某網(wǎng)絡(luò)系統(tǒng)中互聯(lián)網(wǎng)服務(wù)區(qū)的安全防護(hù)

文/徐昕 羅少康

某網(wǎng)絡(luò)系統(tǒng)中互聯(lián)網(wǎng)服務(wù)區(qū)的安全防護(hù)

文/徐昕1羅少康2

為了滿足某單位網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)對于互聯(lián)網(wǎng)服務(wù)區(qū)中安全防護(hù)的需要，在充分了解此單位所涉及網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全、信息系統(tǒng)及信息安全現(xiàn)狀的前提下，并進(jìn)行完風(fēng)險評估后，通過建立信息安全管理體系，提高互聯(lián)網(wǎng)服務(wù)區(qū)中信息系統(tǒng)整體安全防護(hù)的水平，防止不安全事件的發(fā)生，最大限度降低安全問題所帶來的損失，降低信息安全管理成本。具體通過安全保障體系框架的建設(shè)保證結(jié)構(gòu)安全，通過安全設(shè)備的部署降低網(wǎng)站安全風(fēng)險事件的發(fā)生，為承載其互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)的互聯(lián)網(wǎng)服務(wù)區(qū)，提供安全、穩(wěn)定、高效的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，并輔以有效的網(wǎng)絡(luò)管理手段，也可提升其它業(yè)務(wù)應(yīng)用的服務(wù)水平及質(zhì)量。

網(wǎng)絡(luò)安全 區(qū)域網(wǎng)絡(luò)防護(hù)

某單位是在整合歸并時由于客觀條件限制，并未對整個網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行相應(yīng)的整合，只是簡單的互聯(lián)。但是由于原本網(wǎng)絡(luò)系統(tǒng)建設(shè)時間早、業(yè)務(wù)應(yīng)用復(fù)雜、外聯(lián)網(wǎng)絡(luò)較多。許多業(yè)務(wù)都是隨著信息化的發(fā)展而后增加的，這樣就造成缺乏統(tǒng)一的全局規(guī)劃。導(dǎo)致在信息安全方面，雖然某單位網(wǎng)絡(luò)系統(tǒng)早已引入了區(qū)域管理的概念，配備了必要的安全設(shè)備，在信息安全工作上也取得了一定的成效，但區(qū)域劃分相對簡單粗獷，防護(hù)則側(cè)重于重要信息安全系統(tǒng)，具有片面性。由于系統(tǒng)建設(shè)時間早，設(shè)備老化比較嚴(yán)重。為了滿足業(yè)務(wù)需要，部分設(shè)備跨區(qū)域使用，存在安全隱患。

在充分了解某單位所涉及信息系統(tǒng)及信息安全現(xiàn)狀的前提下，在進(jìn)行完差距分析及風(fēng)險評估后，根據(jù)《GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》的要求，對信息安全等級保護(hù)要求進(jìn)行整改方案的設(shè)計，以適應(yīng)將來等級保護(hù)的要求，落實國家及行業(yè)的信息安全等級保護(hù)政策、標(biāo)準(zhǔn)，提升信息系統(tǒng)的安全防御能力，增強系統(tǒng)管理人員的安全意識，提升某單位在信息系統(tǒng)安全管理、維護(hù)的層次，保證核心信息業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的安全穩(wěn)定運行。在技術(shù)建設(shè)上，確立自身信息安全符合等級保護(hù)策略及安全管理基線，通過采取對IT運維人員的安全認(rèn)證與控制審計措施，實現(xiàn)對其全訪問的控制及操作行為的記錄審計；建立起信息安全管理體系，提高信息系統(tǒng)整體安全防護(hù)的水平，預(yù)防安全事件發(fā)生，最大限度降低安全問題所帶來的損失，降低信息安全管理成本。具體技術(shù)方面目標(biāo)如下：

1 政策與標(biāo)準(zhǔn)合規(guī)性保障

信息系統(tǒng)安全保障體系（等級保護(hù)二級）的建設(shè)過程及其成果完全依據(jù)核心業(yè)務(wù)信息系統(tǒng)特點、國家政策標(biāo)準(zhǔn)重要指導(dǎo)；確保建設(shè)完畢后符合公安測評單位檢查要求。

2 構(gòu)建適度安全保障體系

確保某單位信息系統(tǒng)在存儲、傳輸和使用過程中安全，確保核心業(yè)務(wù)系統(tǒng)持續(xù)、穩(wěn)定的運行，確保重要業(yè)務(wù)操作行為可審計，抵御惡意攻擊、惡意代碼、病毒等對信息系統(tǒng)攻擊與破壞，防止對信息系統(tǒng)資源的非法、非授權(quán)訪問。

3 提升安全風(fēng)險的控制和評價能力，以及監(jiān)管效率

提升系統(tǒng)事前--＞事中--＞事后的綜合防護(hù)能力和風(fēng)險處置效率；明確包含針對突發(fā)事件及敏感時期信息的安全反應(yīng)和自評估能力；擴展等級保護(hù)標(biāo)準(zhǔn)對于行業(yè)適用程度和附加收益。

基于上述研究目標(biāo)，我們需要從以下幾個方面對網(wǎng)絡(luò)安全完善工作進(jìn)行研究：

3.1 建設(shè)安全保障體系框架

安全保障體系框架根據(jù)等級保護(hù)二級基本要求，參照國內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合某單位已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實際情況，最終形成依托于安全保護(hù)對象為基礎(chǔ)，縱向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心的“三個體系，一個中心，三重防護(hù)”的安全保障體系框架。

3.1.1 “三個體系”

信息安全管理體系、信息安全技術(shù)體系和信息安全運行服務(wù)體系，把等級保護(hù)基本要求的控制點結(jié)合某單位實際情況形成相適應(yīng)的體系結(jié)構(gòu)框架；

3.1.2 “一個中心”

信息安全管理中心，實現(xiàn)安全的統(tǒng)一監(jiān)控、分析及處理；

3.1.3 “三重防護(hù)”

安全計算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施和安全網(wǎng)絡(luò)通信防護(hù)措施，把安全技術(shù)控制措施與安全保護(hù)對象相結(jié)合。

3.2 保證結(jié)構(gòu)安全

為了保障某單位網(wǎng)絡(luò)安全防護(hù)，同時實現(xiàn)某單位信息系統(tǒng)的等級化劃分與保護(hù)，需要依據(jù)等級保護(hù)二級的相關(guān)原則規(guī)劃與區(qū)分不同安全保障對象，并根據(jù)保障對象設(shè)定不同業(yè)務(wù)功能及安全級別的安全區(qū)域，以根據(jù)各區(qū)域的重要性進(jìn)行分級的安全管理。

某單位信息系統(tǒng)需根據(jù)各項業(yè)務(wù)的性質(zhì)和特點，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級。信息系統(tǒng)是進(jìn)行等級保護(hù)管理的最終對象，為體現(xiàn)重點保護(hù)重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護(hù)原則。

3.3 互聯(lián)網(wǎng)服務(wù)區(qū)防護(hù)

某單位對外提供服務(wù)的門戶網(wǎng)站，對外鏈接是通過電信接入Internet，內(nèi)部有網(wǎng)站應(yīng)用服務(wù)器等，對內(nèi)與區(qū)域匯聚交換機鏈接。

3.3.1 網(wǎng)站安全風(fēng)險

網(wǎng)站系統(tǒng)IP地址暴露在Internet能夠直接被外部用戶訪問，不能有效對網(wǎng)站服務(wù)器進(jìn)行屏蔽；外網(wǎng)IP地址資源緊張，如果所有對外提供服務(wù)的服務(wù)器均采用外網(wǎng)IP將極大提高網(wǎng)站運行費用；

目前針對于網(wǎng)站系統(tǒng)的掛馬攻擊、SQL注入攻擊、XSS跨站點腳本攻擊、DDOS分布式拒絕攻擊，在這些類型的攻擊下輕則網(wǎng)站服務(wù)癱瘓、頁面被篡改，重則某單位網(wǎng)站數(shù)據(jù)被竊取；同時攻擊者可以通過網(wǎng)站系統(tǒng)直接威脅某單位內(nèi)部業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)；

服務(wù)器操作系統(tǒng)未及時修補系統(tǒng)漏洞不定導(dǎo)致的病毒感染、服務(wù)中斷的風(fēng)險；

因網(wǎng)站訪問量增加導(dǎo)致的網(wǎng)絡(luò)訪問速度下降，因Web服務(wù)器組宕機導(dǎo)致的對外服務(wù)提供的中斷。

3.3.2 網(wǎng)站安全防護(hù)

網(wǎng)站安全防護(hù)部署圖如圖1所示。

圖1

3.3.2.1 部署防火墻

該防火墻主的作用是將內(nèi)部對外提供服務(wù)的IP地址發(fā)布到Internet上，使Internet用戶能夠訪問內(nèi)部網(wǎng)絡(luò)資源；通過防火墻地址轉(zhuǎn)換功能同時也能解決公網(wǎng)IP地址不足的問題；同時通過防火墻策略配置能夠達(dá)到在邏輯上屏蔽外網(wǎng)地址對DMZ區(qū)其他服務(wù)器的非法訪問。

3.3.2.2 部署入侵防御

通過雖網(wǎng)絡(luò)數(shù)據(jù)包的分析和含正則表達(dá)式入侵特征庫的匹配能夠準(zhǔn)確的檢測來自于合法IP、端口已知的入侵行為，并能夠?qū)崟r阻斷攻擊；統(tǒng)過對入侵行為分析檢測出未知的各種攻擊形式，實時阻斷黑客攻擊；探測出已知和未知的蠕蟲、病毒及惡意代碼，準(zhǔn)確定位傳染源，并能夠阻斷蠕蟲通過網(wǎng)絡(luò)進(jìn)行傳播。

3.3.2.3 部署Web應(yīng)用防火墻

通過使用Web服務(wù)器的網(wǎng)頁防篡改功能，能夠及時發(fā)現(xiàn)并恢復(fù)被篡改的網(wǎng)頁從而能夠很好保護(hù)某單位對外宣傳形象；通過對Web應(yīng)用數(shù)據(jù)進(jìn)行實時智能壓縮，改善終端用戶性能，降低帶寬消耗。WebCache?引擎對靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著減少服務(wù)器負(fù)載。雙向TCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲，提高用戶訪問體驗、降低電信寬帶租用費；抗拒絕服務(wù)攻擊（DOS）算法，可防御各類拒絕服務(wù)攻擊，如SYN Flood，UDP Flood，ICMP Flood等的攻擊行為能夠有效識別，并對該攻擊流量進(jìn)行阻斷，保護(hù)Web業(yè)務(wù)系統(tǒng)的可用性及延續(xù)性；通過對HTTP、https協(xié)議細(xì)粒度的訪問控制強化數(shù)據(jù)有效性防護(hù)達(dá)到對跨站點腳本攻擊（XSS）、SQL注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護(hù)，提供Web應(yīng)用或網(wǎng)站的基本安全保障

3.3.2.4 部署負(fù)載均衡器

兩臺負(fù)載均衡設(shè)備工作在冗余模式下，通過網(wǎng)絡(luò)相互檢查各自的工作狀態(tài)，為其所管理的應(yīng)用保障完全的網(wǎng)絡(luò)可用性；以唯一的IP地址作為所有提供相同服務(wù)的服務(wù)器的邏輯入口點。負(fù)載均衡交換機具有靈活的流量分配算法與機制，以確保用戶總能訪問可以為其提供最優(yōu)服務(wù)的服務(wù)器。通過部署高性能的負(fù)載均衡產(chǎn)品，能夠及時發(fā)現(xiàn)所負(fù)載均衡的各服務(wù)器的健康狀況，當(dāng)某臺服務(wù)器出現(xiàn)故障時，保證把后續(xù)用戶的訪問導(dǎo)向到正常運行的服務(wù)器上去。針對基于會話的業(yè)務(wù)，可以提供多種會話保持機制，確保用戶在處理業(yè)務(wù)時的連續(xù)性。應(yīng)具備帶寬管理功能，在流量擁塞的情況下，保障優(yōu)先等級最高的業(yè)務(wù)具有相應(yīng)的帶寬資源。

綜上所述，本研究為重新規(guī)劃整理現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)，提高現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中互聯(lián)網(wǎng)服務(wù)區(qū)的安全性、穩(wěn)定性、可擴展性，通過專業(yè)的網(wǎng)絡(luò)管理系統(tǒng)，可有效提供管理效率及水平。本系統(tǒng)是承載其互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)，提供安全、穩(wěn)定、高效的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，并輔以有效的網(wǎng)絡(luò)管理手段，也可提升其它業(yè)務(wù)應(yīng)用的服務(wù)水平及質(zhì)量。

作者單位1.儀電物聯(lián)技術(shù)股份有限公司 上海市200233
2.云南省公路開發(fā)投資有限責(zé)任公司高速公路運營管理中心 云南省昆明市 650228

徐昕（1981-），男，上海市人。大學(xué)本科學(xué)歷。現(xiàn)任職于儀電物聯(lián)技術(shù)股份有限公司，研究方向為NGB骨干網(wǎng)QoS保證。

羅少康（1979-），男，大學(xué)本科學(xué)歷。高級工程師。現(xiàn)任職于云南省公路開發(fā)投資有限責(zé)任公司高速公路運營管理中心。研究方向為公路工程管理。