福建省科學技術(shù)信息研究所（福建省信息網(wǎng)絡(luò)重點實驗室） 賴建華 林寧思 趙 韜

?

政府網(wǎng)站群等級保護安全體系研究*

福建省科學技術(shù)信息研究所（福建省信息網(wǎng)絡(luò)重點實驗室） 賴建華 林寧思 趙 韜

政府網(wǎng)站群推動了服務(wù)型政府的發(fā)展，按照等級保護制度要求來開展網(wǎng)站群安全建設(shè)符合國家政策要求，該文從技術(shù)和管理兩個維度，系統(tǒng)研究了政府網(wǎng)站群等級保護安全建設(shè)體系，從技術(shù)角度看，應從網(wǎng)站群的網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器系統(tǒng)、數(shù)據(jù)安全、物理安全以及網(wǎng)站應用系統(tǒng)安全等方面進行設(shè)計；管理角度則從安全管理制度和安全運維管理兩個方面進行設(shè)計。

網(wǎng)站群安全 等級保護 安全管理

1 概述

等級保護制度是我國信息安全保障體系的基本制度，2007年，公安部等四部委聯(lián)合發(fā)布了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號），明確了“市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)”屬于重要信息系統(tǒng)等級保護定級范圍。

隨著電子政務(wù)深入推進，中國各級政府網(wǎng)站內(nèi)容日益豐富，功能也逐漸增強，“政府網(wǎng)站群”建設(shè)模式已被眾多政府單位所采用，成為政府利用信息技術(shù)履行職能的重要形式。

政府門戶網(wǎng)站采用網(wǎng)站群建設(shè)模式，門戶主站和部門網(wǎng)站將會構(gòu)成一個整體，不再相互孤立，來訪者可以方便地通過門戶主站獲得統(tǒng)一的信息服務(wù)。同時，在內(nèi)部管理上，實現(xiàn)多站點統(tǒng)一管理、權(quán)限統(tǒng)一分配、信息統(tǒng)一導航、信息統(tǒng)一搜索等，消除信息孤島，共享共用集群的軟硬資源，有效降低投資成本。

網(wǎng)站群作為重要信息系統(tǒng)，是公安機關(guān)安全檢查的重點，網(wǎng)站群根據(jù)職能不同，一般定級為三級或二級，縣區(qū)級定級為二級。而近年來，政府網(wǎng)站群面臨著越來越復雜的安全風險，尤其是混合型安全風險，例如黑客攻擊、拒絕服務(wù)攻擊等，造成政府網(wǎng)頁篡改、敏感數(shù)據(jù)泄漏，極大地危害著政府的形象和職能。

本文研究團隊基于多年網(wǎng)站群安全建設(shè)和安全維護工作中的實踐經(jīng)驗，在等級保護標準規(guī)范指導下，設(shè)計了一套符合等級保護要求的重要信息系統(tǒng)安全建設(shè)體系框架。

2 網(wǎng)站群安全保障目標

政府網(wǎng)站群作為重要信息系統(tǒng)，其安全保障框架設(shè)計目標是要落實《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859-1999）、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》（GBT 22239-2008），達到以下安全保障目標：

（1）具有抵御較大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范病毒和惡意代碼危害的能力；

（2）保障網(wǎng)站群網(wǎng)頁不被非法篡改，后臺數(shù)據(jù)不被非法授權(quán)訪問和泄漏；

（3）構(gòu)建網(wǎng)站群安全防護與監(jiān)控機制，具有檢測、發(fā)現(xiàn)、報警、防護入侵行為的能力；

（4）加強安全應急事件的處理能力，在網(wǎng)站群系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；

要實現(xiàn)以上保障目標，根據(jù)等級保護要求，應該從安全技術(shù)體系和安全管理體系兩大方面來規(guī)劃網(wǎng)站群安全建設(shè)。

3 等級保護技術(shù)體系建設(shè)

網(wǎng)站群應按照《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中的技術(shù)要求進行建設(shè)，從物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全以及數(shù)據(jù)安全與備份恢復等5大方面進行設(shè)計。一個網(wǎng)站群的典型拓撲圖如圖1所示。

圖1 政府行業(yè)網(wǎng)站群典型拓撲圖

3.1 網(wǎng)站群網(wǎng)絡(luò)安全

根據(jù)等級保護基本要求，網(wǎng)絡(luò)安全需要從結(jié)構(gòu)安全、訪問控制、安全審計、便捷性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等7個方面進行建設(shè)。網(wǎng)站群在網(wǎng)絡(luò)層主要面臨的安全威脅是漏洞掃描、口令猜解、拒絕服務(wù)攻擊等，尤其是拒絕服務(wù)工具（DDos）已經(jīng)上升為網(wǎng)絡(luò)層的主要攻擊手段，拒絕服務(wù)攻擊又逐步從傳統(tǒng)的SYNFLOOD洪泛攻擊轉(zhuǎn)變?yōu)獒槍脤拥腃C連接耗盡攻擊。近年來，旁注攻擊和C段滲透攻擊也成為網(wǎng)站群被攻陷的一大原因。

針對網(wǎng)絡(luò)安全風險，網(wǎng)站群的主要安全防護措施設(shè)計如下：

3.1.1安全域劃分。網(wǎng)站群往往由主要網(wǎng)站群和部門托管網(wǎng)站群等類別組成，不同的網(wǎng)站其重要程度和開發(fā)、維護要求不盡相同，應該按照部門性質(zhì)、重要程度對網(wǎng)站群進行安全域劃分，例如省廳及市級網(wǎng)站群應該按照等級保護三級來定級和建設(shè)，而縣區(qū)級下屬單位托管的網(wǎng)站，則可以按照等級保護二級來建設(shè)。在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計時應該按照不同的安全域進行劃分。除了網(wǎng)站群服務(wù)器外，還需要把網(wǎng)絡(luò)管理區(qū)劃分為獨立區(qū)域，有些單位也應該為開發(fā)人員劃分出一個獨立的安全區(qū)域。安全域劃分的技術(shù)主要有VLAN劃分法、防火墻劃分法。

3.1.2網(wǎng)絡(luò)邊界防護措施。網(wǎng)站群在安全域與安全域之間，可以采用三層交換機的ACL訪問控制列表來實現(xiàn)訪問控制，也可以采用防火墻進行訪問控制。在網(wǎng)站群的互聯(lián)網(wǎng)接入?yún)^(qū)，按照等級保護要求，應該考慮邊界訪問控制、邊界入侵防范、網(wǎng)絡(luò)安全審計以及網(wǎng)絡(luò)防病毒等措施。因此，在網(wǎng)站群的互聯(lián)網(wǎng)接入?yún)^(qū)，至少應該部署防火墻系統(tǒng)、入侵防御/檢測系統(tǒng)以及Web應用防護與抗攻擊系統(tǒng)，來實現(xiàn)對互聯(lián)網(wǎng)的訪問控制和入侵防范。其中，防火墻起到了訪問控制的作用，入侵防御/檢測系統(tǒng)實現(xiàn)了入侵防范的作用，而Web應用防護與抗攻擊系統(tǒng)主要實現(xiàn)Web應用層攻擊（如SQL注入，XSS等）和拒絕服務(wù)攻擊防范。此外，還應該對各類產(chǎn)品所產(chǎn)生的日志進行管理和收集，以滿足日志審計要求。對于定級為三級的系統(tǒng)中，還應該考慮采用網(wǎng)絡(luò)防病毒網(wǎng)關(guān)。

3.1.3遠程網(wǎng)絡(luò)運維。有些政府網(wǎng)站群往往由于托管的單位數(shù)量多，導致網(wǎng)站管理員數(shù)量多，網(wǎng)站代碼更新頻繁。因此產(chǎn)生了通過互聯(lián)網(wǎng)進行遠程維護的需求。在遠程維護中，必須杜絕直接通過遠程桌面（RDP）或FTP等不安全的方式進行維護，否則一旦這些方式存在安全漏洞，會對網(wǎng)站群造成嚴重威脅。

因此，在遠程維護中，我們推薦采用VPN（虛擬專用網(wǎng)）的方式進行遠程維護，如果有條件，推薦采用專業(yè)的運維審計系統(tǒng)對所有的遠程運維操作進行認證、控制和操作行為審計。

3.2 網(wǎng)站群主機安全

3.2.1網(wǎng)頁防篡改。等級保護（三級）基本要求中對入侵防護的要求：“應能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施”，另外，根據(jù)公安部82號令要求：“開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動恢復”，網(wǎng)頁防篡改系統(tǒng)成了網(wǎng)站群安全防護的基本要求。

3.2.2主機安全加固。網(wǎng)站群服務(wù)器系統(tǒng)層風險主要來自兩方面：一方面來自操作系統(tǒng)自身的漏洞，另一方面來自于操作系統(tǒng)的配置和管理。等級保護主機安全方面對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)都提出了身份鑒別、訪問控制、安全審計、剩余信息保護等安全要求，這幾個方面的要求大部分可以通過增強操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的配置加固來實現(xiàn)。

主機安全加固主要完成以下幾個方面的工作：

（1）補丁管理：定期掃描系統(tǒng)漏洞，包括操作系統(tǒng)、web服務(wù)（IIS/Apache）、數(shù)據(jù)庫系統(tǒng)，對于高危漏洞應及時安裝補丁進行修復。

（2）配置加固：按照等級保護基本要求，應該充分發(fā)揮操作系統(tǒng)的身份鑒別、訪問控制、安全審計、剩余信息保護等功能，對系統(tǒng)的注冊表、本地安全策略、帳號、最小權(quán)限、最小服務(wù)、開機啟動項、安全審計進行全面的配置，以提升主機安全防護能力。

（3）安裝主機殺毒軟件，并定期更新病毒庫。

3.2.3主機監(jiān)控

采用服務(wù)器監(jiān)控系統(tǒng)，對網(wǎng)站群服務(wù)器的CPU、內(nèi)存和存儲空間進行監(jiān)控和預警。大部分的網(wǎng)絡(luò)管理軟件均有提供服務(wù)器監(jiān)控功能，其實現(xiàn)原理主要是通過通用的SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）以及專用的WMI或SSH等管理協(xié)議來實現(xiàn)。

3.3 Web應用安全

從近年安全發(fā)展趨勢來看，80%以上的攻擊都是針對網(wǎng)站應用層發(fā)起的攻擊，如著名的SQL注入、上傳漏洞、第三方控件漏洞、跨站腳本攻擊等（請參考OWASP TOP10），這些攻擊發(fā)生的原因是網(wǎng)站源代碼本身存在安全缺陷，導致黑客可以繞過安全機制，直接獲取或控制網(wǎng)站服務(wù)器，最終導致網(wǎng)頁被篡改、數(shù)據(jù)泄漏或者被作為跳板攻擊其他網(wǎng)站。

結(jié)合等級保護基本要求，我們對網(wǎng)站群的應用安全采用以下措施：

（1）在網(wǎng)絡(luò)邊界防護中，采用Web應用防護系統(tǒng)（WAF），以防護針對網(wǎng)站動態(tài)網(wǎng)頁源代碼漏洞產(chǎn)生的攻擊企圖。

（2）在軟件開發(fā)過程中，應該對身份與訪問控制、會話管理、代碼質(zhì)量以及加密算法進行嚴格要求。

（3）在軟件開發(fā)過程中，應該完善安全審計和資源控制等要求。

（4）在網(wǎng)站群上線過程中，應該執(zhí)行應用層漏洞掃描，有條件的應該開展網(wǎng)站滲透測試工作。

（5）網(wǎng)站前臺最好采用靜態(tài)網(wǎng)頁（html），這樣可以減少攻擊并提升網(wǎng)站性能。網(wǎng)站后臺管理中，最好結(jié)合VPN或加密措施進行后臺管理，避免引入更多的安全漏洞。

3.4 數(shù)據(jù)安全與備份恢復

網(wǎng)站數(shù)據(jù)包括了網(wǎng)站的源代碼和數(shù)據(jù)庫數(shù)據(jù)，數(shù)據(jù)安全主要考慮數(shù)據(jù)完整性和保密性以及備份和恢復。等級保護明確規(guī)定“應提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放”。此外，還應該考慮關(guān)鍵設(shè)備和通信線路的冗余，以防止存在單點故障。

3.5 物理安全

在網(wǎng)站群建設(shè)過程中，機房物理安全是基礎(chǔ)工作，在等級保護基本要求中，對物理位置選擇、物理訪問控制、防盜防破壞、防雷擊、防火、防水、防靜電、溫濕度控制、電力供應、電磁防護等方面做了明確的要求。

4 安全管理與安全運維

網(wǎng)站群除采取必要的安全技術(shù)措施以外，安全管理措施以及日常運維也是網(wǎng)站群安全保障體系中必不可少的部分。

4.1 安全管理制度

網(wǎng)站群安全管理可以從以下幾方面考慮：

（1）等級保護三級系統(tǒng)要求建立專門的安全職能部門，配備專門的安全管理人員。

（2）應制定以下安全管理制度（見表1），并落實到責任人。

（3）留存管理制度執(zhí)行的記錄，以提供制度執(zhí)行的證據(jù)。

表1 等級保護安全管理制度要求

4.2 安全運維管理

網(wǎng)站群的安全風險始終處于動態(tài)變化狀態(tài)，主要原因是，一方面攻擊手段在不斷更新，新的攻擊手法被不斷公布；另一方面，網(wǎng)站群本身的開發(fā)也在不斷的更新當中，源代碼的變更，可能會回退到加固前的狀態(tài)，甚至會引入新的漏洞。因此，網(wǎng)站群的安全運維體系應該滿足這種動態(tài)變化的安全需求。

網(wǎng)站群的安全運維體系應該引入“PDCA”戴明環(huán)（Plan-Do-Check-Action）模型，也就是“定期漏洞檢測—定期漏洞加固—長期安全監(jiān)控—應急響應”四個不斷循環(huán)的安全運維體系。

4.2.1定期安全檢測。通過定期開展網(wǎng)站漏洞掃描，黑客模擬滲透測試，最大程度地發(fā)現(xiàn)網(wǎng)站的安全漏洞，包括網(wǎng)絡(luò)層漏洞，代碼應用層漏洞。根據(jù)漏洞評估結(jié)果，設(shè)計漏洞加固方案。

4.2.2定期漏洞加固。網(wǎng)站群根據(jù)安全漏洞評估和滲透測試的情況，從Windows、Linux等操作系統(tǒng)層，Apache、IIS等Web服務(wù)中間層，asp、asp.net、jsp、php等開發(fā)代碼，SqlServer、Oracle等網(wǎng)站數(shù)據(jù)庫，對網(wǎng)站群實施安全加固，以消除已知的安全漏洞，提高系統(tǒng)抗攻擊能力。

4.2.3長期安全監(jiān)控。通過建設(shè)或租用網(wǎng)站群安全監(jiān)控系統(tǒng)，對網(wǎng)站群的可用性、響應時間等健康指標進行監(jiān)控，對網(wǎng)站掛馬、暗鏈、內(nèi)容篡改等情況進行安全狀態(tài)審計，對最新漏洞進行定期掃描，動態(tài)實現(xiàn)對網(wǎng)站安全狀態(tài)的實時把控。

4.2.4應急響應預案。網(wǎng)站群安全防護雖然采取了各種措施，但這些安全措施是否正常運行？各個崗位的人員是否明確緊急情況發(fā)生時如何處置？網(wǎng)站群的安全管理中應建立起應急響應預案并且定期演練。應急響應預案規(guī)定了各類安全事故發(fā)生后的處理流程，各環(huán)節(jié)責任人和處理方式。

安全事故應以預防為主，開展對安全措施的巡檢工作。周期巡查網(wǎng)頁防篡改系統(tǒng)、Web防護系統(tǒng)以及日志審計系統(tǒng)等是否正常工作，并定期開展模擬網(wǎng)頁被篡改、網(wǎng)站遭受拒絕服務(wù)攻擊等惡性事件的演練，讓每個崗位的工作人員都清楚應急情況下的處置方式。

[1] GB/T 22239-2008, 信息系統(tǒng)安全等級保護基本要求[S].

[2] GB 17859-1999, 計算機信息系統(tǒng)安全保護等級劃分準則[S].

[3] Category: OWASP Top Ten Project[EB/OL]. https://www.owasp.org/index. php/Category:OWASP_Top_Ten_Project

福建省科技廳公益科研所專項《基于Web的網(wǎng)頁風險監(jiān)控關(guān)鍵技術(shù)研究》（項目編號：2011R1009-9）。