【摘要】上海交通車管業(yè)務(wù)經(jīng)過這幾年的努力，已逐步打造出一個較為完整的信息化平臺，該信息化平臺包括了多類型的網(wǎng)絡(luò)和多類型的業(yè)務(wù)系統(tǒng)；因此對于上海交通車管信息安全防范工作除了各個網(wǎng)絡(luò)的安全，還包括各個網(wǎng)絡(luò)的系統(tǒng)的信息交互的安全。本文就該信息化平臺采用的幾項網(wǎng)絡(luò)安全防范措施作簡要的介紹以供探討。

【關(guān)鍵詞】信息化網(wǎng)絡(luò)安全管理

上海市公安局交通警察總隊作為這樣的一個承擔(dān)著服務(wù)、管理、監(jiān)管等一系列職能的部門在推動機動車和駕駛證業(yè)務(wù)管理創(chuàng)新上面臨著巨大的挑戰(zhàn)。正式在這樣的氛圍中，上海市公安局交通警察總隊在2009年下半年起調(diào)整業(yè)務(wù)管理模式將部分業(yè)務(wù)項目由公安網(wǎng)業(yè)務(wù)系統(tǒng)延伸至其它網(wǎng)絡(luò)的外圍業(yè)務(wù)管理系統(tǒng)，逐步向社會其它管理部門開放各項業(yè)務(wù)管理和業(yè)務(wù)監(jiān)管，包括在互聯(lián)網(wǎng)上向普通辦事群眾開放業(yè)務(wù)辦理。經(jīng)這幾年的努力，已逐步打造出一個較為完整的信息化平臺，該信息化平臺包括了多類型的網(wǎng)絡(luò)和多類型的業(yè)務(wù)系統(tǒng)，因此對于上海交通車管信息安全防范工作除了各個網(wǎng)絡(luò)的安全，還包括各個網(wǎng)絡(luò)的系統(tǒng)的信息交互的安全。

一、網(wǎng)絡(luò)存在的安全威脅分析

1、網(wǎng)絡(luò)威脅的種類

目前，網(wǎng)絡(luò)上的威脅多種多樣，屢禁不止，且難以清除；網(wǎng)絡(luò)上的威脅具有傳播廣和傳播快的特性。從威脅的來源可以分為這四類：漏洞利用、Web應(yīng)用、病毒、終端內(nèi)容。

2、網(wǎng)絡(luò)威脅的分析

（1）漏洞利用類威脅：各種通過操作系統(tǒng)、應(yīng)用系統(tǒng)、協(xié)議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、藍屏攻擊、權(quán)限提取等。

（2）Web應(yīng)用類威脅：專門針對Web應(yīng)用面臨的各種最新的威脅提供額外的安全防護，包括SQL注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應(yīng)用信息探測、非法上傳威脅文件等，從根源上解決了Web系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性。

（3）病毒類威脅：除了傳統(tǒng)的HTTP、FTP、SMTP、POP3等協(xié)議，還可以針對商務(wù)應(yīng)用（文件共享等）傳輸?shù)奈募M行精確的木馬、病毒、蠕蟲查殺。

（4）終端內(nèi)容威脅：為了避免終端訪問Web應(yīng)用內(nèi)容而被竊取隱私等信息或被用作肉雞，需要有效過濾惡意網(wǎng)站、惡意文件、惡意控件、惡意腳本等內(nèi)容威脅的訪問。

二、網(wǎng)絡(luò)安全的主要內(nèi)容

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)的安全和網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷；凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性.那么信息安全怎么理解呢，信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全。

三、網(wǎng)絡(luò)安全新技術(shù)的發(fā)展

1、硬件方面：新一代7層防火墻是目前較為成熟且使用較為廣泛的硬件產(chǎn)品。

實現(xiàn)內(nèi)核級聯(lián)動，是一個“2-7層完整的安全防護產(chǎn)品”。這也是Gartner定義的”額外的防火墻智能”實現(xiàn)的前提，做到真正的內(nèi)核級聯(lián)動，才能為用戶的業(yè)務(wù)系統(tǒng)提供一個安全防護的“銅墻鐵壁”。

2、安全策略：盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當?shù)姆雷o措施也能有效的保護網(wǎng)絡(luò)信息的安全。以下幾種方法基本可以確保在策略上保護網(wǎng)絡(luò)信息的安全：

（1）隱藏IP地址、關(guān)閉不必要的端口。入侵者經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機信息，主要目的就是得到網(wǎng)絡(luò)中主機的IP地址和端口。IP地址在網(wǎng)絡(luò)安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發(fā)動各種進攻，如DoS（拒絕服務(wù)）攻擊、Floop溢出攻擊等。將業(yè)務(wù)應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器部署在防火墻和應(yīng)用負載均衡后面，可以有效的將真實的服務(wù)器IP地址和端口隱藏起來，不被入侵者查獲。

（2）帳戶管理。Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性。

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！禁用或徹底刪除Guest帳戶是最好的辦法，做好IE的安全設(shè)置。

3、及時給系統(tǒng)打補?。簯?yīng)及時更新操作系統(tǒng)對應(yīng)的補丁程序，不斷推出的系統(tǒng)補丁程序盡管讓人厭煩，但卻是我們系統(tǒng)安全的基礎(chǔ)。

四、多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)安全的技術(shù)應(yīng)對措施

上海交通車管的多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)的信息化平臺實際上是一個整體應(yīng)用平臺，采用怎樣的防范措施才能避免網(wǎng)絡(luò)威脅進攻，保護系統(tǒng)運行的整體安全，成了我們管理者需要考慮的首要問題。整體的應(yīng)用需要整體布局，軟件和硬件都要有所考慮，要做到全面覆蓋業(yè)務(wù)應(yīng)用系統(tǒng)的各個層次，針對網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)、系統(tǒng)等做全面的防范。

1、增加必要的硬件投入

目前，新一代防火墻獨創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。新一代防火墻的應(yīng)用可視化引擎不但可以識別724多種的應(yīng)用及其應(yīng)用動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對接，自動識別出網(wǎng)絡(luò)當中IP地址對應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還可以滿足各局域網(wǎng)數(shù)據(jù)。

（1）多核并行處理架構(gòu)：現(xiàn)在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現(xiàn)在還有128核的CPU了。這樣來看，如果1個核能夠做到1個G，那么16個核不就能夠超過10個G了嗎？但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。因為雖然各個核物理上是獨立的，但是有很多資源是共享的，包括CPU的Cache，內(nèi)存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。

（2）單次解析引擎：要進行應(yīng)用層威脅過濾，就必須將數(shù)據(jù)報文重組才能檢測，而報文重組、特征檢測都會極大地消耗內(nèi)存和CPU，因而UTM的多引擎，多次解析架構(gòu)工作效率低下。因此，新一代防火墻所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對每個數(shù)據(jù)包做到了只有一次報文重組和特征匹配，消除了重復(fù)性工作對內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了70%-80%。但這種技術(shù)的一個關(guān)鍵要素就是要統(tǒng)一特征庫，這項技術(shù)的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、Web入侵、惡意代碼等威脅進行統(tǒng)一描述。

2、科學(xué)合理的配置軟件和硬件策略

（1）劃分網(wǎng)絡(luò)安全域

我們認為首先從網(wǎng)絡(luò)管理做起，將整個信息化所涉及的業(yè)務(wù)系統(tǒng)劃分為四個網(wǎng)絡(luò)安全域：數(shù)據(jù)中心安全域、廣域網(wǎng)邊界安全域、互聯(lián)網(wǎng)接入安全域、內(nèi)網(wǎng)辦公安全域。

①數(shù)據(jù)中心安全域：包括各種應(yīng)用系統(tǒng)和服務(wù)器，由于是整個衍生業(yè)務(wù)系統(tǒng)的核心，安全級別最高；②廣域網(wǎng)邊界安全域：各個下屬分支機構(gòu)（如二手車市場、檢測線、4S店上牌點、駕駛員考試點等）通過專網(wǎng)接入企業(yè)專網(wǎng)，訪問各種衍生業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括專網(wǎng)的核心路由器、分支路由器等；③互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對外發(fā)布業(yè)務(wù)系統(tǒng)（如網(wǎng)上查詢系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險最高，需要重點隔離與控制；④公安網(wǎng)辦公安全域：包括總部公安網(wǎng)的業(yè)務(wù)終端，為不同的業(yè)務(wù)部門和服務(wù)器等提供高速、穩(wěn)定的網(wǎng)絡(luò)接入。

（2）加強數(shù)據(jù)中心服務(wù)器保護

加強數(shù)據(jù)中心服務(wù)器的全面保護，是應(yīng)用系統(tǒng)的信息安全的基礎(chǔ)，通過監(jiān)控訪問、交換、數(shù)據(jù)流等措施來實現(xiàn)。

①面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對象更為明了、管理更方便、策略更易懂。②可視化安全風(fēng)險評估：提供服務(wù)器風(fēng)險和終端風(fēng)險報告以及應(yīng)用流量報表，使全網(wǎng)的安全風(fēng)險一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。

（3）廣域網(wǎng)邊界安全隔離與防護

①互聯(lián)網(wǎng)出口邊界防護：將網(wǎng)上查詢等業(yè)務(wù)系統(tǒng)部署在DMZ區(qū)，可以實現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護，權(quán)限控制和管理是主要方法。

●防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)，保證服務(wù)器穩(wěn)定運行；

②內(nèi)部終端安全防護：全面防護，標本兼治，防止業(yè)務(wù)終端訪問威脅網(wǎng)站和應(yīng)用，通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段。

五、加強系統(tǒng)使用者的管理可以確保技術(shù)手段的有效運用

1、建立網(wǎng)絡(luò)接入安全的規(guī)章制度。建立從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等一系列的規(guī)章制度；從制度上約束系統(tǒng)使用者的使用行為。

2、加強網(wǎng)絡(luò)安全知識的培訓(xùn)，提供防范意識。不斷加強網(wǎng)絡(luò)安全的宣傳和培訓(xùn)，強化使用人員和管理人員的安全防范意識。只有通過網(wǎng)絡(luò)管理人員、系統(tǒng)數(shù)據(jù)庫管理人員、業(yè)務(wù)系統(tǒng)維護人員與使用人員的共同努力，才可能地把不安全的因素降到最低。

六、結(jié)語

總之，信息安全防范工作是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。