摘要：本項目主要是圍繞用戶網(wǎng)絡(luò)的信息系統(tǒng)安全進行評估和分析。詳細闡明了網(wǎng)絡(luò)安全評估分析系統(tǒng)的必要性、系統(tǒng)的選型、分析系統(tǒng)的部署，同時給出了網(wǎng)關(guān)配置的指導性建議。

關(guān)鍵詞：網(wǎng)絡(luò)；安全；方案

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 17-0000-02

1 網(wǎng)絡(luò)安全評估分析系統(tǒng)

1.1 網(wǎng)絡(luò)安全評估分析系統(tǒng)的必要性

面對用戶網(wǎng)絡(luò)的復雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風險評估，制定符合用戶網(wǎng)絡(luò)應用的安全策略顯然是不現(xiàn)實的。解決的方案是，尋找一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全分析評估系統(tǒng)。

檢測現(xiàn)有網(wǎng)絡(luò)中的邊界設(shè)備（如路由器交換機）、網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測系統(tǒng)）、服務器（包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應用服務器）、主機、數(shù)據(jù)庫等進行掃描，預先查找出存在的漏洞，從而進行及時的修補，對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進行安全配置。

目前大多數(shù)的病毒都已經(jīng)不是簡單的復制和占據(jù)資源的概念，其已經(jīng)演變?yōu)橥ㄟ^利用系統(tǒng)漏洞和脆弱性，破壞和盜取信息為目的軟件。所以，通過安全評估分析系統(tǒng)，在網(wǎng)絡(luò)受到感染以前，及時地修補系統(tǒng)漏洞，從而更有效的保護局域網(wǎng)。

1.2 網(wǎng)絡(luò)安全評估分析系統(tǒng)選型

安全評估系統(tǒng)（掃描對象包括網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫系統(tǒng)）使用戶有機會在故障出現(xiàn)之前將其修復，而不是對一項已經(jīng)進行的入侵或誤用情況做出反應。漏洞掃描可以讓用戶首先防止入侵。漏洞掃描也許對那些沒有很好的事件響應能力的用戶會有幫助。

在用戶網(wǎng)絡(luò)系統(tǒng)中，部署一臺百兆硬件網(wǎng)絡(luò)安全評估分析系統(tǒng)，它通過對網(wǎng)絡(luò)安全弱點全面和自主地檢測與分析，能夠迅速找到并修復安全漏洞。能同時對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備（如路由器、交換機、防火墻等）、小型機、PC SERVER和PC機操作系統(tǒng)（如Windows）和應用程序（如IIS）由于各種原因存在一些漏洞（包括系統(tǒng)漏洞、脆弱口令等），將風險分為高，中，低三個等級并且生成大范圍的有意義的報表，從以管理者角度來分析的報告到為消除風險而給出的詳盡的逐步指導方案均可以體現(xiàn)在報表中。

（1）全面的產(chǎn)品資質(zhì)認定

網(wǎng)絡(luò)安全評估系統(tǒng)具有如下的產(chǎn)品資質(zhì)認證，為用戶提供滿意的產(chǎn)品：

公安部《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》

國家保密局《科學技術(shù)成果鑒定證書》

國家信息安全測評認證中心《國家信息安全產(chǎn)品認證產(chǎn)品型號證書》

（2）易用性

網(wǎng)絡(luò)安全評估分析系統(tǒng)應該充分考慮了中國人的使用習慣，具有良好的易用性。安裝和使用界面全中文化，操作使用符合標準的WINDOWS風格，用戶大部分只要通過電擊鼠標就可以達到目的。管理工作更加方便，其輸出也更加有價值。

（3）產(chǎn)品擴展性

網(wǎng)絡(luò)安全評估分析系統(tǒng)的測試方法庫采用插件方式，升級極為容易，添加新的插件就可以使軟件增加新的功能，掃描更多漏洞。同時這種技術(shù)使軟件的升級維護都變得相對簡單，并具有非常強的擴展性。

1.3 網(wǎng)絡(luò)安全評估分析系統(tǒng)部署

網(wǎng)絡(luò)安全評估分析系統(tǒng)可以定期連入管理中心網(wǎng)絡(luò)的網(wǎng)管交換機或者中心交換機上，對網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)安全評估，比如小型機、PC SERVER、網(wǎng)絡(luò)設(shè)備（交換機、路由器等）、安全設(shè)備（如防火墻）及內(nèi)網(wǎng)各工作站系統(tǒng)，進行周期性的安全評估，得出安全評估分析報告，然后進行相應的漏洞修補或重新設(shè)計安全策略，以達到網(wǎng)絡(luò)中硬件設(shè)備系統(tǒng)和應用平臺的安全化。

1.4 網(wǎng)絡(luò)安全評估分析系統(tǒng)部署后作用

（1）安全評估是本系統(tǒng)的主要功能，也稱為“脆弱性分析”或者“網(wǎng)絡(luò)安全掃描”，通過本網(wǎng)絡(luò)安全評估分析系統(tǒng)的部署，可以對網(wǎng)絡(luò)內(nèi)計算機系統(tǒng)或者網(wǎng)絡(luò)設(shè)備進行安全測試與評估，獲得相關(guān)安全信息，找出安全隱患和可被黑客利用的漏洞。

（2）設(shè)備可以結(jié)合CVSS（通用脆弱性評級體系）和等級保護方法的理論，科學的給出相應的安全分析和可操作的修補處理建議，為網(wǎng)絡(luò)管理人員提供修補漏洞的方法，使得管理可以及時修補網(wǎng)絡(luò)隱患，做到防患于未然。

（3）自評估部分還可以協(xié)助管理員對設(shè)備進行問題的自動修補。

2 應用防護

2.1 Web應用防護系統(tǒng)的必要性

隨著越來越多的應用系統(tǒng)以WEB的方式被部署，這些系統(tǒng)的敏感數(shù)據(jù)如用戶信息等被黑客盜竊和篡改的潛在風險也越來越高?；仡櫘斀癯晒Φ南到y(tǒng)攻擊，很多都是利用了WEB應用漏洞。實施這些攻擊的人，既有來自外部的黑客，也有來自內(nèi)部的不懷好意的用戶。

因為基于WEB的應用系統(tǒng)可以通過任意瀏覽器進行訪問，用戶往往更容易訪問到這些系統(tǒng)，從而在一定程度上可以通過這些系統(tǒng)繞過內(nèi)部的安全控制。

對大多數(shù)公司來說，WEB應用系統(tǒng)已經(jīng)成為安全的邊界。使用WEB安全網(wǎng)關(guān)是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到WEB應用的多樣性，WEB安全網(wǎng)關(guān)往往只有在針對具體的應用精心配置后才能有效地承擔起應用保護的角色。沒有正確部署的WEB安全網(wǎng)關(guān)往往會阻斷合法用戶對系統(tǒng)的正常訪問，甚至沒能起到應有的左右而讓黑客長驅(qū)直入。

WEB安全網(wǎng)關(guān)是一種新型的可以保護WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)及應用安全設(shè)備。它通過執(zhí)行非常細粒度的安全策略來保證WEB應用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于WEB安全網(wǎng)關(guān)所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應各種WEB應用系統(tǒng)，從而滿足所有的安全需要。

WEB 安全網(wǎng)關(guān)為WEB應用提供了全面的應用層保護，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。

需要特別指出的是，WEB安全網(wǎng)關(guān)通過自己獨特的WEB對象混淆技術(shù)，大大提高了攻擊者的技術(shù)門檻，甚至能使大部分的普通攻擊者無從下手；獨創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應用對象被篡改和偽造。由于攻擊者無法篡改和偽造WEB請求數(shù)據(jù)，攻擊便無法實施。此外，通過與WEB應用緊密相連的安全策略的配合，WEB安全網(wǎng)關(guān)能嚴格限制合法用戶的行為，避免了對系統(tǒng)受限資源非法的訪問。

融合可靠的應用層過濾技術(shù)和先進的數(shù)據(jù)加密技術(shù)， WEB安全網(wǎng)關(guān)完全能為企業(yè)級的WEB應用提供完整的安全解決方案。

2.2 Web安全網(wǎng)關(guān)的選型

根據(jù)用戶網(wǎng)絡(luò)的應用需求，推薦使用Web安全網(wǎng)關(guān)產(chǎn)品可以滿足了網(wǎng)絡(luò)需求，很好的解決了對Web服務器的防護和管理功能。

具體功能如下：

2.2.1 基于黑名單的攻擊過濾器能阻斷目前大部分的常見攻擊

（1）SQL注入

（2）跨站腳本攻擊

（3）已知的蠕蟲和系統(tǒng)漏洞

（4）對敏感資源和數(shù)據(jù)的非法訪問

（5）其他系統(tǒng)溢出攻擊

2.2.2 基于白名單的防御引擎能阻斷任何非法的攻擊

（1）偽造用戶輸入數(shù)據(jù)

（2）非法的應用訪問流程

（3）Cookie濫用

（4）HTTP請求劫持

2.2.3 完備的網(wǎng)絡(luò)層安全和服務提供整體防御

（1）狀態(tài)檢測防火墻

（2）IP/端口過濾

（3）應用層DDOS防護

（4）SSL 加速

2.2.4 靈活多變的偽裝技術(shù)使系統(tǒng)逃避探測和攻擊

（1）防止對服務器操作系統(tǒng)和WEB服務器的指紋探測

（2）自定義錯誤頁面防止敏感信息泄露

（3）刪除網(wǎng)頁開發(fā)工具信息以及代碼注釋，使黑客無法獲取重要的信息

（4）防止服務器端代碼泄露

2.2.5 豐富的日志提供強大的報表和審計功能

（1）詳細的系統(tǒng)日志和訪問控制日志

（2）豐富的WEB資源訪問統(tǒng)計報表

（3）詳細的攻擊統(tǒng)計報表

（4）支持標準的syslog日志服務器

（5）基于XML的日志數(shù)據(jù)便于與外部系統(tǒng)集成

2.3 Web安全網(wǎng)關(guān)的部署

WEB安全網(wǎng)關(guān)能根據(jù)用戶的需要采用多種部署方式。標準的設(shè)備部署在Web服務器前面，配置過程可以在幾個小時內(nèi)完成，WEB安全網(wǎng)關(guān)可以抵抗絕大部分常見的攻擊。通過在標準部署基礎(chǔ)上進行高級的安全策略調(diào)整，可以根據(jù)需要提供最高級別的安全，徹底杜絕攻擊發(fā)生的可能。

2.4 Web安全網(wǎng)關(guān)的作用

2.4.1 最大可能地減少針對WEB的攻擊

隨著越來越多的基于WEB的應用系統(tǒng)投入使用，越來越多的敏感數(shù)據(jù)被暴露在當前的系統(tǒng)無法解決的安全威脅之下。一旦攻擊得逞，損失便大的無法接受。使用WEB安全網(wǎng)關(guān)能最大可能地減少針對WEB應用的攻擊。

2.4.2 避免敏感信息被盜，符合行業(yè)安全規(guī)范

當今很多行業(yè)如銀行和電子商務等行業(yè)都有自己的安全規(guī)范，符合這些安全規(guī)范是業(yè)務正常開展的基礎(chǔ)。目前WEB應用系統(tǒng)是黑客們?yōu)榱双@取諸如客戶信息等敏感數(shù)據(jù)而尋找的最主要的攻擊目標，每年因為針對應用層的攻擊而導致的損失都高達己億美元。WEB安全網(wǎng)關(guān)是解決敏感數(shù)據(jù)經(jīng)由WEB系統(tǒng)被盜竊這一棘手的安全問題的最重要也是最有效的途徑。

2.4.3 無須安全補丁，保護已有投資

因為知道應用系統(tǒng)容易遭受各種攻擊，IT部門需要不間斷地監(jiān)控各站點并且安裝各種最新的補丁。因為如前所述，WEB安全網(wǎng)關(guān)能阻止各種針對WEB應用和WEB服務器的攻擊，從而大大降低了系統(tǒng)對補丁的依賴性。此外，對于存在安全漏洞但是因為其他原因無法進行升級的舊有系統(tǒng)，WEB安全網(wǎng)關(guān)也能保證系統(tǒng)能安全地運行，從而保護了客戶的投資。

2.4.4 安全便捷，使用簡單

WEB 防火墻部署非常容易，通過向?qū)Э梢院芸斓赝瓿稍O(shè)備的初次安裝。因為WEB安全網(wǎng)關(guān)是網(wǎng)絡(luò)層的設(shè)備，因此可以和任何WEB服務器配合使用，并且對WEB應用是透明的。

總之，WEB安全網(wǎng)關(guān)提供基于WEB的配置界面，操作簡單明了，維護成本非常低。此外，WEB安全網(wǎng)關(guān)還提供了豐富的日志信息，為安全審計提供了便利。

[作者簡介]郝維嘉（1962-），男，高級工程師，主要研究方向為計算機應用設(shè)計、軟件開發(fā)。