基于下一代防火墻的網(wǎng)上技術(shù)交易市場網(wǎng)絡(luò)安全防護(hù)方案研究

葛鵬　韓傳武

摘要：文章首先對網(wǎng)上技術(shù)交易市場進(jìn)行了簡單的介紹，然后分析了網(wǎng)上技術(shù)交易市場在線業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅，并設(shè)計了一種基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)方案。

關(guān)鍵詞：下一代防火墻；網(wǎng)上技術(shù)交易市場；網(wǎng)絡(luò)安全

1 網(wǎng)上技術(shù)交易市場簡介

網(wǎng)上技術(shù)交易市場是傳統(tǒng)技術(shù)市場在現(xiàn)代網(wǎng)絡(luò)經(jīng)濟(jì)和網(wǎng)絡(luò)技術(shù)飛速發(fā)展的背景下出現(xiàn)的一種新的發(fā)展趨勢，有著傳統(tǒng)技術(shù)市場不可比擬的優(yōu)勢。它不僅能加快、改善技術(shù)交易的流程，縮短技術(shù)轉(zhuǎn)移周期，而且能為技術(shù)交易提供更為便利的增值服務(wù)，從而大大提高技術(shù)交易的效率。

徐州市也開展了網(wǎng)上技術(shù)交易市場的建設(shè)，以提供科技成果轉(zhuǎn)化過程中的各類信息為主要服務(wù)內(nèi)容，為高等院校、科研院所、企業(yè)、各類中介服務(wù)機(jī)構(gòu)以及相關(guān)管理部門等創(chuàng)新主體提供全方位、全公益性的信息服務(wù)。網(wǎng)上技術(shù)交易市場的基本運(yùn)行機(jī)制為會員制，包括2類會員：一類是供給類會員，是擁有技術(shù)研發(fā)能力和技術(shù)成果并愿意在網(wǎng)上技術(shù)交易市場發(fā)布和交易的單位，主要包括高等院校、科研院所等。另一類是需求類會員，是指對技術(shù)成果有需求的從事生產(chǎn)活動的單位，主要是企業(yè)。

網(wǎng)上技術(shù)交易市場定位為“科技成果轉(zhuǎn)化一站式信息服務(wù)平臺”，是建立在互聯(lián)網(wǎng)上的在線服務(wù)平臺。平臺主要包括技術(shù)成果信息發(fā)布模塊、技術(shù)需求信息發(fā)布模塊、技術(shù)合同管理模塊、技術(shù)合作洽談模塊和技術(shù)與金融對接模塊等。

在線服務(wù)平臺的信息發(fā)布功能與門戶網(wǎng)站類似，但系統(tǒng)結(jié)構(gòu)與業(yè)務(wù)流程卻不盡相同。一般網(wǎng)站的信息發(fā)布由網(wǎng)站工作人員來操作，業(yè)務(wù)流程簡單，工作人員通常從內(nèi)網(wǎng)登錄系統(tǒng)發(fā)布信息，對網(wǎng)絡(luò)安全性要求不高。而網(wǎng)上技術(shù)交易市場需要會員的參與，無論是供給類會員還是需求類會員，都須從外網(wǎng)訪問在線服務(wù)平臺并發(fā)布信息，這就對系統(tǒng)的安全性提出了更高的要求。平臺系統(tǒng)本身從安全方面考慮，采用了基于角色的權(quán)限管理，針對供給方會員用戶、需求方會員用戶、工作人員用戶以及管理員用戶不同的業(yè)務(wù)需求，將用戶定義為不同的角色，通過為不同的角色賦予不同的權(quán)限，使用戶只能訪問自己被授權(quán)的資源，從而保障平臺系統(tǒng)的安全。

隨著互聯(lián)網(wǎng)的發(fā)展，來自網(wǎng)絡(luò)的安全威脅越來越嚴(yán)重，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題。網(wǎng)上技術(shù)交易市場在線服務(wù)平臺在互聯(lián)網(wǎng)上對公眾開放，因此除了平臺系統(tǒng)本身的安全外，還需要考慮到網(wǎng)絡(luò)安全問題。

2 網(wǎng)上技術(shù)交易市場面臨的主要網(wǎng)絡(luò)威脅

以往的網(wǎng)絡(luò)攻擊方式有ARP欺騙、路由欺騙、拒絕服務(wù)式攻擊、洪水攻擊、會話劫持、DNS欺騙等，這些攻擊大多位于網(wǎng)絡(luò)底層，而現(xiàn)在越來越多的攻擊發(fā)生在應(yīng)用層，針對應(yīng)用層的攻擊已經(jīng)成為現(xiàn)階段網(wǎng)絡(luò)安全最大的威脅。其中，Web應(yīng)用安全問題、APT攻擊以及敏感信息的泄漏是業(yè)務(wù)系統(tǒng)面臨的主要威脅。

2.1 Web應(yīng)用安全問題

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，大量Web應(yīng)用快速上線，包括網(wǎng)上技術(shù)交易市場在內(nèi)的大多數(shù)在線業(yè)務(wù)系統(tǒng)都是基于Web的應(yīng)用，web業(yè)務(wù)成為當(dāng)前互聯(lián)網(wǎng)應(yīng)用最為廣泛的業(yè)務(wù)。大多數(shù)Web系統(tǒng)都十分脆弱，易受攻擊。根據(jù)著名咨詢機(jī)構(gòu)Gartner的調(diào)查，安全攻擊有75%都是發(fā)生在Web應(yīng)用層。而且針對Web的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。

Web業(yè)務(wù)系統(tǒng)面臨的安全問題主要有幾個方面：一是系統(tǒng)開發(fā)時遺留的問題，由于Web應(yīng)用程序的編寫人員在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等；二是系統(tǒng)底層漏洞問題，Web系統(tǒng)包括底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS，Apache），這些系統(tǒng)本身存在諸多的安全漏洞，這些漏洞可以給入侵者可乘之機(jī)；三是網(wǎng)絡(luò)運(yùn)維管理中的問題，業(yè)務(wù)系統(tǒng)中在管理方面存在許多安全隱患，如弱口令、內(nèi)網(wǎng)安全缺陷等，導(dǎo)致被黑客利用對網(wǎng)站進(jìn)行攻擊。

2.2 APT攻擊

APT攻擊，即高級持續(xù)性威脅（Advanced PersistentThreat，APT）攻擊，是近幾年來出現(xiàn)的一種利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性的網(wǎng)絡(luò)攻擊，具有難檢測、持續(xù)時間長和攻擊目標(biāo)明確等特點。APT在發(fā)動攻擊之前對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集，這種行為往往經(jīng)過長期的策劃，具備高度的隱蔽性。在收集的過程中，會主動挖掘信息系統(tǒng)和應(yīng)用程序的漏洞，并針對特定對象有計劃性和組織性地竊取數(shù)據(jù)。

APT攻擊的過程通常包括的步驟是：首先，攻擊者通過各種途徑收集用戶相關(guān)信息，包括從外部掃描了解信息以及從內(nèi)部利用社會工程學(xué)了解相關(guān)用戶信息；其次，攻擊者通過包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標(biāo)系統(tǒng)，采用低烈度的攻擊模式避免目標(biāo)發(fā)現(xiàn)以及防御；再次，攻擊者通過突破內(nèi)部某一臺服務(wù)器或終端電腦滲透進(jìn)內(nèi)部網(wǎng)絡(luò)，進(jìn)而對目標(biāo)全網(wǎng)造成危害；最后，攻擊者逐步了解全網(wǎng)結(jié)構(gòu)及獲取更高權(quán)限后鎖定目標(biāo)資產(chǎn)，進(jìn)而開始對數(shù)據(jù)進(jìn)行竊取或者造成其他重大侵害。

2.3 數(shù)據(jù)泄漏問題

近幾年，數(shù)據(jù)泄漏事件愈來愈頻繁的發(fā)生，公民信息數(shù)據(jù)在網(wǎng)上大規(guī)模泄露事件時有發(fā)生，給網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重危害，產(chǎn)生了重大的社會影響。2013年，2000萬開房信息數(shù)據(jù)被泄露下載，通過被泄露的數(shù)據(jù)庫文件，可以輕易查到個人姓名、身份證號、地址、手機(jī)、住宿時間等隱私信息。2014年，12306的用戶數(shù)據(jù)泄漏，導(dǎo)致大量用戶數(shù)據(jù)在網(wǎng)絡(luò)上傳播，涉及用戶賬號、明文密碼、身份證件、郵箱等信息。2015年，30多個省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬用戶的社保信息因此被泄露。10月，網(wǎng)易郵箱過億用戶敏感信息遭泄露，泄露信息包括用戶名、密碼、密碼密保信息等，部分郵箱所關(guān)聯(lián)的其他服務(wù)賬號也受到影響。

網(wǎng)上技術(shù)交易市場的后臺數(shù)據(jù)庫中，保存有會員的數(shù)據(jù)信息，包括企業(yè)用戶信息和個人用戶信息，如果涉及交易信息、價格信息等敏感的數(shù)據(jù)遭到泄露，可能使用戶遭受經(jīng)濟(jì)損失，甚至對社會秩序、公眾利益造成危害。

3 基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)方案設(shè)計

針對網(wǎng)上技術(shù)交易市場的安全防護(hù)，必須有效應(yīng)對這些網(wǎng)絡(luò)威脅。而且，由于網(wǎng)上技術(shù)交易市場規(guī)模不大，還需要考慮到控制成本并易于管理。

典型的網(wǎng)絡(luò)安全方案通常配置防火墻、防病毒設(shè)備、入侵檢測設(shè)備、漏洞掃描設(shè)備以及Web應(yīng)用層防火墻。這些設(shè)備功能專一，能夠防護(hù)不同類別的網(wǎng)絡(luò)攻擊，但如果不全部部署，則會在相應(yīng)的保護(hù)功能上出現(xiàn)安全短板。但全部部署又存在成本高、管理難、效率低的問題。首先是成本問題，對于中小規(guī)模的網(wǎng)絡(luò)系統(tǒng)來說，將這些設(shè)備全部配齊，價格昂貴；其次，安全設(shè)備種類繁多也增加了管理上的成本，網(wǎng)管人員需要在每臺設(shè)備上逐一部署安全策略、安全防護(hù)規(guī)則等，讓不同類型的設(shè)備能夠協(xié)同工作，勢必會在日常運(yùn)維中耗費(fèi)大量的時間和精力；在防護(hù)效果方面，各種設(shè)備之間無法對安全信息進(jìn)行統(tǒng)一分杯不能達(dá)到良好的整體防護(hù)效果。

因此，針對網(wǎng)上技術(shù)交易市場的實際應(yīng)用需求，設(shè)計了一種基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)的方案。

下一代防火墻是一種可以全面應(yīng)對應(yīng)用層威脅的高性能防火墻，通過分析網(wǎng)絡(luò)流量中的使用者、應(yīng)用和內(nèi)容，能夠為用戶提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。下一代防火墻具有應(yīng)用層洞察與控制、威脅防護(hù)、應(yīng)用層數(shù)據(jù)防泄漏、全網(wǎng)設(shè)備集中管理等功能特性，這些功能能夠有效地、有針對性地應(yīng)對網(wǎng)上技術(shù)交易市場業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅。

在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計方面，將下一代防火墻部署在網(wǎng)絡(luò)邊界、服務(wù)器交換機(jī)的前端，實現(xiàn)業(yè)務(wù)系統(tǒng)所在服務(wù)器與互聯(lián)網(wǎng)的邏輯隔離，從攻擊源頭上防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面對網(wǎng)上技術(shù)市場業(yè)務(wù)系統(tǒng)的安全威脅（見圖1）。

在解決Web應(yīng)用安全的問題上，下一代防火墻能夠提供全方位、高性能、深層次的應(yīng)用安全防護(hù)。下一代防火墻采用高度集成的一體化智能過濾引擎技術(shù)，能夠在一次數(shù)據(jù)拆包過程中，對數(shù)據(jù)進(jìn)行并行深度檢測，完成2～7層的安全處理。同時，下一代防火墻內(nèi)置有高精度應(yīng)用識別引擎，可以采用多種識別方式進(jìn)行細(xì)粒度、深層次的應(yīng)用和協(xié)議識別，具有極高的應(yīng)用協(xié)議識別率與精確度，對于主流應(yīng)用、加密業(yè)務(wù)應(yīng)用、移動應(yīng)用、企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用都可以實現(xiàn)全方位識別。

在應(yīng)對APT攻擊方面，下一代防火墻的安全監(jiān)測引擎和威脅檢測特征庫，對基于已知漏洞、惡意代碼發(fā)起的APT攻擊能進(jìn)行有效的防護(hù)。在針對零日漏洞和未知惡意代碼的威脅時，下一代防火墻通過沙箱技術(shù)構(gòu)建虛擬運(yùn)行環(huán)境，隔離運(yùn)行未知或可疑代碼，分析威脅相關(guān)信息，識別各種未知的惡意代碼，并自動生成阻斷規(guī)則，實時、主動地防范APT攻擊。

下一代防火墻實現(xiàn)數(shù)據(jù)防泄漏主要是利用應(yīng)用識別技術(shù)和文件過濾技術(shù)。高精度應(yīng)用識別引擎能夠?qū)哂袛?shù)據(jù)傳輸能力的應(yīng)用進(jìn)行數(shù)據(jù)掃描，文件過濾技術(shù)可以基于文件特征進(jìn)行掃描，敏感信息檢測功能可以自定義“身份證號碼”“銀行卡號”“密碼”等多種內(nèi)容并進(jìn)行監(jiān)測，通過這些技術(shù)的綜合運(yùn)用，可以有效地識別、報警并阻斷敏感信息被非法泄漏。

4 結(jié)語

下一代防火墻用一臺設(shè)備替代了傳統(tǒng)的防火墻、防病毒設(shè)備、入侵檢測設(shè)備、Web應(yīng)用層防火墻等多臺設(shè)備，但又不是簡單地把現(xiàn)有的安全設(shè)備整合在一起，而是實現(xiàn)了防護(hù)功能與安全策略的智能聯(lián)動。與配置傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的方案相比，降低了設(shè)備購置成本，簡化了設(shè)備運(yùn)維管理難度，并能夠有效地應(yīng)對業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅，適合網(wǎng)上技術(shù)交易市場使用。