蔡 琳， 龔 雷

（1.合肥工業(yè)大學(xué) 管理學(xué)院，安徽 合肥 230009；2.96610部隊 北京 102208；3.信息工程大學(xué) 電子技術(shù)學(xué)院，河南 鄭州 450004）

信息技術(shù)的不斷進步，使得計算機網(wǎng)絡(luò)的發(fā)展越來越迅速。大多數(shù)政府機關(guān)、企事業(yè)單位、商業(yè)機構(gòu)等都建立了相應(yīng)的網(wǎng)站系統(tǒng)，用以發(fā)布信息、樹立品牌形象。網(wǎng)站系統(tǒng)的建立拓寬了信息溝通渠道、提高了工作效率，但也面臨著一系列的安全威脅。其中，外部安全威脅主要包括，攻擊者利用系統(tǒng)漏洞的攻擊，利用病毒、木馬等惡意代碼實施的攻擊，利用惡意網(wǎng)絡(luò)數(shù)據(jù)包進行攻擊；內(nèi)部安全威脅主要包括，內(nèi)部人員對資源的惡意操作和對信息的越權(quán)訪問等。如何在兼顧應(yīng)用的基礎(chǔ)上確保網(wǎng)站系統(tǒng)的安全，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域研究的重點問題之一。為此，筆者將通過對典型網(wǎng)站系統(tǒng)的分析，研究如何建立網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全保護平臺，以確保網(wǎng)站系統(tǒng)能夠安全可靠地運行。

1 典型網(wǎng)站系統(tǒng)分析

文中搭建的典型網(wǎng)站系統(tǒng)如圖1所示，該系統(tǒng)由3個相對獨立的單元構(gòu)成，分別是辦公自動化（OA）系統(tǒng)、內(nèi)容管理（CMS）系統(tǒng)，以及網(wǎng)頁（Web）服務(wù)系統(tǒng)。其中，OA系統(tǒng)為內(nèi)部用戶提供辦公環(huán)境，是公文流轉(zhuǎn)和文件審批的場所；CMS系統(tǒng)用于將可公開的信息上傳到Web服務(wù)器；Web服務(wù)器用于提供信息服務(wù)，供互聯(lián)網(wǎng)用戶瀏覽。

圖1 典型網(wǎng)站系統(tǒng)示意圖Fig.1 Structure diagram of typical network application system

該網(wǎng)站系統(tǒng)遵循如下的工作流程：1）辦事員起草新聞稿并上報給領(lǐng)導(dǎo)審批；2）OA的公文流轉(zhuǎn)機制將領(lǐng)導(dǎo)審批后的稿件下發(fā)給辦事員；3）辦事員將稿件提交到FTP服務(wù)器；4）新聞維護員登錄本地FTP，通過CMS系統(tǒng)將新聞稿內(nèi)容提交給上傳服務(wù)器，利用服務(wù)器之間的數(shù)據(jù)庫和文件同步機制，將新聞稿發(fā)送到網(wǎng)站服務(wù)器，供外部用戶瀏覽查閱。

為保證公文傳輸?shù)陌踩耘c可靠性，實際部前、事中和事后的安全保障。同時，在系統(tǒng)外圍增加安全防護措施，如利用防病毒軟件對已知病毒進行查殺，利用防火墻對網(wǎng)絡(luò)數(shù)據(jù)包進行分析與過濾，利用入侵檢測系統(tǒng)對攻擊行為進行報警和響應(yīng)。這些安全機制并不能從根本上解決系統(tǒng)所面臨的安全問題，一方面是由于它們?nèi)鄙賮碜杂布筒僮飨到y(tǒng)的安全支撐，容易被旁路；另一方面是由于它們之間是一種松散的耦合，不便于安全策略的制定與實施，對于新攻擊行為的防范具有一定的滯后性。

2 安全保護平臺總體架構(gòu)

2.1 設(shè)計思路

從系統(tǒng)工程學(xué)的角度來看，典型網(wǎng)站系統(tǒng)是由計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)3個層次組成。計算環(huán)境是用戶的工作環(huán)境，由完成信息存儲與處理的計算機系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其聯(lián)接部件組成；區(qū)域邊界是計算環(huán)境的邊界，信息需要從區(qū)域邊界流入或流出；通信網(wǎng)絡(luò)是計算環(huán)境之間實現(xiàn)信息傳輸功能的部分。在網(wǎng)站系統(tǒng)的3個層次中，如果每一個使用者都是經(jīng)過認證和授權(quán)的，并且其操作都是符合規(guī)定的，那么攻擊事件發(fā)生的可能性就會大為降低，系統(tǒng)的安全也就能得到保證。

基于上述考慮，網(wǎng)站系統(tǒng)安全保護平臺的設(shè)計可概括為“一個中心”支撐下的“三重防護體系”。所謂“一個中心”指的是安全管理中心，管理員通過分析系統(tǒng)工作流程和安全需求，量體裁衣地為其制訂安全策略，然后下發(fā)到系統(tǒng)的各安全模塊，實現(xiàn)安全機制的集中統(tǒng)一管理?！叭胤雷o體系”由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)組成。安全計算環(huán)境從源頭上控制用戶和進程對資源的訪問，構(gòu)建終端安全體系結(jié)構(gòu)；安全區(qū)域邊界通過制定相應(yīng)的安全策略，實現(xiàn)對出入邊界的信息流進行攔截、分析和過濾；安全通信網(wǎng)絡(luò)則通過對數(shù)據(jù)包的封裝與加密，確保數(shù)據(jù)傳遞的機密性和完整性。

2.2 體系架構(gòu)

針對典型網(wǎng)站應(yīng)用系統(tǒng)，安全保護平臺的總體拓撲結(jié)構(gòu)如圖2所示。安全保護平臺從終端安全入手，建立了從硬件平臺到上層的應(yīng)用信任鏈，同時對操作系統(tǒng)內(nèi)核進行了安全加固[1]。該平臺以基于可信計算的Windows和Linux安全操作系統(tǒng)[2-3]為基礎(chǔ)，安全管理中心為核心，采用應(yīng)用防護墻、安全隔離與信息交換系統(tǒng)、安全通信網(wǎng)絡(luò)設(shè)備為重要的輔助手段，具備全方位、多層次安全保證。

安全管理中心基于安全增強的Windows操作系統(tǒng)，用于安全策略的制定與下發(fā)，是連接各安全部件和各安全保障層面的中樞。應(yīng)用防護墻基于安全增強的Linux操作系統(tǒng)，負責(zé)對終端訪問OA服務(wù)器或Web服務(wù)器的請求進行控制，防止非授權(quán)行為的發(fā)生，阻斷典型的網(wǎng)絡(luò)攻擊。安全隔離與信息交換系統(tǒng)，負責(zé)對出入邊界的信息流進行安全控制，實現(xiàn)外網(wǎng)系統(tǒng)和辦公系統(tǒng)的隔離。安全通信網(wǎng)絡(luò)設(shè)備，利用包含VPN功能的通信網(wǎng)關(guān)建立安全通信信道，保證數(shù)據(jù)的機密性和完整性。

可見，安全保護平臺圍繞安全管理中心，構(gòu)建了安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，保證了網(wǎng)站應(yīng)用系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行，有效防止用戶非授權(quán)訪問和越權(quán)訪問行為，阻斷惡意信息流的感染和傳播。

3 安全保護平臺關(guān)鍵技術(shù)

3.1 安全集中管理

安全保護平臺在網(wǎng)站系統(tǒng)的應(yīng)用服務(wù)器、維護終端、邊界設(shè)備以及通信設(shè)備上都設(shè)立了安全機制。為了便于對各個層面的軟硬件安全模塊進行集中、統(tǒng)一、有效的監(jiān)控與管理，安全保護平臺建立了專門的安全管理中心。

安全管理中心依據(jù)“三權(quán)分立”的原則組織實施，分別設(shè)立了系統(tǒng)管理員、安全管理員和安全審計員。系統(tǒng)管理員負責(zé)用戶身份、資源及配置信息的管理，其操作權(quán)限由安全管理員制定，其行為受系統(tǒng)審計機制監(jiān)控；安全管理員負責(zé)主客體標(biāo)記、用戶授權(quán)以及安全策略的管理與維護，其一切操作行為都被記入審計日志；安全審計員負責(zé)定審計策略、收集審計信息，對敏感審計事件及時做出響應(yīng)。

圖2 安全保護平臺體系架構(gòu)Fig.2 Structure of security protective platform

3.2 可信身份鑒別

可信身份鑒別包括用戶身份鑒別和平臺身份鑒別[4-5]兩個方面。用戶身份鑒別利用個人身份識別碼 （PIN碼）和USB Key中的私鑰證書實現(xiàn)雙因子認證，確保只有通過身份認證的用戶才能使用維護終端。平臺身份鑒別由橋接于服務(wù)器前的應(yīng)用防護墻完成，它以存放在系統(tǒng)內(nèi)核中的策略為依據(jù)，確保只有經(jīng)過授權(quán)的維護終端才能訪問應(yīng)用服務(wù)器，從而將非授權(quán)接入內(nèi)部網(wǎng)絡(luò)的終端，以及內(nèi)部網(wǎng)絡(luò)上不安全的終端孤立起來，確保重要信息不會從這些終端泄露出去，同時阻斷這些終端可能對網(wǎng)站系統(tǒng)安全造成的破壞。

3.3 資源訪問控制

安全保護平臺將網(wǎng)站系統(tǒng)的資源目錄作為一個受控容器，只有經(jīng)過授權(quán)的網(wǎng)站維護人員，通過運行授權(quán)的維護工具，啟動經(jīng)過授權(quán)的網(wǎng)站服務(wù)進程，根據(jù)安全管理中心制定的安全策略，才能對容器中的資源實施相應(yīng)操作。

根據(jù)用戶的權(quán)力和職責(zé)范圍，明確用戶能夠訪問的進程、服務(wù)、文件、端口和設(shè)備，只賦予其完成某個任務(wù)所需的最小權(quán)限。例如：新聞發(fā)布人員只能將新聞內(nèi)容上傳至網(wǎng)站服務(wù)器的相應(yīng)目錄，無權(quán)修改網(wǎng)站配置或其它欄目及目錄。在限定用戶權(quán)限的前提下，安全保護平臺也只賦予可執(zhí)行程序正常完成任務(wù)的最小權(quán)限。例如，安全管理員可以在管理中心配置安全策略，規(guī)定IEXLPOER.EXE程序可以讀取哪些文件或者寫哪些文件，但不允許其修改系統(tǒng)內(nèi)的重要配置文件。

3.4 惡意代碼防護

用戶在運行程序或腳本時，其訪問請求由操作系統(tǒng)安全內(nèi)核截獲，內(nèi)核以安全管理中心下發(fā)的策略為依據(jù)，確保只有那些添加到“用戶執(zhí)行程序列表”中的程序和腳本，才能由相應(yīng)用戶去執(zhí)行。安全管理中心禁止對“用戶執(zhí)行程序列表”進行更改隨意更改，以確保下發(fā)的安全策略為初始的可信策略。

程序和腳本在啟動時還需要通過可信度量模塊的可信校驗，以確保它們的可信啟動。具體過程如下：首先，度量模塊計算程序和代碼首次啟動時所依賴的相關(guān)文件的摘要值，并將該摘要值作為可信度量的依據(jù)，由安全管理中心作為策略統(tǒng)一管理和分發(fā)；接著，當(dāng)程序或代碼再次運行時，度量模塊會計算它們的校驗值，當(dāng)度量結(jié)果和預(yù)存值相一致時，該程序或代碼才被認為是可信的，從而允許啟動，否則拒絕其運行。這樣即使某個可執(zhí)行程序或代碼被病毒或木馬感染，由于其度量值發(fā)生了變化，操作系統(tǒng)安全內(nèi)核會禁止其運行[6]，從而能有效阻止惡意代碼的繼續(xù)傳播與破壞。

3.5 網(wǎng)絡(luò)攻擊防護

網(wǎng)絡(luò)攻擊方式多種多樣，最為常見的是緩沖區(qū)溢出攻擊、SQL注入攻擊、跨站攻擊以及拒絕服務(wù)攻擊。安全保護平臺根據(jù)不同攻擊的特點，采用相應(yīng)的防范措施。

緩沖區(qū)溢出攻擊的目的是獲取管理員權(quán)限，進而能夠竊取信息或篡改網(wǎng)頁內(nèi)容。安全保護平臺通過對操作系統(tǒng)內(nèi)核的安全增強，利用強制訪問控制技術(shù)，使得系統(tǒng)管理員不再擁有絕對的權(quán)力，其對資源的操作受到安全管理中心策略的約束；SQL注入、跨站腳本和拒絕服務(wù)是通過構(gòu)造惡意數(shù)據(jù)包達到攻擊目的，為此，安全保護平臺采用軟硬件結(jié)合的方式，將應(yīng)用防護墻橋接于網(wǎng)站服務(wù)器之前，通過對數(shù)據(jù)包的分析與過濾，實時阻斷惡意數(shù)據(jù)包，能夠在最大程度上保障網(wǎng)站服務(wù)器正常工作。

4 結(jié)束語

網(wǎng)站系統(tǒng)安全保護平臺通過安全管理中心對各軟硬件安全模塊進行集中管理，實施統(tǒng)一的安全策略，確保運行狀態(tài)始終可控可管，不僅能夠防范來自外部非授權(quán)人員的攻擊，同時還能有效防范內(nèi)部維護人員的越權(quán)訪問，有效達到了“防內(nèi)為主、內(nèi)外兼防”的安全目標(biāo)。

[1]師俊芳，李小將，李新明.基于TPM的安全操作系統(tǒng)的設(shè)計研究[J].裝備指揮技術(shù)學(xué)院學(xué)報，2009，20（5）：87-91.SHI Jun-fang， LI Xiao-jiang， LI Xin-ming.Study on design of security operating system based on TPM[J].Journal of the Academy of Equipment Command&Technology，2009，20（5）:87-91.

[2]卿斯?jié)h，劉文清，溫紅子.操作系統(tǒng)安全[M].北京：清華大學(xué)出版社，2004.

[3]毛韡鋒，平玲娣，姜勵，等.安全操作系統(tǒng)的設(shè)計[J].計算機工程，2006，32（12）：179-181.MAO Wei-feng， PING Ling-di， JIANG Li， et al.Design of secure operating system[J].Computer Engineering，2006，32（12）:179-181.

[4]郝平，何恩.可信計算的安全防護機制及其在高可信網(wǎng)絡(luò)中的應(yīng)用[J].中國電子科學(xué)研究院學(xué)報，2008，3（1）：14-19.HAO Ping，HE En.Security protection mechanisms of trusted computing and its application in the highly trusted network[J].Journal of CAEIT，2008，3（1）：14-19.

[5]劉巍偉，韓臻，沈昌祥.基于終端行為的可信網(wǎng)絡(luò)連接控制方案[J].通信學(xué)報，2009，30（11）：127-134.LIU Wei-wei， HAN Zhen， SHEN Chang-Xiang.Trusted network connect control based on terminal behavior[J].Journal on Communications，2009，30（11）:127-134.

[6]陳麟，林宏剛，黃元飛.基于可信計算的惡意代碼防御機制研究[J].計算機應(yīng)用研究，2008，25（12）：3713-3715.CHEN Lin， LIN Hong-gang， HUANG Yuan-fei.Research on mechanism of resisting malicious code based on trusted computing[J].Application Research of Computers，2008，25（12）:3713-3715.