試析網(wǎng)站信息安全事件監(jiān)測平臺的設(shè)計(jì)與實(shí)現(xiàn)

施德偉

摘 要：互聯(lián)網(wǎng)技術(shù)的廣泛運(yùn)用改變著社會的生產(chǎn)和發(fā)展方式，互聯(lián)網(wǎng)安全深刻影響著社會的經(jīng)濟(jì)、政治等各個方面，保障網(wǎng)站信息安全變得越來越重要，深入加強(qiáng)對網(wǎng)站信息安全的監(jiān)測和管理引起我國的高度重視，文章主要分析網(wǎng)站信息安全監(jiān)測平臺的設(shè)計(jì)和實(shí)現(xiàn)。

關(guān)鍵詞：網(wǎng)站信息；安全事件；監(jiān)測平臺

中圖分類號：TP390 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2016）15-0072-02

目前，我國在網(wǎng)站信息安全事件監(jiān)測過程中存在的問題有：現(xiàn)今有些加入平臺監(jiān)測的部門會攔截和屏蔽事件監(jiān)測與漏洞檢測爬取行為，平臺工作人員只能通知網(wǎng)絡(luò)管理人員對防護(hù)策略進(jìn)行調(diào)整，或者是把平臺地址放入白名單，因?yàn)樾枰O(jiān)測大量部門的網(wǎng)站，通知單位開放對監(jiān)測平臺的限制會消耗大量精力，所以對監(jiān)測工作的順利進(jìn)行造成了不利影響。當(dāng)前監(jiān)測平臺實(shí)現(xiàn)的經(jīng)濟(jì)效益只能承擔(dān)平臺日常的運(yùn)行、人員和維護(hù)等支出，不能夠?qū)ζ脚_的技術(shù)和擴(kuò)容進(jìn)行進(jìn)一步研究，還沒有在日常任務(wù)上開展一些安全測評、應(yīng)急支援和安全咨詢等附加服務(wù)。基于此，筆者對網(wǎng)站信息安全事件監(jiān)測平臺設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行了系統(tǒng)研究。

1 系統(tǒng)設(shè)計(jì)目標(biāo)及原則

監(jiān)測平臺在實(shí)現(xiàn)功能和性能的的基礎(chǔ)上，應(yīng)該對日常維護(hù)和升級進(jìn)行充分地考慮，因此在設(shè)計(jì)時應(yīng)遵循下面幾個原則。

1.1 可靠性

保證監(jiān)測平臺在24 h內(nèi)可以持續(xù)穩(wěn)健地運(yùn)行，并且具有容錯、恢復(fù)能力的對應(yīng)系統(tǒng)。

1.2 安全性

對監(jiān)測平臺的訪問用戶進(jìn)行控制，全面有效地對非法用戶進(jìn)行阻止，加大對訪問用戶的控制力，提高平臺信息和每項(xiàng)系統(tǒng)資源的安全水平。

1.3 易用性

監(jiān)測平臺的界面美觀大方，每個操作都可以快速直接地使用，具有快捷性和直觀性的特點(diǎn)。

1.4 可擴(kuò)展性

監(jiān)測平臺不僅可以擴(kuò)展后期軟件的功能，還可以擴(kuò)展硬件的資源，讓系統(tǒng)得到充分地利用。

1.5 先進(jìn)性

監(jiān)測平臺應(yīng)該保持技術(shù)架構(gòu)以及手段的先進(jìn)性，讓其能夠得到更好的開發(fā)和運(yùn)維。

2 系統(tǒng)技術(shù)架構(gòu)設(shè)計(jì)

2.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

選擇雙鏈路將網(wǎng)站信息安全事件監(jiān)測平臺接入互聯(lián)網(wǎng)，防止由單個運(yùn)營商出現(xiàn)的單點(diǎn)故障，并且使系統(tǒng)的時效性得到保障。多鏈路負(fù)載技術(shù)能夠讓負(fù)載均衡以及鏈路實(shí)現(xiàn)就近訪問，

放置1臺鏈路負(fù)載均衡設(shè)備于網(wǎng)絡(luò)的總出口，上聯(lián)廣域網(wǎng)2條，實(shí)現(xiàn)對ISP鏈路全路徑的動態(tài)安全檢測，選擇就進(jìn)技術(shù)與DNS技術(shù)對被檢查單位網(wǎng)站的負(fù)載均衡，保證網(wǎng)絡(luò)可以持續(xù)使用。

2.2 部署架構(gòu)設(shè)計(jì)

應(yīng)用Web管理方式讓用戶方便管理，應(yīng)用瀏覽器經(jīng)過數(shù)字證書、SSL通道和Web界面相互交叉。將平臺分成模塊進(jìn)行設(shè)計(jì)，1臺管理中心和10臺監(jiān)測引擎建立成系統(tǒng)物理架構(gòu)。

2.3 邏輯架構(gòu)設(shè)計(jì)

網(wǎng)站信息安全事件監(jiān)測平臺主要是分布式計(jì)算子平臺、數(shù)據(jù)庫和數(shù)據(jù)分析這三個部分組成。

分布式計(jì)算子平臺是技術(shù)平臺中比較重要的部分，子平臺下面是被調(diào)度中心調(diào)度的多臺引擎設(shè)備，主要是對目標(biāo)站點(diǎn)進(jìn)行頁面爬取和風(fēng)險(xiǎn)分析；數(shù)據(jù)庫里面有各種安全數(shù)據(jù)，作用是對比分析分布式計(jì)算子平臺的頁面，生成各項(xiàng)數(shù)據(jù)庫；數(shù)據(jù)分析是用來統(tǒng)計(jì)和呈現(xiàn)監(jiān)測的數(shù)據(jù)。

2.4 存儲架構(gòu)設(shè)計(jì)

把原有存儲當(dāng)做備份存儲來應(yīng)用，采用12 Tb存儲設(shè)備，通過光纖存儲、交換機(jī)和HBA卡完成對虛擬平臺的升級，光纖交換機(jī)和光纖存儲用來連接每臺服務(wù)器內(nèi)的HBA卡，配備比較高端的光纖存儲系統(tǒng)來保障數(shù)據(jù)的安全和穩(wěn)定，提高通道的速率。

平臺本身可以智能存儲系統(tǒng)的日志，考慮到需要具備大量的存儲空間來監(jiān)測1 000個網(wǎng)站，存儲的方式有：

①管控中心存儲。管控中心有1T的本地存儲容量，能夠全面記錄六個月內(nèi)被監(jiān)測的1000個網(wǎng)站的全部日志，可以忽略六個月前監(jiān)測的概括性日志所占用的容量。

②其他存儲設(shè)備。管控中心可以自動備份和清空日志，當(dāng)日志容量達(dá)到設(shè)定值時，系統(tǒng)發(fā)出警告后會在配置好的FIP服務(wù)器里面自動進(jìn)行數(shù)據(jù)的備份。

2.5 安全架構(gòu)設(shè)計(jì)

為了更有效地管理使用核心業(yè)務(wù)的人員，以及保證監(jiān)測數(shù)據(jù)的安全性，對應(yīng)地配備了平臺安全認(rèn)證系統(tǒng)。主要是維護(hù)以下方面的安全：

在數(shù)字證書基礎(chǔ)上的身份管理、管控中心內(nèi)部的雙因子身份管理和選用HTTPS系統(tǒng)加密信息。

用戶必須經(jīng)過雙向的身份認(rèn)證和接入U(xiǎn)盾才可以進(jìn)入平臺，原有的用戶登錄過程和權(quán)限管理系統(tǒng)不會發(fā)生變化。平臺系統(tǒng)安全架構(gòu)，如圖1所示。

3 系統(tǒng)實(shí)現(xiàn)

3.1 系統(tǒng)架構(gòu)運(yùn)作流程

平臺監(jiān)測到事件后發(fā)生告警的主要步驟是：

①策略配置。在用戶下發(fā)了監(jiān)控策略之后就可以對告警策略進(jìn)行配置，策略包含告警的方式和內(nèi)容，告警的方式可以設(shè)置成在告警平臺上展示和郵件通知，告警的內(nèi)容包括掛馬和存在不同程度風(fēng)險(xiǎn)的漏洞。

②監(jiān)測過程。模塊在發(fā)現(xiàn)告警事件后會及時地展示在告警平臺，會通過設(shè)置的告警方式對監(jiān)測人員進(jìn)行報(bào)告。

③告警處理。用戶在收到告警通知后可以處理告警事件，處理的狀態(tài)分成：確定、稍后處理、已處理、忽略和誤報(bào)。

3.2 系統(tǒng)測試

應(yīng)該建立涵蓋事前、事中和事后的漏洞檢測和信息安全事件監(jiān)測體系，實(shí)施對網(wǎng)站7*24 h的安全監(jiān)測，利用遠(yuǎn)程監(jiān)測及時收集和分析被監(jiān)測網(wǎng)站系統(tǒng)的全部安全信息，提高發(fā)現(xiàn)不同安全事件的及時性，其中的安全信息包括網(wǎng)站的掛馬、網(wǎng)頁中的惡意程序和網(wǎng)站中出現(xiàn)的敏感信息，同時定期地檢測網(wǎng)站中具有的WEB應(yīng)用漏洞。結(jié)合平臺的功能和性能制定出測試系統(tǒng)的方案，測試并驗(yàn)證監(jiān)測平臺中重要產(chǎn)品的參數(shù)、性能指標(biāo)和實(shí)現(xiàn)水平等，比如測試的環(huán)境，見表1。

目前社會信息技術(shù)加速發(fā)展，技術(shù)的革新和應(yīng)用不斷進(jìn)步和發(fā)展，各個單位網(wǎng)站面臨的信息安全問題變得復(fù)雜化，保持網(wǎng)站安全的運(yùn)行是我國社會信息發(fā)展重要的組成部分，網(wǎng)站信息安全事件監(jiān)測平臺可以降低我國各單位發(fā)生信息安全事件的幾率，避免信息安全事件對經(jīng)濟(jì)造成的損失，讓各單位減少在信息安全上的不必要支出，減少信息安全事件對社會產(chǎn)生的各種不利影響。

4 結(jié) 語

我國互聯(lián)網(wǎng)安全日漸復(fù)雜，大多數(shù)網(wǎng)站的管理人員還不能完全實(shí)時掌控自身網(wǎng)絡(luò)系統(tǒng)的安全，一般的單機(jī)檢測系統(tǒng)很難保證網(wǎng)絡(luò)檢測的實(shí)效性和全面性，網(wǎng)站容易受到惡意入侵，對社會經(jīng)濟(jì)會造成不利的影響。建立一個具有及時性、可靠性和持續(xù)性特點(diǎn)的網(wǎng)站信息安全事件檢測平臺，可以進(jìn)一步保障我國基礎(chǔ)信息與重要信息系統(tǒng)的安全，提高我國應(yīng)對信息突發(fā)安全事件的能力，能夠更及時有效地處理信息安全威脅事件，同時還可以幫助我國建設(shè)和管理信息安全支援隊(duì)伍，促進(jìn)我國信息安全管理制度的改革。

參考文獻(xiàn)：

[1] 孔震.網(wǎng)站信息安全事件監(jiān)測平臺設(shè)計(jì)與實(shí)現(xiàn)[D].濟(jì)南：山東大學(xué)，

2015.

[2] 王春元.公共網(wǎng)絡(luò)信息系統(tǒng)安全管理的研究[D].合肥：合肥工業(yè)大學(xué)，

2009.

[3] 陳文芳.網(wǎng)頁篡改檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].長沙：湖南大學(xué)，2015.

[4] 薛濤.網(wǎng)絡(luò)服務(wù)智能監(jiān)測平臺的研究[D].北京：北京交通大學(xué)，2008.

[5] 金鑫.網(wǎng)站監(jiān)測管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].大連：大連理工大學(xué)，2015.