站群系統的網絡安全風險分析和防御體系研究

姜 鵬 趙正利

?

站群系統的網絡安全風險分析和防御體系研究

姜 鵬1趙正利2

1.中國海洋大學 網絡與信息中心，山東 青島 266100 2.中國海洋大學 教育系，山東 青島 266100

討論了影響大型網站群系統安全運行的來自網絡的安全風險因素，在深入分析的基礎上探討多種解決方案，最終形成一套站群系統的安全運行體系。實踐表明研究成果科學有效，對大型數據中心的日常運維也有一定參考價值。

網絡信息；安全風險；站群；防御體系

引言

隨著網絡技術急速發展，各行業領域的信息化應用日益深入。大量機構利用網站群系統對外提供數據信息服務。

站群系統能夠在統一管理后臺基礎上承載多個展現形態各異的子站運行。信息門戶網站群平臺可以快速地搭建多個信息相互關聯的網站；每個站點可以擁有多套模板；在應用中確實給我們帶來了便利及實用。同時集中的部署也造成了攻擊目標的集中，而現階段來自網絡的攻擊方式出現了大量新特性，因此網站群系統面臨更多的網絡安全風險。本文首先分析了常見網絡攻擊的方式，然后針對網站群的特點探討了安全防御體系的構建過程[1]。

1 網絡安全現狀分析

（1）漏洞攻擊。利用已知漏洞進行攻擊已經成為最常見的攻擊方式。

Web安全漏洞是指一個Web系統包括服務器、應用程序等組件在設計與實現過程中存在的容易被人攻擊的安全缺陷[2]。此類攻擊可以針對操作系統、中間件、軟件系統等不同的級別。安全漏洞由于網站程序編寫標準缺失、交互信息過濾不足、第三方軟件自身漏洞等原因造成。這種攻擊方式的資料容易在網絡上獲取，造成其攻擊成本較低。

（2）拒絕服務攻擊。在拒絕服務攻擊發生時攻擊者通過集中發送大量攻擊流量來耗盡服務器和核心交換機的軟硬件資源，從而使正常用戶的請求無法被響應。

在更為棘手的情況下，攻擊者利用分布式僵尸網絡或大范圍反彈式漏洞等發送大量垃圾包來阻塞機房總出口。這種近幾年來新出現的攻擊模式給精準防御帶來了極大的困難。

（3）弱口令破解。此類攻擊對用戶名和密碼進行暴力破解，往往在數據字典的構建中融入社會工程學原理。

由于站群系統的二級管理員較多且安全水平不一，因此此類古老的攻擊方式仍然具有較高的成功率。攻擊者在獲取一個低等級權限的管理員賬號后，通常會嘗試以此為跳板入侵系統，進而逐步獲取更高權限。

2 防御體系

（1）訪問控制。對來訪用戶的IP和端口等進行控制，把內部系統和數據隔離在內網，只對外公開必要的服務端口。一般通過硬件防火墻、IPS或操作系統自帶防火墻等進行防御，也可以在邊界部署http流量緩沖服務器，只對外公開緩沖服務的端口，即加快訪問的速度又有效地屏蔽了內部網絡結構。

（2）流量過濾。安全設備對所有來自外部的流量包重組合分析，過濾其中的攻擊、掃描和病毒等流量。流量過濾是主動安全防御體系的重要組成部分，常見的Web應用防火墻、入侵防御系統、威脅智能防御系統、DDOS防御設備具有不同側重點的流量過濾功能。入侵檢測系統根據檢測方法可分為：基于知識的入侵檢測和基于行為的入侵檢測[3]。檢測設備的特征值庫和異常動作匹配算法會自動從權威源更新。根據用戶的危險程度實施不同程度的攔截策略，一般分為異常流量丟棄、暫時限流、屏蔽訪問、IP黑名單、多設備聯動處理等層次。

管理員可以通過對特征值和攔截策略進行自定義配置來獲取更優化的防護策略。其中拒絕服務攻擊在規模較小時可依靠數據中心自身的防御設備進行壓制，但在的極端情況下需要上級網絡提供商在其邊界上進行流量清洗。

（3）登錄憑證管理及權限控制。后臺登陸憑證安全分為幾個技術層次進行防護。

在創建和修改二級管理員的時候強制貫徹密碼復雜度的保護機制；在本地存儲和網絡傳輸身份數據時采用加密的方式；二級管理員和系統總管理員數據分區存儲；限定某賬號短時間內登錄最大次數上限；限定單一IP或單客戶端短時間內多賬號嘗試登陸次數；使用隨機驗證碼機制；系統總管理員組登陸需要使用短信等額外的驗證方式；詳細記錄所有賬號登陸記錄。網站群系統內做好細粒度的權限控制，對各級管理員賦予正常工作所需的最小權限。

做好信息的編輯、審核、發布、存檔的分權限規范的落實工作。

（4）漏洞分析。一般通過漏洞掃描設備和自身系統審查來發現代碼、數據庫、中間件等的漏洞，也可以聘請第三方權威安全機構進行掃描分析和模擬攻擊。

預先發現系統的漏洞可以有效減少系統后期安全的風險和投入。但漏洞的情況是隨時間而變化的，新的漏洞隨時可能被發現并公開在網絡上，因此需要日常跟蹤漏洞發布組織的安全信息，第一時間修補或采用臨時措施屏蔽新發漏洞。

（5）日志備份分析。建立完整的日志歸檔分析系統是信息系統安全建設的基礎。

通過對已有訪問記錄的分析可以及時發現潛在故障點和攻擊企圖。建立獨立的Syslog服務器進行日志數據的收集。

預設兩套自動處理機制，一套進行實時的攻擊特征篩選，可以快速地向管理員發出告警信息；另外一套定期進行大數據篩選和統計，綜合分析發現主要報錯的原因和新發攻擊的非常規訪問等。其系統構建中大致可以分為3個模塊：數據采集模塊、數據處理模塊、數據挖掘模塊[4]。

（6）防篡改機制。防篡改系統可以在信息發生改變的時候，自動判別出是否為正常操作的結果，進一步保護和報警。信息系統通常采用兩種方式來進行防篡改，一種是其本身帶有防篡改模塊，其優點在于投入的節省、部署的快捷和管理的集成。另外一種方式是采用外置的串接防篡改設備，其獨立運行且性能較高，往往在舊系統安全加固、安全要求較高或統一安全管理多系統的情況下采用。

（8）備份機制。做好數據的備份工作，同時還要采取密碼保護的方式對重要數據文件進行加密處理，這樣即使數據丟失也不會造成信息的泄露[5]。日常備份通常采用全備份和增量備份相結合的方式在獨立硬件上存儲數據。

3 結語

現階段，網絡信息安全技術不斷發展，在建立好高安全等級的網站群系統防御體系后也要時刻關注新的攻擊技術變化趨勢，不斷調整和增加自己的安全措施。同時利用大數據分析技術綜合分析流量過濾前記錄、網站訪問日志、域名解析日志等數據，盡量在入侵的初始階段就發現異常行為并阻斷。

[1]程羅德，孫濤，邢旭峰，等.高校信息門戶網站群建設管理應用問題研究及對策[J].電腦知識與技術，2013（26）：6034-6037.

[2]孫也.Web服務器安全防護技術分析與探討[J].科技傳播，2015，7（18）.

[3]楊文茵，馬莉，周靈，等.基于蜜罐與入侵檢測技術的安全云架構方案[J].佛山科學技術學院學報：自然科學版，2015（6）：64-69.

[4]董震江.關于計算機數據庫入侵檢測的探索[J].山東工業技術，2015（24）：129-129.

[5]高博.關于計算機網絡服務器的入侵與防御技術的探討[J].電子技術與軟件工程，2015（8）：226-227.

Research on Network Security Risk and Defense System of Website Group

JIANG Peng1ZHAO Zhengli2

1.Ocean University of China ,NIC ,Shandong Qingdao 266100 2.Ocean University of China ,Department of Education ,Shandong Qingdao 266100

This paper discusses common factors of network security risk for the safe operation of large website group, and studies solutions on the basis of the in-depth analysis, finally formed a set of safety operation system of website group. Practice has proved that the research results of this paper are valid, and it provides a scientific reference for the operation and maintenance of large data center.

network information; security risk; website group; defense system

TP315

A

1009-6434（2016）08-0119-02