托管式安全服務解決方案

摘 要：電子政務網站（gov.cn）是政府職能部門信息化建設的重要內容，主要實現政務信息公開、在線辦事和政民互動三大功能定位。傳統解決方案對于新形勢下的應用安全威脅應對乏力。根據Gartner的研究報告，未來的安全服務應該是防御、檢測、響應三者并存的立體化聯動防御機制。目前信息安全攻擊有75%以上都是發生在Web應用層，目前超過2/3的Web站點都相當脆弱，易受攻擊，這些攻擊形式多種多樣，手法也越來越隱匿，往往需要對多臺安全設備中記錄的日志進行大量的分析，進而配置有針對性的策略，這無疑對安全運維人員的水平提出了更高的要求。在新形勢下，需要一種更便捷、更有效、性價比更高的安全交付方式。

關鍵詞：網站安全；態勢感知；風險評估；實時監測；攻擊防護

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2096-4706（2018）09-0067-03

Abstract：The e-government website（gov.cn）is an important content of the information construction of the government’s functional departments. It mainly realizes the three functions of government information disclosure，online affairs，and the interaction between the government and the people. The traditional solution is weak for the application of security threats under the new situation：according to the research report of Gartner，the future security should be the coexistence of three groups of defense，detection and response，and the three-dimensional linkage defense mechanism. At present，more than 75% of the information security attacks have occurred in the Web application layer，and at present，the Web sites over 2/3 are very vulnerable to attack. These forms of attack are varied and the manipulations are becoming more and more hidden. We often need to carry out a large number of daily analyses on the logs recorded in multiple security devices，and then configure the target. Sexual strategy，which undoubtedly raises the high standard of safety operation and maintenance personnel. Under the new situation，a safer，more efficient and cost-effective delivery method is needed.

Keywords：website security；situational awareness；risk assessment；real-time monitoring；attack protection

0 引 言

電子政務網站包含Web服務器、存儲服務器、數據庫服務器等多種類型的業務服務器，向Internet、Intranet等多個區域提供服務，電子政務網站面臨來自內外網多個區域的安全威脅，其安全保障意義重大。

托管式安全防護方案通過“云眼和云盾”兩大模塊聯動組成，構建“防御、檢測、響應”三維一體的網站綜合“動態防御”安全體系。近年來，國內外的網絡安全形勢更加惡劣，境內、境外攻擊者及攻擊組織對我國重要信息系統的攻擊更加頻繁，信息系統面臨的安全攻擊也更加頻繁、形勢也更加嚴峻。2016年4月19日，習近平在網絡安全與信息化工作座談會的講話中提出“網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力”的相關建議，要求在信息化關鍵基礎設施的防御體系、監測體系和整體態勢感知能力方面獲得大幅提升。

1 設計原則

托管式安全服務解決方案設計遵循以下主要原則：

（1）整體性原則：應用系統工程的觀點和方法分析網絡系統安全防護、監測和應急恢復，在進行安全規劃設計時，應充分考慮各種安全配套措施的整體一致性；（2）符合性原則：信息安全體系建設要符合國家的有關法律法規和政策精神，以及行業有關制度和規定，同時應符合有關國家技術標準以及行業的技術標準和規范；（3）均衡性原則：安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相融，尋找安全風險與實際需求之間的均衡點；（4）有效性與實用性原則：信息安全系統不能影響業務系統正常運行和合法用戶的操作。在進行網絡安全策略設計時，要綜合考慮實際安全等級需求與項目經費承受能力的因素；（5）動態化原則：安全防護策略不可能一步到位，隨環境、條件和時間的變化，信息安全系統應能適應變化，采取更先進的檢測和防御措施，增強安全冗余設備，提高安全系統的可用性；（6）統籌規劃分步實施：信息安全防護策略的部署既要考慮滿足當前網絡系統及信息安全的基本需求，也要統籌考慮后續系統的建設及網絡應用復雜程度的變化，做到可適應地擴充和調整；（7）數據安全：實現大數據平臺中敏感數據的分級、分類管理和防護策略；（8）采用開放技術兼容原有系統數據。

2 設計方案及功能

2.1 設計方案

2.1.1 基于Web應用的防護設計

通過在Web應用前端部署WAF（Web防火墻），保護Web應用，對網站或者APP的業務流量進行惡意特征識別及防護，針對Web安全，諸如SQL注入攻擊、跨站腳本攻擊、掃描攻擊、Web Shell木馬上傳、遠程文件包含攻擊、緩沖區溢出攻擊、敏感信息泄露等漏洞攻擊的安全規則對從客戶到網站服務器的訪問流量和從網站服務器到客戶的響應流量進行雙向安全過濾，防止因網站被攻擊而導致網站被惡意篡改、惡意仿冒、敏感信息泄露、網站服務器被控制等事件的發生。

2.1.2 安全審計和溯源取證設計

云和虛擬化安全防護系統提供全面的系統日志和詳盡的報告功能，收集超過100種日志文件格式的操作系統和應用程序日志，并進行分析，以確認數據中心內是否存在可疑行為、安全事件和管理事件，通過對日志進行分析可以讓管理員跟蹤IT基礎設施的活動，評估服務器數據泄密事件是否發生、如何發生、何時發生、在何處發生。同時支持將事件轉發至安全管理平臺（SOC）系統或集中式日志服務器進行關聯、報告和存檔。

2.2 實現功能

2.2.1 態勢感知

系統為用戶提供兩個維度的態勢感知能力。一方面，系統從安全本身的發展變化入手，通過對事件和威脅的分析來評估當前網絡的整體安全態勢，分為地址熵態勢分析、熱點事件分析和威脅態勢分析；另一方面，系統從客戶借助系統達成的安全管理水平入手，通過對一系列管理指標的度量來評估當前某個網絡區域的安全管理水平，稱作關鍵安全管理指標分析。

面對海量安全數據，傳統的集中化安全分析平臺（譬如SIEM、SOC安全管理平臺等）也遇到了諸多瓶頸，主要表現在以下幾方面：

（1）高速海量安全數據的采集和存儲變得困難；（2）異構數據的存儲和管理變得困難；（3）威脅數據源較小，導致系統判斷能力有限；（4）對歷史數據的檢測能力很弱；（5）安全事件的調查效率太低；（6）安全系統相互獨立，無有效手段協同工作；（7）分析的方法較少；（8）對于趨勢性的內容預測較難，早期預警能力比較差；（9）系統交互能力有限，數據展示效果有待提高。

網絡安全態勢感知平臺對海量日志進行集中分析和挖掘，從而發現潛在的安全風險。對能夠引起安全態勢發生變化的要素進行獲取、理解、分析、展示及預測發展趨勢，實現“風險預警、威脅識別、積極管控和策略進化”。

2.2.2 風險評估

自動化完成目標網站基線配置數據采集、基于網站特點的檢測插件調度、目標網站響應數據處理過程，完成檢測數據的智能統計分析后，生成安全評估報表，幫助用戶掌握網站的安全情況。

2.2.3 實時監測

主要針對影響網站運行和網站管理者聲譽的重大隱患進行實時監控。覆蓋網站可用性、內容安全、緊急漏洞的實時監控，確保管理員在網站發生如下情況時能及時得到通知，并獲得應急安全響應技術支持：

（1）運行持續性故障；（2）遭遇內容惡意篡改、SEO、掛馬等安全事故以及發現反動、色情內容；（3）發現可能具有較大影響的緊急漏洞；（4）支持DNS篡改監控。

在監控發現上述隱患時，網站管理員將在第一時間收到我們監控系統推送的安全事件通知和應急響應人員的聯系方式，確保上述問題第一時間得到解決。

2.2.4 安全審計

一是在骨干網的核心交換機和防火墻以及邊界防火墻、入侵監測等設備上開啟審計功能，從而有效記錄經過邊界安全設備的所有訪問行為，在運維中心通過態勢感知平臺，將相關日志進行收集、清洗、去重和關聯，以便系統管理員能夠對骨干網和網絡邊界的活動狀態進行分析，從而發現深層次的安全問題。

二是關鍵的私有業務區域和政務外網區等區域的匯聚，交換機上部署網絡流量審計系統、入侵檢測IDS設備、深度威脅發現設備，對網絡流量進行監測、威脅發現和審計。其中網絡審計系統是根據跟蹤檢測、協議還原技術開發的功能強大的系統，為網上信息的監測和審查提供完備的解決方案。系統以旁路、透明的方式實時高速地對信息網絡的傳輸信息進行數據截取和還原，并可根據用戶需求對通信內容進行審計，提供高速的敏感關鍵詞檢索和標記功能，從而實現完整地記錄各種信息的起始地址和使用者，為保障關鍵應用系統，實現對應用訪問的全面監控提供依據，并執行以下的安全策略：深度威脅發現設備通過接收、分析全網絡的流量來偵測并響應APT攻擊與未知威脅。深度威脅發現能偵測所有端口及100多種通訊協議的應用，為用戶提供最全面的網絡威脅偵測。深度威脅發現設備采用三層式的偵測方法，第一層是靜態分析，第二層是動態分析及行為偵測，第三層是事件關聯，目的是發掘隱匿的攻擊活動。深度威脅發現設備根據靜態分析、動態分析、事件關聯的匯總分析結果來實現威脅偵測的可視化。其獨特的偵測引擎加上定制的沙箱動態模擬分析，能快速發掘并分析惡意文檔、惡意軟件、惡意網頁，CC通信數據以及傳統防護無法偵測的定向式攻擊活動。其深入的威脅情報分析能力能協助安全管理員快速響應，并可自動與安全分析、安全防御產品或第三方情報中心透過公開標準分享情報，建立一個實時的定制化體系來偵測APT黑客攻擊。

三是上網行為審計。記錄電子政務外網人員訪問互聯網的相關記錄，用于審計。通過海量的上網行為數據分析，提供高價值的業務報表，如工作效率報表、離職風險報表、帶寬分析報表、熱點事件檢測報表、數據泄漏和業務違規報表等。

2.2.5 智能DoS/DDoS攻擊防護

互聯網到用戶內部網中的流量有正常流量，也有異常流量。異常流量是指有限的帶寬資源承載著非預期的流量。這些非預期的流量可能是DoS和DDoS攻擊、蠕蟲病毒、端口掃描、SPAM等惡意流量，也有可能并非是惡意，但會影響正常網絡應用的大數據量的P2P下載等。DoS（Denial of Service，拒絕服務）攻擊和DDoS（Distributed Denial of Service，分布式拒絕服務）攻擊是目前互聯網上最流行的攻擊方式。最早的DoS攻擊一般利用操作系統的漏洞發動攻擊，致使服務器癱瘓而無法為用戶提供服務，典型攻擊譬如Ping of Death攻擊、Teardrop攻擊等。隨著網絡技術的發展，DDoS攻擊開始成為主流。DDoS攻擊是指通過操控多臺傀儡主機向目標主機或服務器發送大量看似合法的網絡包，造成網絡阻塞或服務器資源耗盡而導致拒絕服務。典型的DDoS攻擊有SYN Flood、ACK Flood、UDP Flood等洪泛攻擊。

為了提高網絡的使用效率，提升信息系統的安全性，需要采用完善的手段對這些異常流量進行檢測，對危害性最大的DoS和DDoS攻擊更要實現準確地清洗。防DDos系統建設可以進行全網的流量分析、異常流量和DDoS攻擊流量清洗、P2P識別與控制、帶寬限制、日志報表存貯等處理，幫助用戶實時了解網絡運行狀況，及時發現網絡中的DDoS攻擊和網絡濫用行為，并做出動作響應，從而快速消除異常流量對網絡和業務造成的危害，達到對全部業務流量的智能化管控。

2.2.6 監測與防護策略聯動，安全專家值守

托管式安全防護方案基于云眼與云盾兩大模塊組成，能夠提供事前風險評估及策略聯動的服務。通過云端風險監測及時發現脆弱性威脅，并與云端防護進行聯動，通過云端安全專家進行策略的調整，使安全防護策略處于最優狀態。

參考文獻：

[1] 陳曉樺，武傳坤，等.網絡安全技術 網絡空間健康發展的保障 [M].北京：人民郵電出版社，2017.

[2] 張炳帥.Web安全深度剖析 [M].北京：電子工業出版社，2015.

作者簡介：侯彬鋒（1979.04-），男，河北石家莊人，高級設計師，中級工程師，學士。研究方向：互聯網技術。