全方位"立體"防護政府門戶網站

李春麗

政府門戶網站往往通過一臺或幾臺服務器的方式為大眾提供服務，這種方式給人們帶來了很多便利，但這種開放式環境也提高了信息安全的風險性、容易造成信息丟失，給心懷叵測者可乘之機。黑客、行業間諜、瘋狂的電腦技術愛好者能通過各種方式截獲網絡傳輸數據、入侵數據庫，對信息安全造成嚴重的威脅。因此，如何全方位地保護信息安全成為信息化建設的關鍵一環。

安全防護要“滴水不漏”

服務器安全是一個綜合系統問題，涉及網絡系統、主機系統兩個層次。網絡系統的模型是一個分層次的拓撲結構，通常采用五層模型，即物理層、數據鏈路層、網絡層、傳輸層、應用層。主機系統又可以再分為兩個層次：操作系統、應用服務。因此，服務器的安全防護需采用分層次的拓撲防護措施，即一臺服務器安全解決方案應該覆蓋網絡與主機的各個層次，并且與安全管理相結合。

該安全解決方案具體從網絡和系統兩個方面采取措施進行防護。對于網站服務器群來說，一個完整立體的病毒防護機制是十分必要的。安全防護網絡中病毒的防護是建立在單位整體防病毒體系之上，對從Internet入口到所有計算機設備和網絡內的服務器都要采取全方位病毒防護，而且需要在網絡中心設置政務網安全管理平臺。這樣可以使反病毒工作按照不同部門或地域的實際情況，分組設置反病毒管理工作。支撐性基礎設施的建設采取的技術安全措施主要有：控制訪問、過濾內容、鑒別身份、管理授權、審計追蹤、數據加密、入侵分析、容災備份、安全加固等方面。

層層遞進，構建立體安全

網站管理本著“安全策略、安全管理和安全技術并重”的原則，針對各個應用的具體特點，采取適當的安全防護策略，正確地選擇網絡安全產品。建立一套嚴密的安全體系解決方案，具體包括安全策略、安全管理制度和流程、安全技術措施、業務安全措施、內部安全監控和安全審計等方面，從而實現政府網站的全面安全防護。該體系架構通過安全管理平臺將安全技術和管理相融合，并與網絡管理平臺相互聯動，通過統一管理界面對網絡安全系統的風險進行可視化管理，同時依托安全服務業務確保該體系的持續改進。

網絡的“立體安全”防護

網絡安全防護主要包括網絡訪問控制、可疑網絡活動的檢測、網絡入侵防御等措施。目前網絡的安全防護主要通過硬件防火墻。防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。它可以實現用戶信息的訪問控制和安全防范、實現對網絡不同安全區域的隔離，達到可控訪問的目的。例如，入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進行內外網之間的通訊，防止了內部資源或數據的外泄。雖然防火墻只能提供被動的、靜態的保護，所提供的安全級別較低，但與網絡入侵檢測系統（NIDS）、主機入侵檢測系統（HIDS）、數據安全、機群安全管理4個層面互相配合，可全面提升計算機群的安全等級。

網絡入侵檢測系統（NIDS）能監視網絡流量，通過偵聽特定網段的數據包，實現對該網段實時監視，以便發現可疑連接和非法訪問的闖入等防范網絡層至應用層的各種惡意攻擊和誤操作。網絡入侵檢測系統通過與防火墻聯動，對網絡數據包的過濾和訪問控制，將訪問限制在網絡被允許的主機（IP地址）和應用服務（端口），從而極大地縮小所需管理的安全范圍。

因此，專用防火墻、網絡入侵檢測系統（NIDS）和主機入侵檢測系統（HIDS）、VPN（虛擬專用網絡）功能、機群綜合管理的全方位“立體安全”解決方案，將為局域網或局域網中的特定區域提供多方面的保護。

主機的“立體安全”防護

網站主機系統防護主要是通過服務器操作系統的安全設置，及借助第三方安全硬件或者軟件來對主機進行防護。一般來說，主要有禁用主機上沒用的服務端口、設置殺毒軟件、軟件版本的應用防火墻、防篡改系統、配置主機入侵檢測系統、配置安全審計系統等手段來實現抵御外部產生的威脅。

配置主機入侵檢測系統（HIDS）。假設網絡中的某臺主機受到了攻擊并成為攻擊的中轉站，入侵者通過對被攻破的主機系統進行修改，掩藏自己并對網絡中其它主機發動攻擊。這些行為是網絡入侵檢測系統無法解決的，這時就需要完善主機防護系統。主機入侵檢測系統（HIDS）能防范對主機系統文件的惡意纂改和誤操作，實時監視可疑連接、系統日志定期檢查，用戶行為掃描，發現非法訪問闖入等。因此主機入侵檢測系統可更好地彌補網絡入侵檢測系統的盲區，二者形成互補，繞過防火墻的攻擊行為進行防御和細粒度的檢測，實現從網絡到主機的全面防護。

配置安全審計系統，能夠對網絡中發生的所有事件進行忠實地記錄和取證，即使黑客在主機上抹去了入侵的紀錄，安全審計系統也可以提供詳細的入侵過程紀錄。

數據的“立體安全”防護

服務器大多數都是用于日常工作或重要數據處理，因此其原始資料、計算結果等都屬于安全敏感數據，可以說服務器中所存儲的數據價值遠遠超過了它本身的價值。因此，這些數據的安全存儲和安全備份顯得格外重要，基于Cluster機群技術的雙機備份解決方案，主要用于對雙服務器實行監控的容錯軟件和作為數據存儲設備的系列磁盤陣列柜，通過軟硬件兩部分的緊密配合，為數據安全提供雙重的保護。

敏感數據在局域網、互聯網中傳輸時極易被竊取、篡改，因此需要利用防火墻的虛擬專用網絡（VPN-Virtual Private Network）解決數據傳輸中的安全問題。VPN是指在公眾網絡上所建立的企業網絡，此網絡擁有與專用網絡相同的安全、管理等功能，能實現互聯網用戶和局域網用戶、服務器接口之間的安全通訊。它替代傳統的撥號訪問，利用Internet公網資源作為企業專網的延續，通過加密、認證、數字簽名等保證數據的安全性、完整性。VPN在立體安全中的應用為關鍵數據的傳輸建起了一個高安全的專用數據傳輸通道，成為立體安全極為重要的一部分。

建立統一安全監控平臺

安全監控平臺包括安全管理和網絡管理兩大平臺。其中，安全管理平臺的管理對象主要是網絡安全系統與設備，比如防火墻、入侵檢測、病毒防護系統、終端安全管理、漏洞掃描系統等；網絡管理平臺的管理對象主要包括路由器、服務器以及網絡交換機等。安全管理平臺能夠收集來自于網絡管理平臺的設備狀態等信息，之后通過統一的管理界面進行展現。

引入第三方安全廠商的服務

安全體系建設的根本目標是為了保障信息應用的業務系統的持續可靠運行，服務支持體系的建設對系統穩健運行有重要支持作用。

通過引進第三方安全廠商的服務支持體系，比如網站的全天候訪問監控，頁面監控服務等，可以發揮安全產品的功能最大化及不斷提升信息安全保障水平。

整體來看，網站安全應該將安全保障與自身特點進行深度融合，等同于公式：管理+技術+服務=縱深立體防護。安全管理、安全技術、服務支持三劍合璧相互聯動、相得益彰，可以進一步增強政府網站主動防御及持續服務能力，為網上信息公開服務提供有效保障。

（作者單位： 江西省信息中心）