效的將真實的服務器IP地址和端口隱藏起來，不被入侵者查獲。

（2）帳戶管理。Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，后果不堪設想。入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Administrator帳戶設置一個強大復雜的密碼，然后我們重命名Administrator帳戶，再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性。

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！禁用或徹底刪除Guest帳戶是最好的辦法，做好IE的安全設置。

3、及時給系統打補丁：應及時更新操作系統對應的補丁程序，不斷推出的系統補丁程序盡管讓人厭煩，但卻是我們系統安全的基礎。

四、多網絡多業務系統安全的技術應對措施

上海交通車管的多網絡多業務系統的信息化平臺實際上是一個整體應用平臺，采用怎樣的防范措施才能避免網絡威脅進攻，保護系統運行的整體安全，成了我們管理者需要考慮的首要問題。整體的應用需要整體布局，軟件和硬件都要有所考慮，要做到全面覆蓋業務應用系統的各個層次，針對網絡、業務應用、數據、系統等做全面的防范。

1、增加必要的硬件投入

目前，新一代防火墻獨創的應用可視化引擎，可以根據應用的行為和特征實現對應用的識別和控制，而不僅僅依賴于端口或協議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數據流也能應付自如。新一代防火墻的應用可視化引擎不但可以識別724多種的應用及其應用動作，還可以與多種認證系統（AD、LDAP、Radius等）、應用系統（POP3、SMTP等）無縫對接，自動識別出網絡當中IP地址對應的用戶信息，并建立組織的用戶分組結構；既滿足了普通互聯網邊界行為管控的要求，同時還可以滿足各局域網數據。

（1）多核并行處理架構：現在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現在還有128核的CPU了。這樣來看，如果1個核能夠做到1個G，那么16個核不就能夠超過10個G了嗎？但是通常設備性能并不能夠根據核的增加而迅速增加。因為雖然各個核物理上是獨立的，但是有很多資源是共享的，包括CPU的Cache，內存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。

（2）單次解析引擎：要進行應用層威脅過濾，就必須將數據報文重組才能檢測，而報文重組、特征檢測都會極大地消耗內存和CPU，因而UTM的多引擎，多次解析架構工作效率低下。因此，新一代防火墻所采用的單次解析引擎通過統一威脅特征、統一匹配引擎，針對每個數據包做到了只有一次報文重組和特征匹配，消除了重復性工作對內存和資源的占用，從而系統的工作效率提高了70%-80%。但這種技術的一個關鍵要素就是要統一特征庫，這項技術的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、Web入侵、惡意代碼等威脅進行統一描述。

2、科學合理的配置軟件和硬件策略

（1）劃分網絡安全域

我們認為首先從網絡管理做起，將整個信息化所涉及的業務系統劃分為四個網絡安全域：數據中心安全域、廣域網邊界安全域、互聯網接入安全域、內網辦公安全域。

①數據中心安全域：包括各種應用系統和服務器，由于是整個衍生業務系統的核心，安全級別最高；②廣域網邊界安全域：各個下屬分支機構（如二手車市場、檢測線、4S店上牌點、駕駛員考試點等）通過專網接入企業專網，訪問各種衍生業務應用系統，主要包括專網的核心路由器、分支路由器等；③互聯網接入安全域：由于內部終端、對外發布業務系統（如網上查詢系統）都需要與互聯網相連，訪問互聯網資源或者對外提供業務。此區域安全風險最高，需要重點隔離與控制；④公安網辦公安全域：包括總部公安網的業務終端，為不同的業務部門和服務器等提供高速、穩定的網絡接入。

（2）加強數據中心服務器保護

加強數據中心服務器的全面保護，是應用系統的信息安全的基礎，通過監控訪問、交換、數據流等措施來實現。

①面向用戶、應用的安全訪問：將訪問控制權限精確到用戶與業務系統，有效解決了傳統防火墻IP/端口的策略無法精確管理的問題。讓業務開放對象更為明了、管理更方便、策略更易懂。②可視化安全風險評估：提供服務器風險和終端風險報告以及應用流量報表，使全網的安全風險一目了然，幫助管理員分析安全狀況管理數據中心。

（3）廣域網邊界安全隔離與防護

①互聯網出口邊界防護：將網上查詢等業務系統部署在DMZ區，可以實現對內網終端和對外業務發布系統的雙重防護，權限控制和管理是主要方法。

●防止黑客入侵，獲取權限，竊取數據，保證服務器穩定運行；

②內部終端安全防護：全面防護，標本兼治，防止業務終端訪問威脅網站和應用，通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段。

五、加強系統使用者的管理可以確保技術手段的有效運用

1、建立網絡接入安全的規章制度。建立從物理安全保密策略，系統或網絡的訪問控制策略，信息的加密策略，系統及網絡的安全管理策略，人員安全管理策略，內容監管策略等一系列的規章制度；從制度上約束系統使用者的使用行為。

2、加強網絡安全知識的培訓，提供防范意識。不斷加強網絡安全的宣傳和培訓，強化使用人員和管理人員的安全防范意識。只有通過網絡管理人員、系統數據庫管理人員、業務系統維護人員與使用人員的共同努力，才可能地把不安全的因素降到最低。

六、結語

總之，信息安全防范工作是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。